Чек-лист проверки договора на соответствие законодательству о персональных данных (152-ФЗ)

1.1. Присутствуют ли ПДн физических лиц?
       → ФИО, email, телефон, должность
       → Паспортные данные, ИНН, СНИЛС
       → Данные представителей и контактных лиц
1.2. Определён вид ПДн?
       → Общие / специальные / биометрические

2.1. Кто является оператором?
       → Одна сторона
       → Обе стороны (каждая — по своей базе)
       → Одна сторона — обработчик по поручению
2.2. Требуется ли договор поручения (ч. 3 ст. 6 152-ФЗ)?
2.3. Заключён ли договор поручения (или включён в основной договор)?

⚑Договор поручения — это комплаенс-документ, а не гражданско-правовая сделка. Он не заменяет основной договор, а обеспечивает законность обработки ПДн.

3.1. Предусмотрено ли право оператора на аудит соответствия обработчика требованиям 152-ФЗ?
3.2. Указан ли порядок проведения аудита?
       → Сроки предоставления документов
       → Возможность выезда на место
       → Право привлекать внешних аудиторов
3.3. Кто несёт расходы на аудит?
       → Если нарушения найдены — обработчик
       → Если нарушений нет — оператор
3.4. Определён ли порядок устранения нарушений по итогам аудита?

⚑ Без права аудита оператор теряет контроль за законностью обработки — нарушение ч. 3 ст. 6 152-ФЗ

4.1. Разграничена ли ответственность между оператором и обработчиком?
       → Перед субъектом ПДн всегда отвечает оператор (ч. 5 ст. 6)
       → Обработчик отвечает только перед оператором (право регресса)
4.2. Установлена ли ответственность обработчика перед оператором за нарушение условий поручения?
4.3. Определён ли размер / порядок возмещения убытков при инциденте?
4.4. Есть ли запрет на передачу ПДн третьим лицам без согласия оператора?
4.5. Урегулирован ли в договоре порядок действий при иске субъекта ПДн к оператору?

⚑Если обработчик — иностранное лицо: оператор и обработчик несут ответственность перед субъектом СОВМЕСТНО (ч. 6 ст. 6). Это важно при работе с зарубежными SaaS.

5.1. Перечислены ли все каналы сбора ПДн?
       → Сайт / лендинг
       → CRM-система
       → Мессенджеры
       → Email-рассылки
       → HR-процессы
       → Офлайн / бумажные формы
5.2. По каждой точке сбора определено правовое основание?
       → Согласие субъекта (ст. 9) — зафиксировано документально?
       → Договор с субъектом (ч. 1 ст. 6 п. 5)
       → Законная обязанность оператора (ч. 1 ст. 6 п. 2)
5.3. Согласие соответствует требованиям ч. 4 ст. 9?
       → Одна цель — одно согласие (позиция судов)
       → Указан конкретный обработчик по поручению
       → Согласие можно отозвать

⚑ РИСК: у крупных компаний 5-10 обработчиков → каждый сотрудник подписывает пачку согласий. При объединении в один документ — штраф по ч. 2 ст. 13.11 КоАП

6.1. Ссылка на Политику присутствует в договоре / форме согласия?
6.2. Политика содержит обязательные сведения?
       → Перечень и категории ПДн
       → Цели и правовые основания
       → Сроки хранения
       → Порядок реализации прав субъекта
       → Контакты ответственного за ПДн
6.3. Политика опубликована в открытом доступе, URL работает?
6.4. Обновлена после 01.07.2025 (изменение требования о локализации ч. 5 ст. 18)?

7.1. В договоре поручения указаны все обязательные элементы (ч. 3 ст. 6)?
       → Цель обработки ПДн
       → Перечень ПДн
       → Перечень действий с ПДн
       → Требования к защите (уровень защищённости по ПП № 1119)
       → Срок обработки / хранения
       → Обязанность уничтожить ПДн по окончании поручения
7.2. Условия договора поручения совпадают с условиями согласия субъекта?
       → Цель в поручении = цель в согласии
       → Перечень данных в поручении ≤ перечню в согласии
       → Расхождение формулировок → риск ч. 1 и ч. 2 ст. 13.11 КоАП
7.3. Запрещено ли привлечение субобработчиков без согласия оператора?
       → Если субобработчик допускается — отражено ли это в согласии субъекта?
       → Договор с субобработчиком содержит те же условия, что основное поручение?
7.4. Включено ли информирование обработчика об особенностях обработки без автоматизации (п. 6 Положения ПП № 687)?

8.1. Обработчик обязан уведомить оператора о факте утечки?
8.2. Срок уведомления обработчика → оператора: как можно скорее (рекомендуется до 12 часов)?
8.3. Согласован ли порядок взаимодействия с РКН?
       → Уведомление РКН в течение 24 ч от момента выявления (п. 3.1 ст. 21)
       → Второе уведомление (результаты расследования) — в течение 72 ч
       → Кто направляет уведомление: оператор или обработчик?
8.4. Предусмотрено ли совместное расследование инцидента?

⚠ ШТРАФ: Просрочка уведомления РКН — до 3 млн руб. (ч. 11 ст. 13.11 КоАП). Отсчёт начинается с момента выявления утечки ОБРАБОТЧИКОМ, а не оператором.

9.1. Прописана ли обязанность обработчика уничтожить ПДн при отзыве согласия субъекта?
       → Срок уничтожения — 30 дней (ст. 21 152-ФЗ)
       → При невозможности уничтожить — блокировать до 6 месяцев, затем уничтожить
9.2. Предусмотрено ли уничтожение ПДн по истечении срока поручения?
9.3. Есть ли порядок блокирования ПДн по требованию субъекта?

10.1. Используются ли иностранные SaaS / облачные сервисы?
10.2. Страна серверов — в списке разрешённых (Приказ РКН)?
10.3. Проведена оценка соответствия иностранного оператора (ст. 12 152-ФЗ)?
10.4. Уведомление в РКН о трансграничной передаче направлено?
10.5. Учтено, что филиал / представительство иностранной компании в РФ = иностранный обработчик (ст. 55 ГК)?

 ✅ Соответствует — все пункты выполнены, договор готов к подписанию
 ⚠️ Требует доработки — отдельные пункты не выполнены, необходимо согласование
 ❌ Критичное нарушение — договор не может быть подписан до устранения

Что это такое
Договор поручения на обработку ПДн — это не гражданско-правовой договор в смысле ГК РФ, а комплаенс-документ (правовое средство), оформляющий передачу данных обработчику и их дальнейшую обработку в соответствии с публично-правовыми нормами 152-ФЗ.

Для чего нужен
• Аутсорсинг кадрового и налогового учёта
• Структурирование работы в группе компаний
• Внедрение облачных IT-решений (CRM, SaaS, хостинг)
• Коллцентры, рекрутинг, бухгалтерский аутсорсинг, архивное хранение, рекламные рассылки

Важно: Договор поручения не подменяет основной договор (на услуги, подряд и т.д.) и не влияет на его экономический смысл. Он нужен только для обеспечения законности обработки ПДн.

Нужен договор поручения
Обработчик не имеет собственных целей обработки — он действует исключительно в интересах оператора. Примеры:
• Рекрутинговое агентство — обрабатывает резюме по заданию клиента
• Коллцентр — обрабатывает данные клиентов заказчика
• Бухгалтерский аутсорсинг — работает с первичной документацией
• Архивная компания — хранит документы с ПДн
• Сервис email-рассылок — отправляет письма от имени оператора

Договор поручения НЕ нужен — достаточно соглашения о конфиденциальности
Исполнитель сам определяет цели обработки и вступает в прямые отношения с субъектом. Примеры:
• Банк при зарплатном проекте — заключает договор банковского счёта с каждым работником
• Страховая компания при ДМС — вступает в прямые отношения с застрахованным
• Медицинская организация при осмотрах — самостоятельный оператор
• Онлайн-сервис, где работник акцептует пользовательское соглашение

⚠ Ловушка: Неправильная квалификация (поручение вместо самостоятельного оператора или наоборот) влечёт административную ответственность.

Общее правило
Поручение даётся с согласия субъекта ПДн, «если иное не предусмотрено федеральным законом» (ч. 3 ст. 6). Согласие получает оператор, у обработчика такой обязанности нет (ч. 4 ст. 6).

Требования к письменному согласию (ч. 4 ст. 9)
• Одна цель обработки — одно согласие (позиция судов, в т.ч. АС Волго-Вятского округа от 23.08.2024)
• В согласии указывается конкретный обработчик по поручению
• Субъект вправе внести изменения в предложенную форму или составить свою

Практические риски

• Множественные обработчики: При 5-10 обработчиках каждый сотрудник подписывает пачку однотипных согласий. Объединение в один документ — штраф по ч. 2 ст. 13.11 КоАП.
• Аутсорсинг первичной документации: Получить согласие у всех лиц, упомянутых в товарных накладных и актах, технически невозможно. Отсутствие согласия — ч. 1 ст. 13.11 КоАП. Оператор принимает правовой риск.
• Отзыв согласия: Субъект вправе отозвать его в любой момент. Нужен чёткий механизм прекращения обработки обработчиком.

Позиция автора: Требование об обязательном согласии морально устарело и выводит за грань законности активно развивающийся IT-аутсорсинг. До изменения нормы — оператор несёт правовой риск.

Все условия ниже обязательны в силу ч. 3 ст. 6, ст. 21, п. 6 Положения (ПП № 687). Их отсутствие влечёт административную ответственность.

4.1 Перечень ПДн, перечень действий и цели обработки
• Условия поручения не могут противоречить условиям согласия субъекта
• Желательно воспроизводить формулировки согласия дословно или в меньшем объёме

Расхождение формулировок: Если цель в согласии — «пропускной режим», а в поручении — «исполнение договора» (охранные услуги) — поручение выходит за рамки согласия. Риск ч. 1 и ч. 2 ст. 13.11 КоАП.

4.2 Конфиденциальность и субобработчики
• Обработчик не вправе раскрывать ПДн третьим лицам (ст. 7 152-ФЗ)
• Субобработчик допускается только если это предусмотрено в поручении оператора И в согласии субъекта (позиция РКН, Письмо от 14.07.2023 № 08ВМ-59834)
• Договор с субобработчиком должен содержать все те же условия, что основное поручение

Законодательный вакуум: Нормы о субобработчиках в 152-ФЗ отсутствуют. Привлечение субобработчика — правовой риск для обеих сторон. Рекомендуется явно закрепить в согласии и поручении.

4.3 Требования к защите ПДн (ст. 18, ст. 18.1, ст. 19)
• В договоре указывается применимый уровень защищённости ИСПДн по ПП № 1119 от 01.11.2012
• Либо перечисляются конкретные требования к защите для используемых информационных систем
• С 01.07.2025 изменена редакция требования о локализации (ч. 5 ст. 18) — договоры до этой даты требуют обновления

Если обработка ведётся на бумаге: Требования к защите для неавтоматизированной обработки в нормативных актах не установлены. Тем не менее некоторые операторы настаивают на включении требований по ИСПДн — это избыточно.

4.4 Уведомление об инцидентах (ч. 3.1 ст. 21)
• Обработчик уведомляет оператора о факте утечки
• Оператор проводит расследование и направляет в РКН два уведомления:
         — Первое: в течение 24 часов от момента выявления инцидента
         — Второе (результаты расследования): в течение 72 часов

Ключевой риск: Отсчёт 24 часов начинается с момента выявления утечки «заинтересованным лицом» — т.е. обработчиком. Если обработчик промедлит с уведомлением, оператор может опоздать и получить штраф до 3 млн руб. (ч. 11 ст. 13.11 КоАП).

Рекомендация: Согласовать минимально возможный срок уведомления обработчиком оператора (например, «незамедлительно, но не позднее 6 часов»), а также детальный порядок совместного расследования.

4.5 Уничтожение и блокирование ПДн (ст. 21)
• При отзыве согласия или достижении цели обработки — уничтожить в течение 30 дней
• При невозможности уничтожения — заблокировать до 6 месяцев, затем уничтожить
• Единственный внесудебный инструмент понуждения обработчика — договор. Поэтому условие обязательно.

4.6 Информирование при неавтоматизированной обработке (п. 6 ПП № 687)
• Оператор обязан проинформировать обработчика о факте и категориях ПДн
• Обязан предоставить соответствующие локальные акты

Гражданско-правовая
• Перед субъектом ПДн всегда отвечает оператор (ч. 5 ст. 6)
• Обработчик (российский) отвечает только перед оператором — право регресса по ч. 1 ст. 1081 ГК
• Иностранный обработчик — совместная ответственность с оператором перед субъектом (ч. 6 ст. 6)

Административная
• Штрафы до 20 млн руб. за утечку в зависимости от объёма и категорий данных (ч. 12-14, 16, 17 ст. 13.11 КоАП)
• Повторное нарушение — оборотный штраф до 3% годовой выручки, но не более 500 млн руб. (ч. 15, 18 ст. 13.11 КоАП)
• Штраф за просрочку уведомления РКН — до 3 млн руб. (ч. 11 ст. 13.11 КоАП)
• Оба — оператор и обработчик — несут административную ответственность, так как оба подпадают под понятие «оператор»

Уголовная
• Незаконное использование, передача, сбор или хранение компьютерной информации с ПДн — ч. 1 ст. 272.1 УК РФ

Иностранный обработчик: Филиал или представительство иностранной компании в РФ (ст. 55 ГК) = иностранный обработчик по 152-ФЗ → совместная ответственность с оператором перед субъектом.

Рекомендация: Включить в договор поручения порядок действий и взаимные обязательства сторон на случай предъявления претензий и исков субъектами ПДн.

1. Несовпадение формулировок согласия и договора поручения → ч. 1, 2 ст. 13.11 КоАП
2. Привлечение субобработчика без отражения в согласии → незаконная передача ПДн
3. Промедление обработчика с уведомлением об инциденте → просрочка уведомления РКН → штраф до 3 млн руб.
4. Договоры поручения до 01.07.2025 — не обновлена норма о локализации (ч. 5 ст. 18)
5. Иностранный обработчик (в т.ч. через представительство в РФ) → совместная ответственность с оператором
6. Аутсорсинг с первичной документацией — технически невозможно получить согласия всех субъектов → оператор несёт правовой риск