Договор поручения на обработку ПДн: когда нужен и что в нём

Учтены изменения закона на 2025-05-30

Как только вы доверяете обработку данных клиентов кому-то ещё — облачной CRM, сервису рассылок, курьерской службе, бухгалтеру на аутсорсе, — между вами должен быть договор поручения. Без него передача данных формально незаконна. Разбираем, когда он обязателен и что в нём прописать.

Что это и когда нужен

Поручение обработки — это когда оператор привлекает другое лицо обрабатывать данные по его заданию и в его целях (ст. 6 ч. 3 152-ФЗ). Обработчик действует от имени оператора и не определяет цели сам. Договор нужен всегда, когда данные клиентов физически уходят наружу: облачный хостинг и CRM, IP-телефония, сервис email- и СМС-рассылок, курьерская доставка, колл-центр, бухгалтерия на аутсорсе.

Поручение или передача третьему лицу — не путать

Это два разных правовых режима. Поручение — подрядчик работает в ваших целях, основание оформляется договором поручения, отдельное согласие субъекта обычно не требуется. Передача третьему лицу-оператору — получатель использует данные в своих целях (банк, страховая), и тут нужно отдельное согласие на передачу. Перепутать режимы — частая и дорогая ошибка.

Что обязательно прописать

Перечень разрешённых действий с данными и их цели; обязанность обработчика соблюдать конфиденциальность и требования безопасности не ниже ваших; запрет передавать данные дальше без вашего согласия; обязанность по вашему требованию прекратить обработку и вернуть или уничтожить данные; ответственность обработчика перед вами. Перед субъектом за действия обработчика отвечает оператор — то есть вы.

Чем грозит отсутствие договора

Передача данных подрядчику без оформленного поручения — обработка без правового основания: предписание и штраф по ст. 13.11 КоАП. При утечке у подрядчика без договора вся ответственность ложится на вас как на оператора.

Частые вопросы

Материал носит информационный характер и не является юридической консультацией.