аналитика 28 августа 2027 По состоянию на 28 августа 2027

СБИС и Контур как операторы ПДн

СБИС (Тензор) и СКБ Контур обрабатывают персональные данные сотрудников, контрагентов и пользователей сервисов — и как самостоятельные операторы, и как обработчики по поручению своих клиентов. Разграничение ролей напрямую влияет на распределение ответственности по ст. 13.11 КоАП.

С 30.05.2025 штраф за утечку от 10 000 субъектов достигает 10 млн ₽ (ч. 13 ст. 13.11 КоАП), а при повторности — оборотного размера до 500 млн ₽. Компании, передающие обработку ПДн в СБИС или Контур, несут ответственность наравне с этими сервисами, если поручение оформлено с нарушениями.

→ Если вы юрист и проверяете комплаенс компании, использующей СБИС или Контур, — убедитесь, что договор с вендором содержит поручение обработки по п. 3 ст. 6 ФЗ-152, а не просто пользовательское соглашение.

Большинство компаний подключают СБИС или Контур как учётный или кадровый инструмент и не задумываются о правовом статусе этих сервисов в контексте 152-ФЗ. Между тем Роскомнадзор при проверках последовательно квалифицирует отсутствие оформленного поручения обработки как самостоятельное нарушение — со штрафом по ч. 1 ст. 13.11 КоАП. В материале разобраны: правовые роли вендоров, требования к документам, индикаторы риска РКН и стратегия при проверке или предписании.

Что означает быть оператором ПДн и при чём здесь СБИС и Контур?

Оператор персональных данных по ст. 3 ФЗ-152 — лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку ПДн, а также определяет её цели и состав. Тензор (СБИС) и СКБ Контур подпадают под это определение по нескольким основаниям одновременно.

Во-первых, они обрабатывают данные своих работников и собственных клиентов как любая организация-работодатель. Во-вторых, хранят на своих серверах ПДн пользователей сервисов — физических лиц, подписавших пользовательские соглашения. В-третьих, при подключении кадровых, бухгалтерских и ЭДО-модулей принимают на обработку данные работников компаний-клиентов — то есть выступают обработчиком по поручению (п. 3 ст. 6 ФЗ-152).

Ключевой вопрос для юриста, проверяющего комплаенс: в каком из трёх режимов работает вендор в каждом конкретном сервисе? От ответа зависит, какие документы обязана оформить ваша компания и кто несёт ответственность при инциденте.

«Ст. 6 п. 3 ФЗ-152: обработка ПДн по поручению оператора допускается только при заключении договора, который обязывает обработчика соблюдать конфиденциальность и обеспечивать защиту ПДн. Оператор несёт ответственность перед субъектами ПДн за действия обработчика.»

На практике многие компании подписывают с Тензором или Контуром стандартный договор на программное обеспечение, который не содержит поручения обработки с обязательными реквизитами — перечнем ПДн, целями, действиями и мерами защиты. С точки зрения РКН это означает, что ПДн работников передаются третьей стороне без надлежащего основания, что образует состав нарушения ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом).

Договор с СБИС или Контуром проверен на поручение обработки?

Если юрист компании не уверен, содержит ли действующий договор с вендором обязательные реквизиты поручения по п. 3 ст. 6 ФЗ-152, — это первый индикатор риска при проверке РКН. Отсутствие поручения при наличии фактической передачи данных образует нарушение ч. 1 ст. 13.11 КоАП с штрафом до 300 000 ₽. Юристы DATUM проведут аудит комплекта документов по чек-листу из 38 пунктов и выявят пробелы до того, как это сделает инспектор.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие данные передаются в СБИС и Контур и как это квалифицирует РКН?

Состав ПДн, поступающих в системы Тензора и СКБ Контур, зависит от подключённых модулей. В кадровом учёте СБИС — это ФИО, паспортные данные, ИНН, СНИЛС, адрес регистрации, сведения о трудовой книжке, банковские реквизиты для зарплаты. В ЭДО Контур Диадок — ФИО и должность подписанта, ИНН физического лица. В системах сдачи отчётности — ПДн работников в составе 2-НДФЛ, СЗВ-М, персонифицированных сведений.

Роскомнадзор при проверках обращает внимание на три аспекта. Первый — соответствие объёма передаваемых данных цели обработки (принцип минимизации, ст. 5 ФЗ-152): если для сдачи отчётности передаются паспортные данные работников в полном объёме, а не только ИНН и СНИЛС, — это нарушение. Второй — уведомление субъектов о том, что их ПДн обрабатываются с привлечением третьей стороны (требование прозрачности). Третий — локализация: данные граждан РФ по ч. 5 ст. 18 ФЗ-152 должны обрабатываться в базах, расположенных в России. Оба вендора декларируют хранение данных в российских дата-центрах, однако компания-клиент обязана убедиться в этом самостоятельно и отразить в документах.

«Ст. 5 ФЗ-152 (принцип соответствия объёма целям): обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям обработки. Передача вендору полного пакета паспортных данных при цели «сдача налоговой отчётности» нарушает этот принцип.»

Отдельный вопрос — биометрические данные. Если работодатель использует СКУД с биометрической идентификацией через СБИС, фотографии лиц работников квалифицируются как биометрические ПДн по ст. 11 ФЗ-152 и требуют письменного согласия каждого работника с обязательными реквизитами. Передача таких данных вендору без отдельного блока в поручении обработки — нарушение ч. 2 ст. 13.11 КоАП с штрафом до 700 000 ₽ за компанию.

Как РКН выявляет нарушения у компаний, использующих СБИС и Контур?

С 2022 года Роскомнадзор применяет риск-ориентированный подход: вместо сплошных плановых проверок — профилактические визиты и внеплановые проверки по индикаторам риска. Для компаний, использующих корпоративные SaaS-системы, значимы следующие индикаторы.

Первый — отсутствие в реестре операторов ПДн на портале pd.rkn.gov.ru или несоответствие сведений в уведомлении реальной обработке. Если компания не указала в уведомлении по Приказу РКН №180, что передаёт данные обработчику, это фиксируется как расхождение. Второй — жалобы субъектов ПДн: работник, которого не уведомили о передаче его данных в СБИС, может обратиться в РКН напрямую. Третий — утечки данных, опубликованные в открытых источниках или даркнете: если в скомпрометированной базе прослеживаются данные из СБИС-системы компании, РКН инициирует внеплановую проверку по ч. 3.1 ст. 21 ФЗ-152.

Профилактический визит — это обследование без акта и штрафа, но с выдачей предписания. Отказ от взаимодействия при профвизите фиксируется как основание для перехода к внеплановой проверке. При плановой проверке (включённой в план на pd.rkn.gov.ru) инспектор запрашивает полный комплект ОРД: политику обработки, приказ об ответственном по ст. 22.1 ФЗ-152, согласия работников, договоры с обработчиками, уведомление в реестре. Отсутствие любого из этих документов — самостоятельный состав нарушения.

Что подготовить юристу при работе с СБИС или Контуром

Актуальное уведомление в реестре операторов РКН (Приказ №180) с указанием обработчиков и трансграничной передачи при наличии
Договор (дополнительное соглашение) с Тензором / СКБ Контур, содержащий поручение обработки по п. 3 ст. 6 ФЗ-152: перечень ПДн, цели, действия, меры защиты, срок
Отдельные согласия работников на обработку ПДн с перечислением обработчиков (в редакции ФЗ-156 с 01.09.2025 — отдельный документ, не вшитый в трудовой договор)
Политика обработки ПДн с разделом о привлечении обработчиков, опубликованная на сайте (ч. 2 ст. 18.1 ФЗ-152)
Подтверждение локализации от вендора: документ о размещении серверов в РФ

Если юрист получил уведомление о предстоящей проверке РКН и в комплекте документов нет поручений обработки с СБИС или Контуром — до визита инспектора остаётся не более 20 рабочих дней. Юристы DATUM подготовят документы и представят интересы компании на проверке.

Подготовиться к проверке РКН

Типовые ситуации: как распределяется ответственность при инциденте

Ситуация 1. Утечка произошла на стороне вендора, поручение не оформлено. Компания-клиент передавала кадровые данные в СБИС без договора о поручении. При утечке РКН возбуждает дело в отношении компании-клиента как оператора — именно она несёт ответственность перед субъектами. Одновременно фиксируется нарушение ч. 1 ст. 13.11 (передача данных без основания, штраф до 300 000 ₽) и ч. 12 ст. 13.11 (утечка от 1 000 субъектов, штраф 3–5 млн ₽). Ссылка на то, что «данные хранились у вендора», не снимает ответственности — Верховный суд РФ последовательно подтверждает: оператор отвечает за действия обработчика.

Ситуация 2. Поручение оформлено, но не содержит мер защиты. Договор с Контуром есть, однако в нём нет раздела об обязательных мерах безопасности (уровень защищённости по ПП РФ №1119, требования Приказа ФСТЭК №21). При проверке инспектор квалифицирует это как нарушение ст. 19 ФЗ-152 и ч. 1 ст. 13.11 КоАП. Штраф для юрлица — до 300 000 ₽; при повторности (ч. 1.1) — до 500 000 ₽. Стратегия защиты: показать переписку с вендором, внутренние SLA и заключение технического аудита как свидетельство добросовестности.

Ситуация 3. РКН вынес предписание устранить нарушение — компания не выполнила в срок. Предписание обязывает дооформить поручение обработки и актуализировать уведомление в реестре в течение 30 дней. Компания направила вендору письмо, однако согласование допсоглашения затянулось. По истечении срока РКН составляет протокол о невыполнении предписания — это уже административное нарушение по ч. 5 ст. 13.11 КоАП со штрафом до 90 000 ₽; при повторности (ч. 5.1) — до 500 000 ₽. Стратегия: обжаловать предписание в арбитражном суде одновременно с переговорами с вендором — это даст время и снизит риск нарастания санкций.

Как это применяется на практике

Кейс 1. IT-интегратор (Уральский ФО, лето 2025) использовал СБИС HR для ведения кадрового учёта около 400 работников. При профилактическом визите РКН инспектор запросил договоры с обработчиками. Договор с Тензором не содержал поручения обработки — только лицензионное соглашение. Компания получила предписание оформить поручение и актуализировать уведомление в реестре в течение 30 дней. Юристы подготовили дополнительное соглашение, включающее перечень ПДн, цели, меры защиты (УЗ-3 по ПП РФ №1119) и срок. Предписание выполнено в срок, протокол не составлен.

Кейс 2. Производственная компания (Приволжский ФО, осень 2025) передавала в Контур Экстерн отчётность с данными примерно 1 200 работников. После публикации в открытом доступе фрагментов базы со СНИЛС сотрудников РКН инициировал внеплановую проверку. Установлено отсутствие поручения обработки и неуведомление об инциденте в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Составлены протоколы по ч. 11 (неуведомление об утечке, штраф 1–3 млн ₽) и ч. 12 (утечка от 1 000 субъектов, штраф 3–5 млн ₽) ст. 13.11 КоАП. В арбитражном суде по ч. 11 применена ст. 4.1.1 КоАП (замена на предупреждение при первичном нарушении), по ч. 12 — штраф снижен до минимального размера с учётом смягчающих обстоятельств.

Услуги DATUM по теме

Сопровождение проверки РКН — подготовка к проверке, представление интересов, обжалование предписания
Аудит соответствия 152-ФЗ — проверка комплекта ОРД, договоров с обработчиками, уведомления в реестре
Защита при штрафе в арбитраже — оспаривание протокола и постановления, применение ст. 4.1 и ст. 4.1.1 КоАП

Частые вопросы

1. Как подготовиться к проверке РКН, если компания использует СБИС или Контур?

Начните с проверки уведомления в реестре операторов на pd.rkn.gov.ru: в нём должны быть указаны обработчики, цели и состав обрабатываемых ПДн. Затем проверьте договоры с Тензором и СКБ Контур на наличие поручения обработки с обязательными реквизитами по п. 3 ст. 6 ФЗ-152. Убедитесь, что согласия работников оформлены отдельными документами (требование ФЗ-156 с 01.09.2025) и включают указание на конкретных обработчиков. Политика обработки ПДн должна быть опубликована на сайте компании.

2. Какие индикаторы риска РКН применяются к компаниям — пользователям SaaS-систем?

Основные индикаторы: несоответствие сведений в реестре операторов фактической обработке (например, не указан обработчик); жалобы субъектов на неинформирование о передаче их данных третьим лицам; выявление данных компании в публичных утечках или даркнет-дампах. Кроме того, РКН при анализе отраслевого сегмента может включить компанию в план плановых проверок, публикуемый заблаговременно. Профилактические визиты проводятся без предварительного предупреждения — готовность должна быть постоянной.

3. Можно ли отказаться отвечать на запрос РКН?

Отказ от взаимодействия с РКН при профилактическом визите или запросе документов не предусмотрен как законное основание, и на практике фиксируется регулятором как отягчающее обстоятельство. При плановой или внеплановой проверке компания обязана предоставить запрошенные документы в установленный срок. Непредоставление квалифицируется по ст. 19.7 КоАП РФ. Юридически корректная стратегия — взаимодействовать через представителя (юриста) с подготовленными позициями по каждому спорному вопросу.

4. Что грозит за невыполнение предписания РКН?

Невыполнение предписания в установленный срок образует состав по ч. 5 ст. 13.11 КоАП — штраф для юрлица 50 000–90 000 ₽. При повторном невыполнении применяется ч. 5.1 той же статьи — штраф возрастает до 300 000–500 000 ₽. Если предписание касается устранения нарушений, повлёкших утечку, и нарушение не устранено, — это учитывается как отягчающее обстоятельство при расчёте штрафа по ч. 12–14 ст. 13.11 КоАП. Предписание можно обжаловать в арбитражном суде в течение 3 месяцев с момента получения.

5. Куда обжаловать постановление РКН по ст. 13.11 КоАП?

С 28.12.2025 (ФЗ-508) дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районном суде в течение 10 суток с момента вручения. Решение районного суда — в суде субъекта РФ (кассация). Если дело рассматривалось по правилам гл. 23 КоАП арбитражным судом (до ФЗ-508) — жалоба подаётся в арбитражный суд апелляционной инстанции. При оспаривании важно параллельно применять основания по ст. 4.1 КоАП (смягчение) и ст. 4.1.1 КоАП (замена на предупреждение для субъектов МСП при первичном нарушении, кроме ч. 15 и ч. 18).

Итог

СБИС и Контур выступают обработчиками ПДн по поручению в тот момент, когда на их серверах появляются данные работников или контрагентов компании-клиента. Без надлежащего поручения по п. 3 ст. 6 ФЗ-152 эта передача образует нарушение вне зависимости от того, произошла ли утечка. При утечке ответственность оператора (вашей компании) наступает автоматически — независимо от вины вендора.

DATUM сопровождает проверки РКН в компаниях, использующих корпоративные SaaS-системы: от аудита договоров с обработчиками до обжалования предписаний и постановлений в суде.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.