Поручение обработки ПДн: договор и ответственность (ст. 12)

Поручение обработки ПДн: договор и ответственность (ст. 12)

Что такое поручение обработки по ФЗ‑152

Поручение обработки персональных данных — это модель, при которой оператор привлекает иное лицо для выполнения конкретных действий с ПДн по его инструкциям. Нормы и требования изложены в ст. 12 Закона о персональных данных; см. разбор в статье Ст. 12 152‑ФЗ и полном тексте 152‑ФЗ.

Ключевая идея: цели и средства обработки определяет оператор, а привлечённое лицо действует строго в установленных рамках. Такое фз 152 поручение оформляется договором или иным правовым актом, где фиксируются предмет, состав и сроки обработки, меры защиты, порядок возврата или уничтожения данных.

Чем поручение отличается от распространения и передачи ПДн другим субъектам? При поручении обработчик не получает собственных целей обработки и не становится оператором; при передаче — третье лицо действует как самостоятельный оператор. Подробнее см. раздел Передача третьим лицам.

Когда оформлять поручение, а когда — передачу третьим лицам

Поручение обработки персональных данных 152 ФЗ уместно, если:

• привлекается аутсорсинг контакт‑центра, бухгалтерии, курьерской службы;
• используется облачный хостинг или коллокейшн исключительно для размещения ИСПДн;
• внедряется сервис рассылок, который отправляет письма от имени оператора по его спискам;
• подрядчик обслуживает информационные системы и не использует ПДн в собственных целях.

Это уже передача персональных данных третьим лицам 152 ФЗ, если:

• партнёр сам определяет цели и средства обработки (например, использует полученные ПДн для своей рекламы или аналитики);
• сервис объединяет данные разных клиентов ради собственных целей;
• провайдер непозволительно расширяет назначение обработки за пределы инструкций. В таких случаях третье лицо становится самостоятельным оператором. См. подробнее: Передача ПДн третьим лицам и Реклама и ПДн.

Обязательные условия договора поручения

Договор поручения 152 ФЗ должен детализировать, какие действия с данными выполняются, при каких мерах защиты и в какие сроки. Ниже — минимум, который рекомендует фиксировать ст. 12 и практика Роскомнадзора.

Условие	Что описать	Пример формулировки
Предмет	Конкретные операции: сбор, запись, хранение, уточнение, обезличивание, уничтожение	Обработчик осуществляет хранение и рассылку уведомлений субъектам по инструкциям оператора
Цели и состав ПДн	Категории субъектов, перечень полей, цели обработки	Клиенты; ФИО, телефон, e‑mail; цель — информирование о заказах
Сроки	Период обработки и хранения, момент прекращения	До прекращения договора услуг, но не дольше сроков оператора
Меры защиты	Организационные и технические меры, уровни защищенности ИСПДн	Классификация ИСПДн, СЗИ, шифрование, журналирование, контроль доступа
Конфиденциальность	Обязанность не раскрывать ПДн и защитить тайну	Обязательство сохранять конфиденциальность без ограничения срока
Субобработчики	Порядок привлечения третьих лиц, согласование	Привлечение субподрядчиков — только с письменного согласия оператора
Инциденты	Сроки уведомления об утечках и нарушениях	Уведомление оператора не позднее 24 часов с момента обнаружения
Возврат/уничтожение	Порядок по завершении поручения	Возврат всех носителей и уничтожение копий с актом
Проверки	Право аудита и предоставления отчётности	Ежегодный отчёт о мерах защиты и доступ аудиторов

Полезно закрепить и расширенные условия: локализацию баз граждан РФ, трансграничную обработку, порядок обработки запросов субъектов, формат и частоту отчётности, штрафные санкции. Для контекста требований к защите см. разделы Меры безопасности ПДн, Уровни защищенности ИСПДн и Модель угроз ИСПДн.

Роли и ответственность сторон

При поручении оператор отвечает за соблюдение закона в целом, а обработчик — за исполнение инструкций и обеспечение конфиденциальности и безопасности в своей зоне контроля.

Роль	Ключевые обязанности
Оператор	Определяет цели и средства обработки; выдает документированные инструкции; проверяет обработчика; обеспечивает правовые основания; отвечает перед субъектами и регулятором
Обработчик	Действует строго по инструкциям; реализует меры защиты; ведет учет операций; уведомляет об инцидентах; возвращает или уничтожает ПДн по завершении

Нарушения могут повлечь административную ответственность по ст. 13.11 КоАП РФ и иным нормам. Разобраться в санкциях поможет материал Ответственность и штрафы и КоАП 13.11: ключевые составы. Отдельно учитывайте требования к внутреннему контролю и обучению и инцидентам и утечкам.

Правовые основания и согласия

Поручение само по себе не создаёт отдельного основания обработки. Обработчик действует на основании того же правового основания, которым оперирует оператор: договор с субъектом, исполнение закона, согласие и так далее. Подбор оснований см. в разделах Принципы и цели обработки и Обработка без согласия. Когда требуется — используйте согласие на обработку ПДн.

Важно

• Если обработчик выходит за пределы целей и инструкций, он становится самостоятельным оператором и требуется передача ПДн третьим лицам 152 ФЗ со всеми вытекающими требованиями.
• Для специальных категорий, биометрических и медицинских данных действуют дополнительные условия: см. Специальные категории, Биометрические ПДн, Медицинские ПДн.

Порядок заключения и контроль исполнения

Рекомендуемый цикл оформления поручения включает несколько шагов.

1. Классифицировать сценарий и подтвердить, что это именно поручение, а не передача третьим лицам. При сомнении — выбрать более строгий вариант.
2. Провести оценку поставщика: наличие СЗИ, регламентов, компетенций. Для хостинга см. Серверы, хостинг, ЦОД и Облака: Yandex Cloud.
3. Подготовить договор поручения 152 ФЗ с перечнем мер безопасности, правом аудита, порядком отчётности и инцидентов, сроками хранения. Поможет набор из раздела Пакет документов 152‑ФЗ.
4. Настроить технические меры: шифрование, журналирование, контроль доступа, двухфакторная аутентификация, https. См. Криптография и шифрование и SSL/HTTPS.
5. Зафиксировать поручение во внутренних реестрах, обновить Политику обработки ПДн.
6. Организовать контроль: периодические аудиты, отчёты, тесты восстановления, проверка субобработчиков.
7. По завершении — документально подтвердить возврат или уничтожение и блокировку, синхронизировать сроки хранения ПДн и прекращение обработки.

Трансграничная обработка по поручению и локализация

Если обработчик находится за пределами РФ или использует зарубежные площадки, применяются правила трансграничной передачи: проверка уровня защиты страны, соблюдение ограничений, уведомление Роскомнадзора в предусмотренных случаях. См. Трансграничная передача ПДн и порядок Уведомления Роскомнадзора.

Отдельно учтите локализацию баз граждан РФ: запись, систематизация, накопление и хранение первоначально должны осуществляться в базах на территории России. Детали — в Ст. 18.1 152‑ФЗ. Поэтому при использовании зарубежных сервисов проверяйте, есть ли российский сегмент и корректно ли выстроен поток данных.

Типичные ошибки и практика проверок

• Отсутствует оформленное поручение, хотя фактически обработчик имеет доступ к ПДн.
• Договор общий, без конкретики: не указаны цели, состав ПДн, сроки, меры защиты.
• Не урегулированы субобработчики — данные передаются дальше без согласия оператора.
• Нет процедуры уведомления об инцидентах и сроков реакции.
• Несогласованная трансграничная передача.
• Несоответствие мер защиты рискам и уровню ИСПДн.

Рекомендации: закрепить право аудита, требовать ежегодные отчёты, регулярно проводить совместные учения по реагированию на инциденты. О проверках читайте в разделе Проверки Роскомнадзора и раздел с примерами Судебная практика.

Пример формулировок для договора поручения

Ниже — черновые фрагменты, которые можно адаптировать в ваш шаблон. За полноценным макетом обратитесь к разделу Шаблоны и формы.

• Предмет: обработчик осуществляет хранение, систематизацию и рассылку сообщений субъектам по инструкциям оператора.
• Цели и состав ПДн: обработка осуществляется для информирования клиентов о статусе заказов; категории ПДн — ФИО, телефон, e‑mail, номер заказа.
• Инструкции: обработчик действует только на основании документированных инструкций оператора, в том числе по изменению целей и сроков.
• Конфиденциальность: обработчик обязуется не раскрывать ПДн и охраняемую законом тайну, обеспечивать их защиту от неправомерного или случайного доступа.
• Меры безопасности: обработчик внедряет организационные и технические меры, соответствующие уровню защищенности ИСПДн, с применением сертифицированных средств защиты.
• Субобработчики: привлечение третьих лиц возможно только при письменном согласии оператора и на условиях, не менее строгих, чем в настоящем договоре.
• Инциденты: обработчик уведомляет оператора о нарушении безопасности ПДн не позднее 24 часов, предоставляет отчёт и план мер по устранению последствий.
• Возврат/уничтожение: по прекращении поручения обработчик возвращает все носители и уничтожает копии, подтверждая актом.
• Ответственность: за нарушение обязательств обработчик несёт ответственность, предусмотренную договором и законодательством РФ.

Для компаний, работающих с зарубежными поставщиками и по стандартам GDPR, полезно сопоставить российские и европейские требования: см. GDPR и 152‑ФЗ.

Чек‑лист перед подписанием

• Определили ли вы модель взаимодействия: поручение или передача третьему лицу
• Перечень операций, целей, категорий субъектов и состав полей ПДн описан конкретно
• Сроки обработки и хранения синхронизированы со сроками оператора
• Утверждён перечень мер защиты, порядок аудита и отчётности
• Урегулированы субобработчики и трансграничная обработка
• Зафиксирован порядок уведомления об инцидентах и сроки
• Прописаны возврат и уничтожение ПДн с актом
• Проверены соответствие локализации и требованиям ст. 18.1
• Обновлены внутренняя политика и реестры договоров поручения

Полезные материалы

• О законе 152‑ФЗ: кратко
• Структура и статьи 152‑ФЗ
• Изменения 2025 года
• Обязанности оператора
• Пакет документов 152‑ФЗ
• Политика обработки ПДн и Генератор политики и согласий
• Аудит соответствия 152‑ФЗ и Консалтинг и документы под ключ

Заключение Поручение обработки по ст. 12 — удобный и безопасный способ привлекать подрядчиков к обработке ПДн, если грамотно оформить договор и выстроить контроль. Чёткие инструкции, проверяемые меры защиты и отработанные процедуры инцидентов снижают риски штрафов и утечек. Нужен надёжный договор поручения 152 ФЗ и комплект регламентов Подготовим под ваш процесс или поделимся готовыми шаблонами — обратитесь в раздел Консалтинг или скачайте заготовки в Шаблоны и формы.