Безопасность и защита информации

Особенности Договора поручения и Договора передачи данных третьим лицам

Дарья Кочергина

17.07.2025

19 203

В нашем обзоре рассмотрим основные составляющие Договора Поручения и Договора передачи данных, проанализируем их ключевые особенности.

Два понятия – «Договор поручения» и «Договор передачи данных третьим лицам» – часто вызывают вопросы и затруднения в своем практическом применении. Расскажем, как эти два типа соглашений влияют на правовые обязательства сторон и как правильно выбрать между ними, учитывая конкретные потребности и цели.

Прежде чем перейти к разбору документов, отметим несколько важных изменений, затрагивающих порядок работы с персональными данными субъектов.

Ужесточение ответственности за нарушение обработки персональных данных

С 30 мая 2025 года суммы штрафов по отдельным частям ст. 13.11 КоАП РФ стали существенно выше. Так, за обработку ПДн в случаях, не предусмотренных законодательством в области ПДн, либо за обработку данных, несовместимую с целями их сбора, предусмотрены следующие штрафы (ч. 1 ст. 13.11 КоАП РФ):

для граждан — от 10 000 до 15 000 рублей (при повторном нарушении от 15 000 до 30 000 рублей);
для должностных лиц — от 50 000 до 100 000 рублей (при повторном нарушении от 100 000 до 200 000 рублей);
для юридических лиц – от 150 000 до 300 000 рублей (при повторном нарушении от 300 000 до 500 000 рублей).

В соответствии с ч. 2 ст. 13.11 КоАП РФ штрафы за обработку персональных данных без письменного Согласия, предусмотренного законом, составляют:

для граждан — от 10 000 до 15 000 рублей (при повторном нарушении от 15 000 до 30 000 рублей);
для должностных лиц — от 100 000 до 300 000 рублей (при повторном нарушении от 300 000 до 500 000 рублей);
для юридических лиц — от 300 000 до 700 000 рублей (при повторном нарушении для ИП — от 50 000 до 1 млн рублей, для юрлиц — от 1 млн до 1,5 млн рублей).

Штрафы за утечку персональных данных также возросли.

Объем утечки	Размер штрафа
До 100 000 субъектов ПДн	Для граждан — от 10 000 до 200 000 рублей Для должностных лиц — от 200 000 до 400 000 рублей Для юрлиц — от 3 млн до 5 млн рублей
До 1 млн субъектов ПДн	Для граждан — от 200 000 до 300 000 рублей Для должностных лиц — от 300 000 до 500 000 рублей Для юрлиц — от 5 млн до 10 млн рублей
Свыше 1 млн субъектов ПДн	Для граждан — от 300 000 до 400 000 рублей Для должностных лиц — от 400 000 до 600 000 рублей Для юрлиц — от 10 млн до 15 млн рублей

Новые правила оформления согласий на обработку персональных данных

С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться отдельно от других документов, которые подписывает субъект ПДн (Федеральный закон от 24 июня 2025 года № 156-ФЗ).

На практике согласие на обработку персональных данных часто включалось в пользовательские соглашения, принимая которые гражданин автоматически предоставлял оператору доступ к своим персональным данным. Изменения, внесенные 156-ФЗ, позволят исключить подобную практику и уменьшить риск утечек и противоправного использования ПДн граждан.

Работаете с персональными данными?

С 2025 года Роскомнадзор усилит проверки. Подача уведомления — обязательный шаг для всех операторов ПДн

Подробнее

На основании 152-ФЗ «О персональных данных», поручение обработки данных означает передачу этой функции внешней организации или лицу (поручителю) на основе договора о поручении. Цель этого договора — осуществление третьими лицами различных действий с ПДн: сбор, регистрация, систематизация, накопление, хранение, обновление, изменение, извлечение, использование, передача, обезличивание, блокирование, удаление и уничтожение. Эти действия могут быть проведены как с применением автоматизированных средств, так и без них.

Участниками договора о поручении обработки персональных данных выступают оператор и лицо, выполняющее обработку по поручению оператора.

Договор-поручение составляется в случае, когда оператор может обрабатывать ПДн для своих целей самостоятельно, но хочет это делегировать:

услуги бухгалтерского и кадрового учета;
услуги бронирования и организации командирования работников;
техническое обеспечение ИС ПДн Оператора;
сопровождение интернет-ресурсов Оператора;
услуги рекламной и информационной рассылки;
организация рассмотрения обращений граждан и др.

В рамках ч. 3, 4 и 5 ст. 6 152-ФЗ оператор вправе передать процесс обработки данных стороннему участнику, перед этим получив согласие субъекта персональных данных. Заметим, что обработчик не обязан запрашивать отдельное разрешение субъекта на обработку его данных, но полная ответственность за деятельность обработчика лежит на операторе. Обработчик, со своей стороны, несет ответственность перед оператором за свою деятельность.

Кроме того, оператор получает право производить контроль за действиями лица, которому поручает обработку. Например, он может обязать обработчика выполнять следующие действия: блокирование, удаление, уничтожение, уточнение, обезличивание или предоставление персональных данных в соответствии с требованиями оператора. Соответственно, оператор способен воздействовать на содержание рабочих процессов этого лица.

Важно! Если обработка персональных данных поручена иностранному физическому или юридическому лицу, ответственность за деятельность указанных лиц перед субъектом ПДн возлагается как на самого оператора, так и на лицо, выполняющее обработку по его поручению.

Условие	Кто оформляет	Ответственность за нарушение прав субъектов ПДн
Согласие субъекта ПДн, если иное не предусмотрено законом	Оператор	Оператор — перед субъектом ПДн Лицо по поручению — перед оператором Оператор и лицо по поручению — в случае поручения иностранному лицу
Договор-поручение, соответствующий требованиям ч. 3 ст. 6 152-ФЗ	Заключается между оператором и лицом по поручению: в тексте основного договора; дополнительным соглашением; отдельным документом.

В соответствии с ч. 3 ст. 6 152-ФЗ в договоре о поручении обработки персональных данных нужно обязательно определить следующие моменты:

какие именно персональные данные передаются лицу, которое будет их обрабатывать;
какие действия с этой информацией будут осуществляться;
какова цель обработки данных;
обязанность лица, обрабатывающего данные, по соблюдению конфиденциальности информации и требований, предусмотренных ч. 5 ст. 18 и ст. 18.1 152-ФЗ;
в рамках срока действия поручения оператора и до начала обработки персональных данных по требованию оператора нужно предоставить документы и другую информацию, подтверждающую принятие мер и соблюдение норм, утвержденных в соответствии с настоящей статьей, с целью корректного выполнения поручения оператора;
обязанность обеспечить безопасные условия обработки персональных данных;
стандарты защиты персональных данных, подлежащих обработке, в соответствии со ст. 19 152-ФЗ, включая требование об уведомлении оператора о случаях, предусмотренных ч. 3.1 ст. 21 152-ФЗ.

Напоминаем, что для разработки документации компании могут использовать сервис 152DOC. Он поможет правильно сформировать необходимый перечень документов и обеспечит полное соответствие требованиям в области защиты персональных данных.

Теперь разберемся, что представляет собой Договор передачи данных третьим лицам.

Передача данных (предоставление, распространение, доступ) без Договора-поручения предусматривает разделение ответственности за обработку ПДн между оператором и получателем данных в соответствии с конкретными действиями каждой стороны. Это означает, что оператор несет ответственность за незаконную передачу данных, а получатель – за нарушения после их передачи.

Чтобы передача данных была законной, оператор и получатель данных заключают специальный договор или соглашение.

Договор передачи данных третьим лицам необходим, когда компания в силу своих полномочий не может обрабатывать ПДн самостоятельно, и ей необходима эта услуга:

организация медицинских осмотров;
добровольное медицинское страхование;
выпуск банковских карт и начисление выплат;
услуги по перевозке пассажиров (такси);
услуги почтовой связи (только в случае оказания услуг в соответствии с законодательством).

Условие	Кто оформляет	Ответственность за нарушение прав субъектов ПДн
Согласие субъекта ПДн	Оператор	Оператор — за правомерность передачи Третье лицо – за фактическую обработку
Иные правовые основания Общие — ч. 1 ст. 6; для специальных категорий — пп. 2-10 ч. 2 ст. 10 152-ФЗ; для биометрических — ч. 2 ст. 11 152-ФЗ; для ПДн, разрешенных субъектом для распространения — ч. 15 ст. 10.1 152-ФЗ.	Согласие не требуется

Предоставление персональных данных – это процесс, направленный на раскрытие личной информации конкретному лицу или ограниченному кругу лиц.

При поручении обработки персональных данных третьему лицу оператор сохраняет ответственность перед субъектом за обработку предоставленных данных. Оператор несет ответственность перед субъектом в случае нарушения его прав, допущенных лицом по поручению (например, утечка, нарушение конфиденциальности, нарушение права на доступ к данным, неисполнение требования об удалении и т. д.). Однако за принятие организационных и технических мер для обеспечения безопасности обрабатываемых данных, а также за разработку локальных нормативных актов, каждый несет ответственность самостоятельно.

При передаче без поручения ответственность за обработку персональных данных распределяется между оператором и получателем в соответствии с конкретными действиями, произведенными каждой стороной. Оператор несет ответственность в случае незаконной передачи данных, а получатель — в случае нарушений обработки этих данных. Таким образом, ответственность возлагается на ту сторону, чьи действия привели к нарушению.

Доки

Сервис позволяет отправлять и получать документы, такие как счета, накладные, акты и другие виды отчетности, в электронном виде — быстро и в соответствии с требованиями законодательства

Подробнее

Дарья Кочергина

17 июля 2025

19203

Читайте по теме

Безопасность и защита информации

Дедлайн — 1 сентября. Как бизнесу избежать штрафов РКН за обработку персональных данных