Как оформить договор поручения на обработку ПДн?

Договор поручения на обработку персональных данных заключается между оператором ПДн и подрядчиком (обработчиком), который обрабатывает данные по поручению оператора. Такой договор обязателен, если сторонняя организация (бухгалтерская фирма, IT-подрядчик, колл-центр и др.) получает доступ к персональным данным для выполнения задач в интересах оператора.

Обязательные условия договора поручения по ФЗ-152:

1. Предмет договора — чёткое определение, что подрядчик обрабатывает ПДн по поручению оператора и только для целей, указанных в договоре.
2. Перечень передаваемых данных — какие именно категории ПДн передаются (ФИО, контакты, паспортные данные и др.).
3. Цели обработки — конкретные цели, для которых подрядчик вправе использовать данные (например, ведение бухгалтерского учёта, рассылка уведомлений).
4. Обязанности подрядчика:
   • соблюдать режим конфиденциальности;
   • использовать ПДн только в целях, установленных оператором;
   • обеспечивать меры защиты ПДн в соответствии со ст. 19 ФЗ-152;
   • уничтожить или вернуть данные по окончании договора.
5. Ответственность сторон — в том числе ответственность подрядчика за утечку или неправомерное использование данных.
6. Срок действия договора — включая порядок возврата или уничтожения ПДн после завершения поручения.
7. Указание на то, что подрядчик не становится самостоятельным оператором (если он действует исключительно по поручению и в интересах заказчика).

Обоснование по законодательству

• Ст. 6 ФЗ-152, ч. 3 — оператор вправе поручить обработку ПДн другому лицу по договору при условии соблюдения требований закона.
• Ст. 18.1 ФЗ-152 — обязывает закрепить порядок обработки ПДн в договоре.
• Ст. 19 ФЗ-152 — подрядчик обязан принимать меры по защите данных, предусмотренные для оператора.
• Ст. 9 ФЗ-152 — согласие субъекта может быть не нужно, если подрядчик обрабатывает данные по поручению оператора в рамках договора.

Практика Роскомнадзора

При проверках РКН часто выявляет формальные договоры с подрядчиками, где отсутствует перечень ПДн и меры защиты. Это считается нарушением. В успешных кейсах договор поручения содержит конкретные формулировки: список ПДн, цели, технические меры защиты, порядок возврата и уничтожения. Такие компании проходят проверку без претензий.

Что важно учитывать

• Недостаточно общей фразы «подрядчик обязуется соблюдать ФЗ-152» — договор должен детализировать меры и процедуры.
• Если подрядчик использует данные в своих целях, он становится самостоятельным оператором, и тогда требуется отдельное согласие субъектов.
• К договору можно приложить акт передачи ПДн и требования к безопасности, чтобы усилить правовую защиту.

Рекомендации и выводы

Да, договор поручения — ключевой документ для законной передачи ПДн подрядчику. Чтобы он соответствовал ФЗ-152:

1. Чётко пропишите предмет, цели и категории ПДн.
2. Включите требования о мерах защиты и конфиденциальности.
3. Закрепите обязанность подрядчика уничтожить или вернуть ПДн после окончания договора.
4. Предусмотрите ответственность подрядчика за нарушения.

Компания ICTech подготовит для вашей организации корректный договор поручения на обработку ПДн, который учтёт требования ФЗ-152 и практику Роскомнадзора. Это позволит законно работать с подрядчиками и избежать штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге