Договор поручения на обработку персональных данных: полный чек-лист условий по 152-ФЗ

Вы передаете базу клиентов логистической компании или подключаете облачный сервис для хранения документов. Кажется, что достаточно подписать основной договор на услуги. Но с точки зрения закона этого мало. Если в договоре нет отдельного блока о передаче персональных данных, вы рискуете получить штраф от Роскомнадзора. А если подрядчик утечет данные - отвечать перед законом будете вы.

В российском праве такие отношения регулируются Федеральным законом № 152-ФЗ «О персональных данных». Одна сторона (оператор) поручает другой (обработчику) работать с данными строго по инструкции. Это не просто формальность. Это способ разделить ответственность и защитить себя от штрафов, которые сейчас достигают миллионов рублей.

Кто есть кто: оператор и обработчик

Прежде чем писать текст договора, нужно четко понять роли. Ошибка здесь превращает легальное поручение в нарушение.

Оператор - это лицо, которое организует обработку и определяет цели. Вы решаете, зачем нужны данные и как их использовать. Обычно это заказчик услуг.

Обработчик - это исполнитель, который работает с данными только по вашему указанию и в ваших интересах. Он не имеет права использовать информацию для своих нужд. Например, курьерская служба, которая знает адрес клиента только чтобы доставить посылку, - это обработчик.

Главный риск: если подрядчик начнет использовать вашу базу для своей рекламы или аналитики, он перестанет быть обработчиком. Он станет самостоятельным оператором. А раз у него нет согласия пользователей на это, Роскомнадзор выпишет штраф ему, а вам - за то, что вы передали данные без должного контроля. Поэтому в договоре мы жестко фиксируем: данные используются только для целей, указанных вами.

Что требует закон: обязательные условия по ст. 6 152-ФЗ

Часть 3 статьи 6 Федерального закона № 152-ФЗ прямо перечисляет, что должно быть в договоре поручения. Без этих пунктов документ считается неполноценным. Давайте разберем каждый блок.

1. Перечень действий с данными. Нельзя писать абстрактное «обработка». Нужно расписать конкретные операции из статьи 3 закона: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, блокирование, удаление, уничтожение. Укажите только те действия, которые реально нужны исполнителю.
2. Цели обработки. Они должны совпадать с целями оператора. Если вы нанимаете CRM-систему для учета продаж, цель - «ведение клиентской базы для исполнения договоров купли-продажи». Не пишите «для маркетинга», если это не так.
3. Состав данных и категории субъектов. Перечислите, какие именно поля вы передаете: ФИО, телефон, email, паспортные данные. Укажите, чьи это данные: физических лиц, сотрудников, клиентов.
4. Срок обработки. Данные нельзя хранить вечно. Зафиксируйте срок действия поручения и события, после которых обработка прекращается (например, окончание основного договора).
5. Конфиденциальность. Прямой запрет на раскрытие данных третьим лицам без вашего согласия, кроме случаев, предусмотренных законом.
6. Безопасность. Обязанность обработчика соблюдать требования статьи 19 152-ФЗ и подзаконных актов (Постановление Правительства № 1119, приказы ФСТЭК). Это значит, что они должны принять технические и организационные меры защиты.
7. Уведомление об инцидентах. С 2023 года действует требование уведомлять Роскомнадзор о нарушениях безопасности. В договоре пропишите, что обработчик обязан сообщить вам о любой утечке или несанкционированном доступе незамедлительно (обычно ставят срок до 24 часов).

Локализация данных: где хранятся серверы?

Это один из самых частых вопросов проверок. Статья 18 части 5 152-ФЗ обязывает хранить базы данных граждан РФ на территории России. Если ваш обработчик использует зарубежный облачный сервис без серверов в РФ, вы нарушаете закон.

В договоре обязательно укажите место обработки. Напишите конкретно: «База данных размещена на серверах, физически находящихся на территории Российской Федерации». Для крупных провайдеров можно добавить ссылку на их сертификаты соответствия требованиям локализации. Это защитит вас от рисков блокировки сайтов и крупных штрафов.

Субподрядчики: можно ли передавать данные дальше?

Часто обработчик сам нанимает других компаний. Например, IT-компания, обрабатывающая ваши данные, использует хостинг-провайдера. Этот провайдер становится субобработчиком.

Закон разрешает передоверие, но только с вашего согласия. В договоре поручения пропишите:

• Запрет на привлечение субподрядчиков без вашего письменного согласия.
• Или список утвержденных субподрядчиков.
• Требование, чтобы обработчик заключал с субподрядчиками аналогичные договоры, обеспечивающие тот же уровень защиты.

Если обработчик передаст данные «налево» без вашего ведома, ответственность за незаконную передачу третьим лицам ляжет на него, но вы тоже можете попасть под проверку за ненадлежащий контроль.

Практические рекомендации: как усилить защиту

Минимальных требований закона часто недостаточно для реальной безопасности. Вот что стоит добавить в договор, исходя из практики юристов и экспертов по защите информации.

Порядок работы с запросами пользователей. Граждане имеют право узнать, какие о них данные хранятся, потребовать их исправления или удаления (статьи 14 и 15 152-ФЗ). Обработчик не должен отвечать на эти запросы самостоятельно. Пропишите, что он обязан перенаправить все обращения к вам в течение одного рабочего дня, а затем выполнить ваши технические инструкции по удалению или изменению данных.

Аудит и проверка. Закрепите за собой право проводить аудит безопасности обработчика. Вы можете запрашивать копии политик конфиденциальности, акты аттестации информационных систем, отчеты о сканировании уязвимостей. Это покажет Роскомнадзору, что вы действительно контролируете процесс.

Ответственность и регресс. Если обработчик допустил утечку, и Роскомнадзор оштрафовал вас как оператора, вы должны иметь возможность взыскать эти деньги обратно. Включите пункт о регрессном требовании: обработчик возмещает вам все убытки, включая штрафы, судебные издержки и компенсацию морального вреда, выплаченную пользователям.

Судьба данных после расторжения. Договор может закончиться. Что будет с базой? Требуйте, чтобы обработчик либо вернул все данные вам, либо уничтожил их с предоставлением акта об уничтожении. Исключение - если закон обязывает хранить документы (например, бухгалтерские архивы), но это должно быть отдельно оговорено.

Типичные ошибки, которые находят инспекторы

При проверках Роскомнадзор часто выявляет одни и те же проблемы. Избежать их поможет внимательное чтение своего договора.

• Размытые формулировки. Фраза «обработка в рамках оказания услуг» не проходит. Нужен детальный перечень операций и целей.
• Отсутствие сроков уведомления об инцидентах. Если в договоре не написано, когда и как обработчик сообщает о взломе, вы не сможете оперативно уведомить регулятора, что является нарушением.
• Игнорирование локализации. Использование зарубежных SaaS-сервисов без проверки наличия серверов в РФ - прямой путь в реестр нарушителей.
• Смешение ролей. Когда подрядчик использует данные для своих рассылок, он фактически становится оператором. В таком случае нужен не договор поручения, а отдельное согласие пользователя на передачу данных этому новому оператору.

Помните: договор поручения на обработку персональных данных - это не бюрократическая преграда, а инструмент управления рисками. Правильно составленный документ позволяет спокойно работать с партнерами, зная, что зона ответственности каждого четко обозначена.