Когда нужен договор поручения на обработку ПД?

Когда третье лицо обрабатывает персональные данные по поручению оператора: подрядчик, облачный сервис, CRM, колл-центр, бухгалтерия или IT-аутсорсинг.

Нужно ли заключать договор, если подрядчик только хранит ПД?

Да. Даже простое хранение данных в облаке или на сервере подрядчика считается обработкой персональных данных.

Можно ли оформить поручение устно?

Нет. Договор поручения должен быть заключён в письменной форме с обязательными условиями, предусмотренными ФЗ-152.

Кто отвечает перед субъектом ПД при нарушении?

Основную ответственность перед субъектом персональных данных несёт оператор. Однако обработчик отвечает перед оператором в рамках договора.

Договор поручения на обработку персональных данных (аутсорсинг ПД)

Главное за 30 секунд

При передаче ПД подрядчикам требуется договор поручения по ст. 6 ФЗ-152
В договоре фиксируются цели обработки, меры защиты и ответственность сторон
Отсутствие договора с подрядчиком или облачным сервисом — нарушение ФЗ-152
Обработчик не вправе использовать ПД вне целей, указанных оператором
Особое внимание следует уделять SaaS-сервисам и трансграничной передаче данных

Когда нужен договор поручения

Согласно ст. 6 ФЗ-152, если оператор передаёт обработку персональных данных другому лицу, отношения должны оформляться договором поручения.

Иначе говоря, если подрядчик получает доступ к персональным данным и работает с ними по вашему заданию — нужен отдельный договор или соответствующий раздел в основном договоре.

Типовые ситуации

Договор поручения обычно требуется при:

аутсорсинге бухгалтерии;
HR и кадровом сопровождении;
использовании CRM и SaaS;
email-рассылках;
облачном хранении данных;
передаче данных колл-центру;
работе с маркетинговыми агентствами;
IT-поддержке и администрировании серверов.

Отсутствие договора — риск штрафа

Если подрядчик получил доступ к персональным данным без оформленного поручения, это может рассматриваться как нарушение требований ФЗ-152.

Кто такой обработчик ПД

Обработчик — это лицо или организация, которые обрабатывают персональные данные по поручению оператора.

Важно понимать:

обработчик не становится владельцем данных;
обработчик ограничен целями договора;
оператор сохраняет контроль над обработкой.

Риск

Многие компании считают, что публичная оферта SaaS-сервиса автоматически закрывает требования ФЗ-152. На практике необходимо проверить, содержит ли оферта условия обработки персональных данных.

Что обязательно включить в договор

В договоре поручения должны быть указаны:

цели обработки;
категории персональных данных;
перечень действий с данными;
меры защиты;
порядок хранения;
обязанности по конфиденциальности;
порядок удаления или возврата данных;
ответственность сторон.

Основные условия договора поручения

Обработка ПД только по поручению оператора
Использование данных строго в рамках целей договора
Запрет на передачу третьим лицам без согласования
Обязанность уведомлять об инцидентах и утечках
Соблюдение мер безопасности
Возврат или уничтожение данных после завершения сотрудничества

Образец ключевых положений договора

Обработка Персональных Данных
------------------------------

1. Подрядчик (Обработчик) обязуется обрабатывать персональные данные
только по поручению Заказчика (Оператора) и исключительно в целях,
указанных в настоящем Договоре.

2. Подрядчик обязуется:
   - соблюдать конфиденциальность персональных данных;
   - обеспечивать безопасность хранения и передачи данных;
   - не передавать персональные данные третьим лицам без согласия Оператора;
   - незамедлительно уведомлять Оператора об инцидентах и утечках;
   - уничтожить либо вернуть данные после прекращения договора.

3. Оператор вправе осуществлять контроль и аудит соблюдения требований
по обработке персональных данных.

SaaS и облачные сервисы

Особое внимание стоит уделять:

CRM;
сервисам email-рассылок;
облачным дискам;
хостингу;
аналитическим платформам.

Перед подключением сервиса рекомендуется проверить:

где размещаются серверы;
есть ли трансграничная передача;
предусмотрены ли меры защиты;
описана ли обработка ПД в оферте.

Трансграничная передача данных

Если подрядчик или облачный сервис обрабатывает данные за пределами РФ, необходимо учитывать требования ФЗ-152 о трансграничной передаче данных.

Проверяйте расположение серверов

Даже российский интерфейс сервиса не гарантирует хранение данных в РФ. Важно проверять фактическую инфраструктуру и условия обработки.

Практические рекомендации

Для минимизации рисков:

оформляйте поручение письменно;
прикладывайте перечень категорий ПД;
фиксируйте сроки хранения;
прописывайте порядок удаления данных;
закрепляйте ответственность за инциденты;
проводите аудит подрядчиков.

Договор поручения: ключевые пункты

Цели и категории ПД указаны в договореобязательно
Определён порядок передачи и уничтожения данныхобязательно
Есть обязательство соблюдать конфиденциальность
Прописаны меры защиты персональных данных
Есть порядок уведомления об инцидентах
Определены условия возврата или удаления ПД
Проверена трансграничная передача данных

Вопросы по договору поручения

Что делать, если SaaS-сервис не подписывает отдельный договор?

Необходимо внимательно изучить оферту и условия обработки данных. Если положения о защите и обработке ПД отсутствуют, передача персональных данных такому сервису рискованна.

Можно ли передавать ПД за рубеж?

Да, но с соблюдением требований ФЗ-152 о трансграничной передаче данных и при наличии достаточных мер защиты.

Обязательно ли проводить аудит подрядчика?

Закон прямо не требует обязательного аудита, однако оператор обязан контролировать соблюдение требований по обработке персональных данных.

Передаете ПД подрядчикам или в облако?

Проверим сайт и документы — за 2 рабочих дня

Проверить договор поручения

Александр Петров

Юрист · Эксперт по ФЗ-152

Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.