Поручение обработки персональных данных — это модель, при которой оператор привлекает иное лицо для выполнения конкретных действий с ПДн по его инструкциям. Нормы и требования изложены в ст. 12 Закона о персональных данных; см. разбор в статье Ст. 12 152‑ФЗ и полном тексте 152‑ФЗ.
Ключевая идея: цели и средства обработки определяет оператор, а привлечённое лицо действует строго в установленных рамках. Такое фз 152 поручение оформляется договором или иным правовым актом, где фиксируются предмет, состав и сроки обработки, меры защиты, порядок возврата или уничтожения данных.
Чем поручение отличается от распространения и передачи ПДн другим субъектам? При поручении обработчик не получает собственных целей обработки и не становится оператором; при передаче — третье лицо действует как самостоятельный оператор. Подробнее см. раздел Передача третьим лицам.
Поручение обработки персональных данных 152 ФЗ уместно, если:
Это уже передача персональных данных третьим лицам 152 ФЗ, если:
Договор поручения 152 ФЗ должен детализировать, какие действия с данными выполняются, при каких мерах защиты и в какие сроки. Ниже — минимум, который рекомендует фиксировать ст. 12 и практика Роскомнадзора.
| Условие | Что описать | Пример формулировки |
|---|---|---|
| Предмет | Конкретные операции: сбор, запись, хранение, уточнение, обезличивание, уничтожение | Обработчик осуществляет хранение и рассылку уведомлений субъектам по инструкциям оператора |
| Цели и состав ПДн | Категории субъектов, перечень полей, цели обработки | Клиенты; ФИО, телефон, e‑mail; цель — информирование о заказах |
| Сроки | Период обработки и хранения, момент прекращения | До прекращения договора услуг, но не дольше сроков оператора |
| Меры защиты | Организационные и технические меры, уровни защищенности ИСПДн | Классификация ИСПДн, СЗИ, шифрование, журналирование, контроль доступа |
| Конфиденциальность | Обязанность не раскрывать ПДн и защитить тайну | Обязательство сохранять конфиденциальность без ограничения срока |
| Субобработчики | Порядок привлечения третьих лиц, согласование | Привлечение субподрядчиков — только с письменного согласия оператора |
| Инциденты | Сроки уведомления об утечках и нарушениях | Уведомление оператора не позднее 24 часов с момента обнаружения |
| Возврат/уничтожение | Порядок по завершении поручения | Возврат всех носителей и уничтожение копий с актом |
| Проверки | Право аудита и предоставления отчётности | Ежегодный отчёт о мерах защиты и доступ аудиторов |
Полезно закрепить и расширенные условия: локализацию баз граждан РФ, трансграничную обработку, порядок обработки запросов субъектов, формат и частоту отчётности, штрафные санкции. Для контекста требований к защите см. разделы Меры безопасности ПДн, Уровни защищенности ИСПДн и Модель угроз ИСПДн.
При поручении оператор отвечает за соблюдение закона в целом, а обработчик — за исполнение инструкций и обеспечение конфиденциальности и безопасности в своей зоне контроля.
| Роль | Ключевые обязанности |
|---|---|
| Оператор | Определяет цели и средства обработки; выдает документированные инструкции; проверяет обработчика; обеспечивает правовые основания; отвечает перед субъектами и регулятором |
| Обработчик | Действует строго по инструкциям; реализует меры защиты; ведет учет операций; уведомляет об инцидентах; возвращает или уничтожает ПДн по завершении |
Нарушения могут повлечь административную ответственность по ст. 13.11 КоАП РФ и иным нормам. Разобраться в санкциях поможет материал Ответственность и штрафы и КоАП 13.11: ключевые составы. Отдельно учитывайте требования к внутреннему контролю и обучению и инцидентам и утечкам.
Поручение само по себе не создаёт отдельного основания обработки. Обработчик действует на основании того же правового основания, которым оперирует оператор: договор с субъектом, исполнение закона, согласие и так далее. Подбор оснований см. в разделах Принципы и цели обработки и Обработка без согласия. Когда требуется — используйте согласие на обработку ПДн.
Важно
Рекомендуемый цикл оформления поручения включает несколько шагов.
Если обработчик находится за пределами РФ или использует зарубежные площадки, применяются правила трансграничной передачи: проверка уровня защиты страны, соблюдение ограничений, уведомление Роскомнадзора в предусмотренных случаях. См. Трансграничная передача ПДн и порядок Уведомления Роскомнадзора.
Отдельно учтите локализацию баз граждан РФ: запись, систематизация, накопление и хранение первоначально должны осуществляться в базах на территории России. Детали — в Ст. 18.1 152‑ФЗ. Поэтому при использовании зарубежных сервисов проверяйте, есть ли российский сегмент и корректно ли выстроен поток данных.
Рекомендации: закрепить право аудита, требовать ежегодные отчёты, регулярно проводить совместные учения по реагированию на инциденты. О проверках читайте в разделе Проверки Роскомнадзора и раздел с примерами Судебная практика.
Ниже — черновые фрагменты, которые можно адаптировать в ваш шаблон. За полноценным макетом обратитесь к разделу Шаблоны и формы.
Для компаний, работающих с зарубежными поставщиками и по стандартам GDPR, полезно сопоставить российские и европейские требования: см. GDPR и 152‑ФЗ.
Заключение Поручение обработки по ст. 12 — удобный и безопасный способ привлекать подрядчиков к обработке ПДн, если грамотно оформить договор и выстроить контроль. Чёткие инструкции, проверяемые меры защиты и отработанные процедуры инцидентов снижают риски штрафов и утечек. Нужен надёжный договор поручения 152 ФЗ и комплект регламентов Подготовим под ваш процесс или поделимся готовыми шаблонами — обратитесь в раздел Консалтинг или скачайте заготовки в Шаблоны и формы.