menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Кому можно поручить обработку персональных данных и как сделать это правильно

лонгриды
13.01.2023
19/08/25
София Триандафилова
Б-152
Лонгриды
События /
Кому можно поручить обработку персональных данных и как сделать это правильно
Передача персональных данных за пределы организации — повседневная часть работы современного бизнеса. В реальности почти каждая компания использует внешние ресурсы: подрядчиков, платформы, интеграции и облачные сервисы для автоматизации процессов, которые нецелесообразно или невозможно поддерживать внутри, будь то IT-поддержка, логистика, аналитика, CRM или техническая интеграция.
Однако вместе с удобством таких решений появляется правовой вопрос: кто именно получает доступ к персональным данным? Является ли третье лицо обработчиком, действующим по поручению, или это самостоятельный оператор, работающий в собственных интересах? Ошибки в квалификации могут привести не просто к формальному несоответствию, а к ответственности оператора за действия подрядчика. И именно вы — как лицо, передающее данные — остаетесь в фокусе надзора.
Чтобы разобраться, когда передача законна, а когда нет, важно чётко понимать, кому можно поручать обработку персональных данных, при каких условиях это допускается, и как защитить компанию с помощью правильно оформленного договора, а не только надеждой на благоразумие контрагента.
Кто такой обработчик персональных данных
Когда третье лицо перестает быть обработчиком
Содержание
Как законно поручить обработку персональных данных
На что стоит обратить особое внимание
Вывод
Вывод
На что стоит обратить особое внимание
Как законно поручить обработку персональных данных
Содержание
Когда третье лицо перестает быть обработчиком
Кто такой обработчик персональных данных

Кто такой обработчик персональных данных

С точки зрения закона, обработчиком признаётся то лицо, которое действует исключительно по поручению и в интересах оператора, не принимая самостоятельных решений в отношении целей и способов обработки.
Иными словами, обработчик — это не тот, кто просто работает с данными, а тот, чьи действия строго ограничены рамками задания, сформулированного оператором. Такой подрядчик не определяет самостоятельно, какие данные обрабатывать, для чего они нужны, как долго и каким образом они будут использоваться. Он не использует базу данных повторно, не анализирует её вне согласованных целей.
Ключевой характеристикой обработчика является отсутствие инициативы и интереса к данным как к ресурсу: он не распоряжается ими от своего имени, а действует в рамках заданных условий.

Когда третье лицо перестает быть обработчиком

Проблема возникает, когда подрядчик, получивший доступ к данным, использует их в своих интересах. В этом случае он не является обработчиком, а выступает самостоятельным оператором. Это происходит, если, например:
  • контрагент использует переданные ему данные для собственной аналитики;
  • повторно применяет данные в других проектах или с другими клиентами;
  • продолжает хранить базу после завершения договора;
  • осуществляет рассылки от своего имени или иным образом действует автономно.
Как только третье лицо выходит за пределы заданной цели и начинает действовать как самостоятельное лицо, его статус меняется. И это означает, что все юридические гарантии, предусмотренные для обработки по поручению, больше не применимы.

Как законно поручить обработку персональных данных

Чтобы передача персональных данных подрядчику была правомерной, необходимо соблюдение двух обязательных условий:
В большинстве случаев оператор обязан получить согласие субъекта персональных данных, в котором прямо указано, что его данные могут быть переданы третьим лицам, в том числе с указанием цели, состава и характера обработки.
Однако это не единственный возможный вариант. Если передача происходит в рамках исполнения договора между субъектом и оператором, и такая передача очевидно следует из условий договора, то отдельное согласие не требуется. Важно лишь, чтобы договор охватывал цель и действия, для которых данные передаются третьей стороне. Например, если клиент заключает договор на доставку, и это требует передачи его адреса логистической компании, договор может быть основанием для передачи данных третьему лицу.
Условие 1: обеспечить правовое основание
Важно понимать: если вы передаёте персональные данные подрядчику, то это не просто «договор о сотрудничестве» — это полноценное поручение на обработку персональных данных. Закон (ч. 3 ст. 6 152-ФЗ) требует, чтобы такое соглашение включало целый набор конкретных условий. Причём эти условия не могут быть обозначены формально, они должны быть прописаны в явном виде.
  • какие именно персональные данные передаются обработчику;
  • какие действия с ними он вправе совершать (например, хранение, систематизация, передача);
  • с какой целью данные обрабатываются;
  • как обеспечивается конфиденциальность информации;
  • какие меры по безопасности обязан применять обработчик;
  • обязанность по запросу оператора предоставлять подтверждающие документы (как до начала обработки, так и в рамках исполнения договора);
  • обязанность соблюдать требования о локализации данных (ч. 5 ст. 18);
  • обязанность выполнять требования ст. 18.1;
  • указаны требования по защите персональных данных по ст. 19;
  • и, наконец, как будет происходить уведомление оператора о случаях неправомерной или случайной передачи персональных данных (ч. 3.1 ст. 21).
Что должно быть зафиксировано в поручении:
Чтобы подрядчик считался обработчиком, необходимо заключить соглашение о поручении. Это может быть отдельный документ или часть основного договора. Главное, чтобы он соответствовал требованиям ч. 3 ст. 6 152-ФЗ.
Все эти положения не опциональны, а обязательны. Без них договор нельзя считать полноценным поручением по смыслу закона. Поэтому, если вы готовите или проверяете такой документ, важно не просто «упомянуть про защиту данных», а тщательно сверить каждую формулировку с требованием закона.
Если хотя бы один из этих пунктов отсутствует, есть риск, что поручение признают недействительным, а подрядчика — не обработчиком, а самостоятельным оператором.
Условие 2: заключить соглашение о поручении

На что стоит обратить особое внимание

Даже при наличии поручения не все риски устранены. Оператор обязан не только подписать договор, но и осознанно подойти к оценке роли подрядчика и к обеспечению последующего контроля. Вот несколько практических моментов, на которые необходимо обратить внимание:
  • Анализ целей подрядчика. Необходимо убедиться, что контрагент не преследует собственные цели в отношении данных. Как только такие цели появляются (например, желание «подогреть» аудиторию для других проектов), статус обработчика теряется.
  • Оценка содержания договора. Типовые шаблоны договоров оказания услуг редко содержат всё необходимое для признания партнёра обработчиком. Даже при указании «данные передаются для оказания услуг» договор может оказаться юридически недостаточным. Требования закона конкретны и обязательны к включению.
  • Контроль исполнения мер безопасности. Ответственность оператора не ограничивается подписями. Он обязан обеспечить, чтобы переданные данные действительно защищались, технически и организационно. И если подрядчик допустит утечку, он будет отвечать в рамках договора, а оператор — перед субъектами.

Вывод

Любая передача персональных данных за пределы вашей организации — это не просто технический процесс, а юридически значимое действие, сопряжённое с рисками. Даже если контрагент — надёжный партнёр, именно ваша компания будет оператором, а значит, ответственной за всё, что происходит с данными.
Чтобы процесс поручения обработки был законным и не стал источником штрафов и проверок:
  • убедитесь, что контрагент не использует данные в своих интересах;
  • обеспечьте наличие правового основания для передачи данных;
  • соблюдайте все требования, предъявляемые к поручению по части 3 статьи 6 152-ФЗ.
Особенно внимательно нужно подходить к ситуации, когда подрядчик работает с данными клиентов, ведёт рассылки, обрабатывает заказы, участвует в маркетинговых кампаниях или технически поддерживает онлайн-платформу. В таких зонах любая формальная ошибка превращается в реальную угрозу: с рисками репутационных потерь и проверок со стороны Роскомнадзора.
Помните, что грамотно оформленное поручение — это не формальность, а инструмент правовой защиты бизнеса.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме