Перейти к содержанию
инструкция 21 октября 2026 По состоянию на 21 октября 2026

Раздел поручения обработки в уведомлении: подрядчики

Раздел поручения обработки — обязательная часть уведомления о намерении обрабатывать персональные данные. Если оператор передаёт обработку подрядчику, это нужно отразить в форме уведомления по Приказу РКН №180.
Ошибки в разделе поручения ведут к несоответствию реестра фактической обработке. Это самостоятельное основание для штрафа по ч. 1 ст. 13.11 КоАП в редакции с 30.05.2025 — 150 000–300 000 ₽ за каждый случай.
Если вы юрист и проверяете уведомление оператора — эта инструкция даёт пошаговый алгоритм заполнения раздела и перечень документов, которые должны сопровождать передачу обработки подрядчику. → Проверьте уведомление за 15 минут.

С 30.05.2025 статья 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7. Один из новых составов — обработка ПДн в случаях, не предусмотренных законом, или несовместимая с заявленными целями (ч. 1). Если в реестре РКН указано, что оператор обрабатывает ПДн самостоятельно, а на деле привлечён подрядчик — это именно такой случай. В этой инструкции — как корректно заполнить раздел поручения, какие документы к нему относятся и как не создать юридическую ловушку из собственного уведомления.

Шаг 1. Поймите, когда раздел поручения вообще нужно заполнять

Поручение обработки как правовая конструкция закреплено в п. 3 ст. 6 ФЗ-152: оператор вправе поручить обработку персональных данных другому лицу — при условии, что субъект дал согласие (если оно требуется) и что заключён договор, обязывающий поручителя соблюдать принципы и правила обработки наравне с оператором. При этом ответственность перед субъектами ПДн остаётся на операторе — подрядчик отвечает только перед оператором.

Раздел поручения в уведомлении по форме Приказа РКН №180 заполняется тогда, когда хотя бы одно из действий с ПДн — сбор, хранение, систематизация, передача, обновление, извлечение — выполняет не сам оператор, а привлечённое лицо: облачный провайдер, расчётный центр, колл-центр, кадровое агентство, IT-интегратор, маркетинговое агентство. Если подрядчик только разрабатывает программное обеспечение и не имеет доступа к реальным данным субъектов — поручение отсутствует, раздел не заполняется. Это важное разграничение: не каждый контрагент становится лицом, которому поручена обработка.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку ПДн другому лицу на основании договора. Лицо, осуществляющее обработку по поручению, обязано соблюдать принципы и правила обработки, предусмотренные ФЗ-152. Ответственность перед субъектом ПДн несёт оператор.»

Практический ориентир: если подрядчик видит строки с ФИО, телефонами, адресами, медицинскими или финансовыми сведениями — это обработка по поручению. Если видит только зашифрованные идентификаторы без возможности деанонимизации — ситуация спорная, нужен отдельный анализ.

Шаг 2. Определите перечень подрядчиков и виды обработки, которые они выполняют

До заполнения раздела уведомления составьте реестр поручений внутри компании. Это не формальность: РКН при плановой проверке сопоставляет уведомление с реальными договорами. Расхождение — повод для протокола.

Для каждого подрядчика зафиксируйте четыре параметра. Первый — наименование и ИНН лица, которому поручена обработка. Второй — конкретные действия с ПДн: хранение в облаке, передача через API, обзвон клиентов, расчёт зарплаты. Третий — категории ПДн, к которым подрядчик имеет доступ: общие, специальные по ст. 10 ФЗ-152, биометрические по ст. 11. Четвёртый — наличие и реквизиты договора поручения, где прописаны обязательства подрядчика.

Что подготовить перед заполнением раздела поручения

  • Реестр подрядчиков с доступом к ПДн: наименование, ИНН, виды обработки
  • Договоры поручения обработки с обязательством подрядчика соблюдать ФЗ-152
  • Действующее уведомление в реестре РКН (выписка с pd.rkn.gov.ru)
  • Политика обработки ПДн с разделом о передаче третьим лицам (ст. 18.1 ФЗ-152)
  • Приказ о назначении ответственного за организацию обработки (ст. 22.1 ФЗ-152)

Уведомление заполнено, но договоры с подрядчиками не оформлены?

Юрист проверит соответствие уведомления и договорной базы по ст. 6 ч. 3 ФЗ-152. Расхождение между реестром и фактической обработкой — это штраф по ч. 1 ст. 13.11 КоАП: 150 000–300 000 ₽. Срок для устранения после выявления нарушения РКН — не восстанавливается.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Заполните раздел поручения в форме уведомления РКН

Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Подача — через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. В разделе «Сведения об осуществлении трансграничной передачи» и в разделе о лицах, которым поручена обработка, нужно указать следующее.

Для каждого подрядчика вносятся: полное наименование организации или ФИО физического лица; ИНН; адрес (юридический или место нахождения); цель поручения обработки; перечень действий с ПДн, которые подрядчик выполняет; категории ПДн, к которым он допущен. Если подрядчик находится за рубежом — это одновременно трансграничная передача по ст. 12 ФЗ-152, и тогда нужно заполнить ещё один раздел уведомления и направить в РКН отдельное уведомление до начала передачи.

«Ст. 22 ФЗ-152: оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. Уведомление содержит сведения о лицах, которым поручена обработка, с указанием их реквизитов и перечня действий. Форма — Приказ РКН №180.»

Распространённая ошибка: в уведомлении указывается один подрядчик, а по факту их три. При проверке инспектор запрашивает договоры. Если договор есть с тремя, а в реестре только один — протокол составляется на каждое неотражённое лицо. После ФЗ-420 это квалифицируется по ч. 1 ст. 13.11 КоАП, при повторности — ч. 1.1, штраф 300 000–500 000 ₽.

Шаг 4. Оформите договор поручения обработки с каждым подрядчиком

Договор поручения — обязательный элемент правомерной передачи обработки по п. 3 ст. 6 ФЗ-152. Без него подрядчик является самостоятельным оператором, и субъект ПДн вправе предъявить претензию к обоим. Это увеличивает количество потенциальных нарушителей и усугубляет позицию компании при проверке РКН.

Обязательные условия договора поручения: перечень действий с ПДн, которые вправе совершать подрядчик; цели обработки (не шире целей, заявленных оператором в уведомлении); обязанность подрядчика соблюдать конфиденциальность; запрет на передачу ПДн третьим лицам без согласия оператора; срок обработки и порядок уничтожения или возврата ПДн после исполнения договора; право оператора проверять соблюдение условий.

Если подрядчик — иностранная компания, дополнительно нужно оценить страну по перечню адекватной защиты РКН и при необходимости получить специальное разрешение. Уведомление о трансграничной передаче подаётся до начала передачи данных.

Шаг 5. Обновите политику обработки ПДн и внутренние регламенты

Политика обработки персональных данных по ст. 18.1 ФЗ-152 должна содержать сведения о лицах, которым оператор поручает обработку, с указанием цели передачи. Если подрядчик добавлен или изменён, политику нужно обновить и заново опубликовать на сайте. Отсутствие актуальной публичной политики — отдельный состав по ч. 3 ст. 13.11 КоАП: штраф 30 000–60 000 ₽.

«Ст. 18.1 ч. 2 ФЗ-152: политика обработки ПДн должна содержать сведения о целях обработки, правовых основаниях, перечне действий с ПДн, категориях субъектов и лицах, которым ПДн передаются.»

Одновременно проверьте согласия субъектов. По ФЗ-156 от 24.06.2025 с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом: оно не может быть частью трудового договора, оферты или политики конфиденциальности. Если согласие включало разрешение на передачу данных подрядчику, и оно было встроено в договор — после 01.09.2025 такое согласие не соответствует требованиям ст. 9 ФЗ-152 в новой редакции для вновь собираемых согласий.

Назначьте ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152. Он координирует взаимодействие с подрядчиками: контролирует исполнение договоров поручения, обновляет реестр подрядчиков, инициирует обновление уведомления при изменении состава контрагентов.

Если вы юрист и проверяете комплаенс компании — убедитесь, что политика обработки ПДн обновлена под новых подрядчиков, а согласия соответствуют требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. Каждое устаревшее согласие — потенциальный штраф по ч. 2 ст. 13.11 до 700 000 ₽.

Заказать аудит 152-ФЗ

Как это применяется на практике

Кейс 1. IT-компания (Сибирский ФО, начало 2026) передавала обработку кадровых ПДн работников внешнему расчётному центру зарплат. В уведомлении РКН подрядчик не был указан. При плановой проверке инспектор запросил договоры с контрагентами: обнаружил расчётный договор с доступом к ФИО, ИНН, банковским реквизитам 400 работников. Составлен протокол по ч. 1 ст. 13.11 КоАП. Штраф — в диапазоне 150 000–300 000 ₽. Юристы оспорили сумму в мировом суде, применив смягчающие обстоятельства: первичность нарушения, добровольное обновление уведомления до вынесения постановления. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Торговая компания (Центральный ФО, осень 2025) использовала маркетинговое агентство для SMS-рассылок. Договор поручения отсутствовал: агентство было оформлено как исполнитель по договору возмездного оказания услуг без упоминания ПДн. Субъект пожаловался в РКН: телефоны передавались агентству без его явного согласия на такую передачу. По итогам рассмотрения жалобы составлен протокол по ч. 1 ст. 13.11 и отдельно по ч. 2 за обработку без надлежащего согласия. Совокупный риск штрафов составил до 1 000 000 ₽. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн при работе с подрядчиками?

Минимальный комплект: уведомление в реестре РКН с корректно заполненным разделом поручения (Приказ РКН №180), договор поручения обработки с каждым подрядчиком по п. 3 ст. 6 ФЗ-152 (с перечнем действий, целями и обязательством соблюдать конфиденциальность), политика обработки ПДн с разделом о третьих лицах по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1. Если подрядчик — иностранная компания, добавляется уведомление о трансграничной передаче по ст. 12 ФЗ-152.

2. Как составить политику обработки ПДн с учётом подрядчиков?

Политика должна содержать раздел «Передача ПДн третьим лицам» с перечислением категорий получателей (расчётные центры, облачные провайдеры, колл-центры) и целей передачи. Указывать конкретные наименования подрядчиков в публичной политике не обязательно — достаточно категорий. Обязательные реквизиты политики закреплены в ч. 2 ст. 18.1 ФЗ-152. Использовать шаблон из интернета без адаптации под конкретную деятельность компании рискованно: состав подрядчиков, категории ПДн и цели — индивидуальны.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственный за организацию обработки ПДн — любое лицо, назначенное приказом руководителя. Закон не требует юридического образования или специальной лицензии. На практике это может быть штатный юрист, руководитель ИТ-службы или HR-директор. Главное — чтобы он реально осуществлял контроль: вёл реестр подрядчиков, контролировал договоры поручения, обновлял уведомления. При аутсорсинге функции DPO эту роль берёт на себя внешний специалист по договору.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как отправная точка, но не как финальный документ. Политика должна отражать фактическую деятельность конкретной компании: реальные цели обработки, реальные категории ПДн, реальных подрядчиков. Шаблон, скопированный без адаптации, создаёт расхождение между декларируемой и фактической обработкой. Это риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽) при проверке инспектором, который сопоставит политику с реальными процессами.

5. Какие согласия нужны после 01.09.2025 при работе с подрядчиками?

По ФЗ-156 от 24.06.2025, действующему с 01.09.2025, согласие на обработку ПДн оформляется отдельным документом — оно не может быть частью договора, оферты или политики конфиденциальности. Если передача ПДн подрядчику требует отдельного согласия субъекта (например, при передаче специальных категорий по ст. 10 ФЗ-152 или при распространении по ст. 10.1), такое согласие должно соответствовать всем реквизитам ст. 9 ФЗ-152: ФИО, цель, перечень ПДн, перечень действий, наименование подрядчика, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется — закон обратной силы не имеет.

6. Что происходит, если подрядчик сменился, а уведомление не обновлено?

Оператор обязан направить в РКН уведомление об изменении сведений по форме Приказа РКН №180. Срок — законом прямо не установлен, но РКН расценивает актуальность реестра как непрерывную обязанность. Если при проверке обнаружено расхождение между реестром и фактическим составом подрядчиков — это нарушение ст. 22 ФЗ-152, квалифицируемое по ч. 1 ст. 13.11 КоАП. Лучшая практика: обновлять уведомление одновременно с подписанием нового договора поручения.

Итог

Раздел поручения обработки в уведомлении РКН — не технический формализм, а юридически значимая декларация. Расхождение между реестром и фактической цепочкой подрядчиков создаёт самостоятельный состав нарушения по ст. 13.11 КоАП. После ФЗ-420 санкции выросли, а практика проверок показывает: РКН сопоставляет договорную базу с уведомлением.

Юристы DATUM сопровождают заполнение и обновление уведомлений, формируют договоры поручения и комплект ОРД для операторов с разветвлённой подрядной сетью. Практика по 152-ФЗ — с 2014 года.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 октября 2026 года