Статья 12 152‑ФЗ: Поручение обработки персональных данных

Статья 12 152‑ФЗ: Поручение обработки персональных данных

Статья 12 Федерального закона № 152‑ФЗ регулирует, как оператор вправе поручить обработку персональных данных (ПД) другому лицу — обработчику. Ниже — практическое толкование требований, обязательные условия договора-поручения и чек‑лист для бизнеса.

---

Кратко о ст. 12 152‑ФЗ и когда она применяется

Статья 12 152‑ФЗ (ст 12 152 фз) даёт оператору право поручить обработку ПД стороннему лицу (обработчику) на основании договора или акта госоргана/ОМСУ. При этом:

• Обработчик действует строго по инструкциям оператора и в обозначенных целях.
• Конфиденциальность и безопасность ПД обязательны для обработчика.
• Оператор остаётся ответственным перед субъектами ПД за действия обработчика.

Эта норма тесно связана с:

• принципами и целями обработки — см. принципы обработки и структуру 152‑ФЗ;
• мерами безопасности — см. ст. 19 152‑ФЗ и меры безопасности ПД;
• уведомлением Роскомнадзора — см. уведомление и реестр операторов;
• актуальной редакцией закона — см. текст 152‑ФЗ и изменения 2025.

Для обзора терминов и роли поручения в общем контуре соблюдения посмотрите также: о законе 152‑ФЗ и глоссарий.

Оператор и обработчик: роли и границы ответственности

• Оператор — лицо, самостоятельно определяющее цели и состав ПД, способы обработки. Его обязанности подробно раскрыты здесь: обязанности оператора.
• Обработчик — лицо, которое обрабатывает ПД по поручению оператора и исключительно в его интересах и целях.

Важно: если подрядчик начинает использовать ПД для своих целей (например, маркетинга), он превращается в самостоятельного оператора; к нему применяются все требования закона, и это уже не «поручение обработки» в смысле статьи 12. Базовые определения — в ст. 3 152‑ФЗ.

Когда поручение обработки допустимо, а когда — нет

Допустимо:

• когда у оператора есть законные основания обработки (согласие или иной правовой режим — см. обработка без согласия, согласие на обработку ПД);
• когда договор/акт чётко фиксирует инструкции и меры безопасности;
• для любых категорий ПД при соблюдении спец‑требований (см. специальные категории, биометрия, медицинские ПД).

Нежелательно/недопустимо:

• если федеральный закон прямо устанавливает ограничения или особый порядок для конкретных ПД/процессов;
• если подрядчик не способен обеспечить уровень защищённости ИСПДн, требуемый ст. 19 152‑ФЗ и подзаконными актами (см. уровни защищённости, модель угроз, криптография, требования ФСТЭК и ФСБ);
• если нарушается локализация баз данных с ПД граждан РФ (см. серверы/хостинг/ЦОД, облака).

Что обязательно включить в договор‑поручение (ст. 12 152‑ФЗ)

Ниже — свод обязательных и рекомендуемых условий. Они могут быть оформлены как отдельное «Поручение обработки ПД» либо как раздел/приложение к основному договору услуг.

Условие (статья 12 152‑ФЗ)	Зачем	Где закрепить
Перечень действий (операций) с ПД	Исключает «свободную трактовку» обработки	Приложение «Процессы»/DPA
Цели обработки	Обработчик не выходит за рамки целей оператора	Предмет/цели
Состав/категории ПД, источники, субъекты	Управление рисками и законностью	Приложение «Категории ПД»
Конфиденциальность ПД	Обязательство не раскрывать ПД	Раздел «Конфиденциальность», см. ст. 7
Меры безопасности по ст. 19	Согласованный уровень защиты ИСПДн	Ссылка на ст. 19, регламенты
Локализация/территория обработки	Соответствие требованиям локализации	Условие «Локация данных»
Порядок субобработки	Только с письменного согласия оператора	Раздел «Субподряд»
Сроки хранения, уничтожение/возврат	Завершение обработки и «чистый след»	См. сроки хранения, уничтожение
Инциденты и уведомления	Оперативное информирование оператора/РКН	См. инциденты и утечки
Права аудита и контроль	Возможность проверок оператора	Раздел «Аудит/Compliance»
Ответственность и штрафы	Мотивирует соблюдение	Раздел «Ответственность»

Рекомендуем прямо указать, что обработчик:

• действует только по документированным указаниям оператора;
• не использует ПД в собственных целях;
• обеспечивает сохранность носителей/резервов, сегментацию доступа и контроль действий сотрудников;
• уведомляет оператора о запросах субъектов и действует по согласованию.

Смежные темы: поручение обработки ПД (обзор), передача третьим лицам, трансграничная передача ПД, политика обработки ПД.

Контроль и ответственность оператора

По статье 12 оператор:

• выбирает обработчика, способного обеспечить требования 152‑ФЗ;
• проводит предварительную оценку и периодический контроль (аудит процедур, тесты безопасности, обучение — см. внутренний контроль и обучение);
• фиксирует обработчика в уведомлении в Роскомнадзор (при необходимости) — см. уведомление и реестр;
• остаётся ответственным перед субъектами ПД за действия обработчика.

На проверках РКН часто запрашивают договор‑поручение, локальные акты, модель угроз, журналы инцидентов и доказательства контроля. См. проверки Роскомнадзора и подготовка к проверке.

Субобработка (цепочки подрядчиков)

Ст. 12 152‑ФЗ допускает выполнение обработки «другим лицом» только с согласия оператора. Практически это означает:

• обработчик не вправе привлекать субобработчиков без предварительного письменного согласия;
• цепочка подчиняется тем же требованиям (конфиденциальность, безопасность, цели, уничтожение);
• оператор должен знать, кто именно обрабатывает ПД, и иметь право на аудит.

Совет: используйте реестр субобработчиков и уведомляйте об изменениях не позднее согласованного срока.

Поручение vs передача третьим лицам: в чём разница

• Поручение (статья 12 152‑ФЗ): третье лицо — обработчик, работает строго по инструкциям оператора; ответственности перед субъектами несёт оператор. Пример: хостинг‑провайдер, облачный CRM, колл‑центр.
• Передача третьим лицам: получатель становится самостоятельным оператором с собственными целями и обязанностями. Пример: передача ПД банку для кредитования на основании согласия или закона.

Подробнее см. передача третьим лицам. Если передача включает вывоз данных за пределы РФ, изучите трансграничную передачу ПД.

Практические шаги и чек‑лист внедрения

1. Инвентаризация процессов и ПД: что обрабатываете, где хранятся, кто вовлечён. Полезно: чек‑лист 152‑ФЗ.
2. Определите, где у вас поручение обработки (хостинг, облако, аутсорсинг ИТ, колл‑центр, рассылки, видеонаблюдение — см. видеонаблюдение).
3. Проверьте законные основания и уведомление в РКН: см. уведомление.
4. Выберите обработчика с требуемым уровнем безопасности (включая локализацию и сертификации).
5. Подготовьте договор‑поручение/DPA: включите условия из раздела выше. Готовые материалы: пакет документов, шаблоны и формы.
6. Обновите публичные документы сайта: документы для сайта 152‑ФЗ, cookie и баннеры, формы и согласие, Яндекс.Метрика.
7. Назначьте ответственного и организуйте контроль: см. ответственный за ПД и внутренний контроль.
8. Настройте процессы ответов субъектам ПД и реагирования на инциденты: см. права субъектов и инциденты и утечки.
9. Регулярно пересматривайте перечень обработчиков и субобработчиков.

Набор «минимально необходимых» документов: политика, реестр процессов, договор‑поручение, регламент ИБ, план реагирования, журнал инцидентов. См. пакет документов 152‑ФЗ.

Типичные ошибки на проверках Роскомнадзора

• Отсутствует конкретный перечень операций и целей в договоре (общие формулировки «оказание услуг» недостаточны).
• Не определены меры безопасности и уровень защищённости ИСПДн, отсутствуют ссылки на ст. 19 и локальные регламенты.
• Разрешена субобработка «по умолчанию» без уведомления и согласия оператора.
• Нет условий об уничтожении/возврате ПД по завершении услуг.
• Игнорируется локализация: база находится за рубежом без правовых оснований и оценки рисков.
• На сайте собираются ПД без корректного баннера cookies и согласия — см. cookie и баннеры, формы и согласие.
• Отсутствуют процедуры уведомления об инцидентах и взаимодействия с субъектами — см. инциденты и утечки.

FAQ по поручению обработки 152‑ФЗ

• Нужен ли отдельный договор? Можно оформить поручение как отдельное Приложение/DPA к основному договору услуг. Важно содержимое, а не название документа.
• Нужна ли подпись субъекта? По ст. 12 152‑ФЗ поручение — это отношения оператора и обработчика. Согласие субъекта требуется в рамках законности самой обработки (см. согласие на обработку ПД), но не как согласие на «поручение».
• Нужно ли уведомлять РКН о каждом обработчике? В уведомлении указываются сведения, предусмотренные ст. 22, включая информацию о лицах, обрабатывающих ПД по поручению, если это требуется формой уведомления. См. уведомление.
• Является ли хостинг‑провайдер обработчиком? Да, если он получает доступ к ПД и/или фактически осуществляет операции с ПД (хранение — тоже обработка). Закрепите поручение и меры безопасности.
• Можно ли хранить ПД в зарубежном облаке? Требуется соблюдение локализации и правил трансграничной передачи. См. серверы/хостинг/ЦОД, облака и трансграничная передача.
• Что важнее: NDA или поручение? NDA защищает тайну, но не заменяет требований ст. 12 (цели, операции, меры безопасности, уничтожение, субобработка и др.). Нужны оба инструмента.

Материалы и смежные нормы

• Полный текст закона: 152‑ФЗ — последняя редакция, общий обзор — о законе.
• Смежные статьи: ст. 11 — биометрические ПД, ст. 19 — меры безопасности, ст. 14 — права субъекта на доступ.
• Ответственность: штрафы за нарушения 152‑ФЗ и КоАП 13.11.
• Практика и подготовка: проверки Роскомнадзора, пакет документов, документы для сайта, GDPR и 152‑ФЗ.

---

Заключение

Статья 12 152‑ФЗ требует, чтобы поручение обработки персональных данных было формализовано и конкретно: цели, операции, меры защиты, субобработка, уничтожение/возврат, контроль и ответственность. Даже при наличии обработчика именно оператор несёт риск и должен выстроить систему управления ПД и ИБ.

Нужна помощь с договором‑поручением, аудитом подрядчиков и пакетом документов? Обратитесь к нашим экспертам: консалтинг и документы под ключ, аудит соответствия и генератор политики и согласий.