инструкция 14 декабря 2026 По состоянию на 14 декабря 2026

SaaS-провайдер: оператор или обработчик

SaaS-провайдер — это оператор ПДн, обработчик или оба одновременно. Ответ зависит от того, кто определяет цели обработки данных клиентов.

Ошибка в квалификации роли влечёт отсутствие уведомления РКН по ст. 22 ФЗ-152 и неполный пакет ОРД — штраф по ч. 1 ст. 13.11 КоАП от 150 000 ₽, а при повторном нарушении до 500 000 ₽.

Если вы юрист SaaS-компании и не уверены в роли провайдера — эта инструкция даёт порядок квалификации, перечень ОРД и алгоритм оформления поручения на обработку.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи. SaaS-провайдер, неверно определивший свою роль и не подавший уведомление в РКН, рискует штрафом от 100 000 до 300 000 ₽ только за неуведомление (ч. 10 ст. 13.11). Эта инструкция — последовательный алгоритм: как квалифицировать роль, какие документы составить и что поставить в ОРД в зависимости от результата квалификации.

Шаг 1. Определите, кто фактически задаёт цели обработки ПДн

Ключевой критерий разграничения ролей — кто определяет цели и состав обрабатываемых персональных данных. Это закреплено в ст. 3 ФЗ-152: оператор самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн и определяет её цели. Обработчик действует только по поручению оператора и в рамках этого поручения.

Применительно к SaaS три типичные ситуации дают разные ответы.

SaaS-провайдер — оператор. Компания самостоятельно собирает данные пользователей сервиса (имя, email, платёжные данные) для целей оказания услуги, биллинга, маркетинга. Цели и состав данных определяет сама компания. Требуется уведомление РКН, политика конфиденциальности, согласия, назначение ответственного по ст. 22.1 ФЗ-152.
SaaS-провайдер — обработчик. Клиент-бизнес (например, интернет-магазин) передаёт провайдеру доступ к своим клиентским данным для обработки через платформу. Цели определяет клиент. Провайдер обрабатывает данные строго по его поручению. Требуется договор-поручение по п. 3 ст. 6 ФЗ-152, конфиденциальность, перечень разрешённых действий.
Двойная роль. Провайдер одновременно является оператором (в отношении данных своих пользователей — регистрационных, платёжных) и обработчиком (в отношении данных конечных клиентов своих заказчиков). Это самый распространённый сценарий в B2B-SaaS. ОРД нужен для обеих ролей.

«Ст. 3 ФЗ-152: оператор — лицо, организующее и (или) осуществляющее обработку ПДн, определяющее цели и состав обрабатываемых ПДн, а также совершаемые с ними действия.»

Проверочный вопрос для юриста: «Кто в итоге решает, какие данные собирать и зачем?» Если ответ — провайдер, это оператор. Если клиент задаёт цели, а провайдер только исполняет технические функции — это обработчик.

Шаг 2. Проверьте наличие уведомления в реестре РКН

Если по итогам шага 1 провайдер является оператором (полностью или частично), он обязан уведомить Роскомнадзор о намерении обрабатывать ПДн до начала обработки — ст. 22 ФЗ-152. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022. Подача — через pd.rkn.gov.ru с ЕСИА или усиленной квалифицированной подписью.

Уведомление не подано или данные в реестре устарели?

Если SaaS-компания обрабатывает ПДн пользователей, но не числится в реестре операторов РКН — это нарушение ч. 1 ст. 22 ФЗ-152. Штраф за неуведомление по ч. 10 ст. 13.11 КоАП — от 100 000 до 300 000 ₽. Срок включения в реестр после подачи уведомления — 30 дней. Юристы DATUM проверят статус, подготовят уведомление и направят его в РКН.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · info@vitveteam.ru · Telegram

Сведения в реестре необходимо поддерживать в актуальном состоянии: при изменении состава обрабатываемых данных, целей, добавлении новых категорий субъектов или прекращении обработки провайдер подаёт уведомление об изменении сведений через ту же форму. Типичная ошибка SaaS-компаний — уведомление подано один раз при запуске, но после выхода нового модуля (например, HR-инструмента или аналитики) состав обрабатываемых данных расширился без обновления реестровых сведений.

Если по итогам шага 1 провайдер — только обработчик, подавать уведомление как оператор не требуется. Но нужен надлежащий договор-поручение (шаг 4).

Шаг 3. Составьте политику конфиденциальности по ст. 18.1 ФЗ-152

Оператор обязан опубликовать документ, определяющий его политику в отношении обработки ПДн — ч. 2 ст. 18.1 ФЗ-152. Для SaaS-сервиса с сайтом это политика конфиденциальности, доступная неограниченному кругу лиц по прямой ссылке. Отсутствие политики или её несоответствие требованиям — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.

Обязательные разделы политики согласно ч. 2 ст. 18.1 ФЗ-152:

наименование и контактные данные оператора;
цели обработки ПДн и правовые основания по ст. 6 ФЗ-152;
категории субъектов и перечень обрабатываемых ПДн;
сроки хранения и критерии их определения;
порядок реализации прав субъектов (ст. 14–21 ФЗ-152);
порядок обработки по поручению (если используются обработчики);
трансграничная передача (если применяется);
дата актуальности и порядок изменений.

«Ст. 18.1 ч. 2 ФЗ-152: оператор обязан опубликовать или обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, и к сведениям о реализуемых требованиях к защите ПДн.»

Использовать шаблон политики из открытых источников без адаптации недопустимо: типовые шаблоны не отражают фактический состав данных, реальных обработчиков (CDN, почтовые сервисы, аналитика) и не содержат актуальных реквизитов оператора. РКН при проверке сверяет политику с фактической обработкой.

Как правильно оформить поручение на обработку ПДн?

Если SaaS-провайдер выступает обработчиком по поручению клиента-оператора, отношения оформляются договором-поручением по п. 3 ст. 6 ФЗ-152. Это может быть отдельный договор или специальный раздел (приложение) к основному договору об оказании услуг. Обработка ПДн без оформленного поручения — нарушение ст. 6 ФЗ-152 со стороны оператора-клиента; провайдер в таком случае действует без надлежащего правового основания.

Обязательные условия договора-поручения:

перечень ПДн, передаваемых для обработки;
перечень разрешённых действий (хранение, систематизация, передача, уничтожение — только то, что реально необходимо);
цели обработки — строго те, что определил оператор;
обязанность обработчика соблюдать конфиденциальность;
обязанность применять технические и организационные меры по ст. 19 ФЗ-152;
запрет передачи данных третьим лицам без согласия оператора;
порядок уничтожения ПДн по завершении поручения или при отзыве.

Если у SaaS-компании нет договора-поручения с клиентами или он не содержит обязательных условий по п. 3 ст. 6 ФЗ-152 — это риск штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM подготовят типовое приложение о поручении обработки под специфику конкретного SaaS-продукта.

Собрать ОРД под ключ

Отдельный вопрос — субпоручение. Если провайдер привлекает собственных подрядчиков (облачный хостинг, CDN, служба поддержки с доступом к данным), каждый из них тоже является обработчиком по субпоручению. Право на субпоручение должно быть прямо предусмотрено в договоре с клиентом-оператором. Ответственность перед оператором за действия субобработчика несёт провайдер.

Шаг 5. Назначьте ответственного за организацию обработки ПДн

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — ст. 22.1 ФЗ-152. Это не DPO в европейском смысле, но функционально близко: сотрудник отвечает за внутренний контроль, взаимодействие с РКН, ответы на запросы субъектов.

Требования к назначению:

приказ руководителя о назначении конкретного сотрудника;
должностная инструкция или регламент с перечнем обязанностей;
контактные данные ответственного должны быть указаны в политике конфиденциальности и в уведомлении в РКН.

Для SaaS-компаний типична ошибка: ответственным формально назначают IT-директора, но реальных полномочий по взаимодействию с РКН и ответам субъектам он не получает. При проверке это выявляется через журнал входящих запросов: если запросы субъектов ПДн поступали, но ответы не направлялись в срок 10 рабочих дней по ст. 20 ФЗ-152, — нарушение ч. 4 ст. 13.11 КоАП (от 40 000 до 80 000 ₽).

Альтернатива штатному назначению — DPO-аутсорсинг: функция ответственного передаётся специализированной компании по договору. Это законная модель: ст. 22.1 ФЗ-152 не ограничивает форму назначения — сотрудник или привлечённый специалист.

Какие согласия субъектов нужны SaaS-провайдеру после 01.09.2025?

С 01.09.2025 вступила в силу редакция ч. 1 ст. 9 ФЗ-152, введённая ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом. Включать согласие в текст договора, оферты, политики конфиденциальности или пользовательского соглашения больше нельзя.

Для SaaS-провайдера как оператора это означает:

форма регистрации на сервисе не может содержать единый чекбокс «принимаю условия и соглашаюсь на обработку ПДн»;
согласие должно быть автономным — отдельная форма или отдельный чекбокс исключительно для обработки ПДн;
реквизиты согласия по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта на обработку его ПДн оформляется отдельным документом (или отдельным действием в электронной форме), не объединяется с иными документами.»

Ранее полученные согласия, встроенные в договор или пользовательское соглашение, обратной силы не имеют — ФЗ-156 не обязывает переоформлять их принудительно. Но для всех новых регистраций после 01.09.2025 необходима обновлённая форма. Если провайдер не обновил форму — обработка ПДн новых пользователей ведётся без надлежащего согласия, что квалифицируется по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽).

Отдельно — согласие на распространение ПДн по ст. 10.1 ФЗ-152, если сервис публикует пользовательские профили или передаёт данные партнёрам для маркетинга. Это самостоятельное согласие, его отсутствие — нарушение ст. 10.1.

Что подготовить SaaS-провайдеру для соответствия 152-ФЗ

Выписка из реестра операторов ПДн с pd.rkn.gov.ru (или уведомление с отметкой о принятии, если подано недавно)
Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная по прямой ссылке на сайте
Отдельные формы согласия субъектов по новой редакции ст. 9 ФЗ-152 (для регистраций после 01.09.2025)
Договоры-поручения на обработку ПДн с каждым клиентом-оператором (B2B) и субобработчиками (хостинг, CDN, поддержка)
Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с должностной инструкцией и контактными данными в политике

Практические сценарии: как квалифицируют роль SaaS-провайдера

Сценарий 1. Облачная CRM без поручения. SaaS-провайдер предоставляет CRM-систему малому бизнесу. В базе данных клиенты-покупатели заказчика. Договор с заказчиком не содержит раздела о поручении обработки. При проверке РКН: провайдер фактически обрабатывает чужие ПДн без правового основания. Квалификация — нарушение ст. 6 ФЗ-152 со стороны оператора-заказчика; провайдер несёт репутационный и договорный риск. Стратегия — немедленно оформить приложение о поручении к каждому договору.

Сценарий 2. HR-SaaS с двойной ролью. Провайдер HR-платформы собирает данные своих корпоративных клиентов (контактные лица, реквизиты) как оператор и обрабатывает данные сотрудников заказчиков через платформу как обработчик. Уведомление в РКН подано только по первой роли. При проверке выявлено: реестровые сведения не отражают обработку специальных категорий ПДн (данные о состоянии здоровья в модуле больничных листов). Штраф по ч. 1.1 ст. 13.11 КоАП за повторное нарушение — до 500 000 ₽. Стратегия — ежегодный внутренний аудит состава обрабатываемых данных с обновлением уведомления.

Сценарий 3. Отказ от согласия после 01.09.2025. Провайдер аналитического SaaS обновил форму регистрации: добавил отдельный чекбокс согласия, но текст чекбокса отсылал к политике конфиденциальности, не содержа самостоятельного перечня ПДн и действий. По позиции РКН это не соответствует требованию отдельного документа по ст. 9 ФЗ-152. Квалификация — ч. 2 ст. 13.11, штраф 300 000–700 000 ₽. Стратегия — форма согласия должна содержать все обязательные реквизиты ст. 9, а не ссылку на другой документ.

В практике арбитражных судов (Северо-Западный ФО, 2025–2026 гг.) оператор несёт ответственность за утечку, произошедшую через подрядчика-обработчика, если договор-поручение не предусматривал надлежащих мер защиты. Суды применяют принцип: оператор выбрал ненадлежащего обработчика — его риск.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка роли оператора/обработчика, состава ОРД, уведомления РКН
Комплект ОРД под ключ — политика, согласия, поручения, приказы по новым требованиям
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику конфиденциальности по ст. 18.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152 (в формате отдельного документа с 01.09.2025), приказ о назначении ответственного по ст. 22.1 ФЗ-152, регламент реагирования на запросы субъектов, инструктаж работников, имеющих доступ к ПДн, и журналы учёта обращений. Для SaaS с корпоративными клиентами — договоры-поручения на обработку по п. 3 ст. 6 ФЗ-152.

2. Как составить политику обработки ПДн?

Политика разрабатывается под фактическую обработку: перечислите все категории данных, которые реально собирает сервис, укажите цель и правовое основание для каждой категории по ст. 6 ФЗ-152, перечислите всех обработчиков-подрядчиков (хостинг, аналитика, рассылки), укажите сроки хранения и порядок уничтожения. Шаблон из интернета без адаптации не отражает реальных процессов и не защитит при проверке РКН — инспектор сравнивает политику с фактической обработкой.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 не устанавливает требований к должности: это может быть юрист, руководитель службы ИБ, операционный директор или внешний специалист по договору. Главное — наличие реальных полномочий: доступ к документации, право взаимодействовать с РКН, обязанность отвечать на запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152. Контактные данные ответственного публикуются в политике конфиденциальности и вносятся в уведомление РКН.

4. Можно ли использовать шаблон политики из интернета?

Использовать готовый шаблон без глубокой адаптации — риск. Типовые шаблоны не содержат фактических данных о конкретном операторе, реальном составе обрабатываемых ПДн, перечне подрядчиков-обработчиков и актуальных реквизитах. РКН при плановой и внеплановой проверке запрашивает политику и сверяет её содержание с реальными потоками данных. Несоответствие — нарушение ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽), а если политика скрывает реальные цели обработки — возможна квалификация по ч. 1 ст. 13.11 (150 000–300 000 ₽).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом: не встраивается в договор, оферту или пользовательское соглашение. Согласие должно содержать все реквизиты ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий, срок действия, способ отзыва. Обратная сила у нормы отсутствует: ранее полученные согласия не аннулируются, но все новые регистрации и обращения после 01.09.2025 требуют обновлённой формы. Нарушение — ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽.

Итог

Квалификация роли SaaS-провайдера — первый шаг к формированию правильного пакета ОРД. Ошибка в роли тянет за собой отсутствие уведомления, неполноту договоров-поручений и несоответствие согласий требованиям ст. 9 ФЗ-152 в редакции с 01.09.2025. Совокупность этих нарушений при проверке РКН — несколько протоколов по ст. 13.11 КоАП одновременно.

Практика DATUM по сопровождению SaaS-компаний охватывает квалификацию роли, формирование полного пакета ОРД, оформление договоров-поручений с корпоративными клиентами и субобработчиками, обновление форм согласий под редакцию ФЗ-156.

АГ

Антон Громов

Аналитик · Технологии и ИБ

Аналитик DATUM по технологиям и ИБ. Специализация — техническая сторона 152-ФЗ: УЗ-1..4, Приказ ФСТЭК № 21, обезличивание для ML, SaaS-инфраструктура, реагирование на утечки за 24/72 ч, ст. 272.1 УК.

14 декабря 2026 года