Продукты
Продукты
Menu
02
База знаний
05
Услуги
01
О нас
04
2025
Контакты
phone
e-mail:
Обучение
03
Пакет документов для обработчика персональных данных
Выстраиваем договорный и организационный контур между Оператором и Обработчиком. Корректно оформляем поручение по ч. 3 ст. 6 152-ФЗ — чтобы вашу SaaS или IT-компанию не признали самостоятельным оператором.
Б-152 · Консалтинг по 152-ФЗ с 2011 года · 100+ проектов ежегодно
Б-152 · Консалтинг по 152-ФЗ с 2011 года · 100+ проектов ежегодно
Б-152 · Консалтинг по 152-ФЗ с 2011 года · 100+ проектов ежегодно
Б-152 · Консалтинг по 152-ФЗ с 2011 года · 100+ проектов ежегодно
Если в вашей платформе, сервисе или IT-продукте обрабатываются персональные данные клиентов ваших заказчиков, закон требует заранее закрепить: кто оператор, кто обработчик и где проходят границы ответственности.
Без корректного поручения ваша компания автоматически получает статус самостоятельного оператора со всеми обязанностями и штрафами
Без корректного поручения сервисная компания рискует получить статус «самостоятельного оператора»
10 лет мы занимаемся вопросами защиты персональных данных.
01
Поручения нет вовсе
В пользовательском соглашении нет раздела, соответствующего ч. 3 ст. 6 152-ФЗ. С точки зрения закона правового основания обрабатывать ПДн клиентов заказчика у вас нет.
02
Поручение есть, но сформулировано некорректно
Нет обязательных условий (цели, состав данных, срок, меры защиты, порядок возврата). Регулятор квалифицирует документ как несоответствующий — риск тот же.
03
Крупный клиент требует правильный договор
Сбер, Газпром, РЖД, госзаказ на тендере просят приложить форму поручения и матрицу ответственности. Без готового пакета — вылет из тендера.
04
Штрафы по ст. 13.11 КоАП РФ
Признание самостоятельным оператором = обработка без законного основания. От 150 000 до 300 000 ₽ за первичное нарушение, от 300 000 до 500 000 ₽ за повторное. По каждому эпизоду.
Обработка персональных данных по поручению оператора — отдельный правовой режим, который требует и договора, и организационной модели. Мы помогаем выстроить и то, и другое: от анализа текущего пользовательского соглашения до типовой формы поручения и матрицы распределения ответственности между Оператором и Обработчиком по privacy и ИБ.
6 этапов, которые закрывают риск признания самостоятельным оператором и дают рабочую модель разграничения ответственности.
01
Что входит в пакет
Установочная встреча
Собираем вводные по сервису, структуре компании, процессам обработки ПДн, модели взаимодействия с клиентами-операторами. Определяем текущие меры защиты, гарантии и целевые схемы сервиса
02
Анализ пользовательского соглашения или договора
Проверяем, есть ли в действующем документе условия, которые могут быть квалифицированы как поручение на обработку ПДн, и соответствуют ли они требованиям ч. 3 ст. 6 152-ФЗ. Фиксируем риски и готовим формулировки для изменений.
03
Матрица распределения ответственности Оператор–Обработчик
Анализируем реализованные меры защиты, определяем необходимые меры с разбивкой под разные типы услуг, явно разделяем зоны ответственности по privacy и ИБ.
04
Дорожная карта по СЗИ для сервиса
Пошаговый алгоритм по созданию или совершенствованию системы защиты с учётом оптимизации бюджета на закупку и использования текущих мер.
05
Типовая форма поручения на обработку ПДн
Шаблон, заключаемый между вами (Обработчиком) и клиентами-Операторами во исполнение ч. 3 ст. 6 152-ФЗ. Адаптируем формулировки под различные сценарии взаимодействия с клиентами, с учётом требований по ИБ.
06
Сопроводительное письмо для клиента
Готовый шаблон письма для клиентов-Операторов: почему вы — лицо, обрабатывающее ПДн по поручению; какие требования закона необходимо соблюдать; какие риски у Оператора при отсутствии поручения; как поручение защищает интересы обеих сторон.
Кому точно нужен пакет для обработчика
13.01.2023
Если в вашем продукте есть трансграничная передача ПДн — в поручении нужны дополнительные гарантии по ст. 12 152-ФЗ. Мы закроем это в рамках пакета.
Частые вопросы
Нет, для типовых клиентов работает модель «присоединения»: вы включаете поручение в пользовательское соглашение или в тарифный договор, и клиент, пользуясь сервисом, принимает его условия. Для крупных корпоративных клиентов обычно подписывается отдельное соглашение — под их DPA-политику.
Нет. Согласие субъекта — правовое основание для оператора, а не для обработчика. Обработчик действует по поручению оператора. Без поручения согласие субъекта вас не защищает.
С 01.09.2022 152-ФЗ имеет экстерриториальное действие (ч. 1.1 ст. 1). Если вы обрабатываете ПДн граждан РФ, требования 152-ФЗ применяются независимо от вашей юрисдикции.
Договор, составленный «вообще» юристом, и договор, проверенный на соответствие ч. 3 ст. 6 152-ФЗ, — разные вещи. Мы специализируемся именно на privacy-комплаенсе и знаем, какие формулировки регулятор признаёт корректными, а какие — нет.
От 5 рабочих дней. Срок зависит от готовности вашей команды предоставить вводные и от сложности договорного контура.
Да. NDA подписываем до начала работ.
Разберем ваш сервис и покажем, где лежат риски
30 минут с нашим экспертом. Покажем, какие формулировки в вашем договоре требуют правок, какие риски берет ваша компания и что должно быть в корректном поручении.
Ответим в течение рабочего дня. NDA подписываем до старта работ
13.01.2023
Егор Кузнецов
Коммерческий директор и партнер в Б-152
egor@b-152.ru
+7 925 998 31 17
www.b-152.ru
+7 925 998 31 17
www.b-152.ru