Поручение обработки персональных данных другому лицу: пошаговый алгоритм выбора провайдера

4 апреля 2026
Разберемся, что понимается под «поручением обработки персональных данных другому лицу», кто такой провайдер, а также рассмотрим алгоритм действий выбора такого лица.

Содержание:
1. Поручение обработки персональных данных другому лицу: понятие, правовое регулирование.
2. Провайдер: кто это?
3. Как выбрать провайдера, на что обратить внимание?

1. Поручение обработки персональных данных другому лицу: понятие, правовое регулирование.

Процесс обработки персональных данных является весьма сложным и затратным, поэтому все чаще компании поручают обработку персональных данных специализированным провайдерам услуг.

Однако, прежде чем пойти на такой шаг необходимо убедиться в надежности провайдера, поскольку ответственность за нарушение порядка обработки персональных данных будет нести именно оператор персональных данных.

В соответствии с частью 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных" (далее – ФЗ от 27.07.2006 № 152-ФЗ) оператор персональных данных вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным органом или муниципальным органом соответствующего акта (далее - поручение оператора).

Из приведенной нормы следует, что:

  1. передача обработки персональных данных является правом оператора,
  2. на такую передачу необходимо согласие субъекта персональных данных,
  3. передача обработки персональных данных осуществляется на основании поручения оператора.
Таким образом, поручение обработки персональных данных другому лицу можно определить как право оператора с согласия субъекта персональных данных передать выполнение определённых действий с персональными данными внешнему лицу (провайдеру) (организации или физическому лицу) на основании договора или иного правового акта

2. Провайдер: кто это? 

Лицом, осуществляющим обработку персональных данных по поручению другого лица (провайдером), может быть как физическое, так и юридическое лицо, которому оператор персональных данных поручает выполнение определённых действий с персональными данными на основании договора или иного правового акта. 

Важно от лица, осуществляющего обработку персональных данных по поручению другого лица, отличать провайдера. 

Провайдер – это компания, которая за деньги обеспечивает доступ клиента к каким-либо услугам (интернет, мобильная связь и т.д.).
С точки зрения персональных данных провайдер обеспечивает доступ к техническому оборудованию для обработки персональных данных (например, в рамках облачных услуг).

Поэтому важно отличать технических провайдеров или владельцев крупных цифровых сервисов от исполнителей простых поручений: бухгалтерия, HR на аутсорсинге, поскольку к последним требования ниже. 
Администраторы на аутсорсинге не являются в полном смысле слова «провайдерами», это просто исполнители части управленческих функций оператора. 

Можно выделить следующие характеристики провайдера:

1. Он не является оператором персональных данных по смыслу пп. 2 ст. 3 ФЗ от 27.07.2006 № 152-ФЗ.
Провайдер не определяет цели обработки персональных данных, категории персональных данных, подлежащих обработке; не состоит в договорных отношениях с субъектом персональных данных, поэтому не обязан получать от него согласие на обработку персональных данных.

2. Действует исключительно в интересах оператора персональных данных.
Такая обработка персональных данных осуществляется на основании договора.
Именно оператор персональных данных устанавливает, какие персональные данные и в каких целях будет обработка персональных данных.

3. Не несет ответственности за нарушение порядка обработки персональных данных перед субъектами персональных данных, но несет ответственность перед оператором персональных данных (ч. 5 ст. 6 ФЗ от 27.07.2006 № 152-ФЗ).
 
4. Такое лицо обязано:

  • соблюдать принципы и правила обработки персональных данных, установленных ФЗ от 27.07.2006 № 152-ФЗ,
  • соблюдать конфиденциальность персональных данных,
  • принимать все необходимые меры, включая меры безопасности при обработке персональных данных.

3. Как выбрать провайдера, на что обратить внимание?

Выбор такого лица требует тщательного анализа для обеспечения соответствия требованиям законодательства и минимизации рисков, поскольку ответственность перед гражданами за действия такого лица несет именно оператор персональных данных (организация, инициировавшая обработку) (часть 5 ст. 6 ФЗ от 27.07.2006 № 152-ФЗ). 

Это означает, что именно оператор персональных данных за нарушение законодательства в области персональных данных будет привлечен к административной ответственности, поэтому штрафы будут наложены именно на оператора.

Однако, отметим, что оператор персональных данных сможет предъявить требование в порядке регресса по компенсации таких штрафов.

Рассмотрим пошаговый алгоритм действий при выборе такого лица:

Шаг 1. Проверьте, зарегистрирован ли провайдер в Едином реестре операторов персональных данных, который ведется Роскомнадзором.
Проверить такую информацию можно на официальном сайте Роскомнадзора (https://pd.rkn.gov.ru/operators-registry/operators-list/), используя ИНН и (или) название организации. 
Требование о регистрации в Едином реестре операторов персональных данных является обязательным (ч. 1 ст. 22 ФЗ от 27.07.2006 № 152-ФЗ).

Рекомендации:
В случае отсутствия лица в таком реестре заключать договор о поручении обработки персональных данных крайне не рекомендуется, поскольку возможны серьезные риски.

Шаг 2. Проверьте, соблюдается ли у такого лица требование о локализации.
Напомним, что при сборе персональных данных базы данных должны находиться только на территории Российской Федерации. Нахождение баз данных за пределами Российской Федерации не допускается (часть 5 ст. 18 ФЗ от 27.07.2006 № 152-ФЗ). 
Для этого рекомендуется запросить у провайдера информацию о местонахождении центров обработки данных.

Рекомендации:
Если провайдер для обработки персональных данных использует базы данных, которые расположены за пределами РФ, то не рекомендуем поручать обработку персональных данных такому провайдеру, так как это может повлечь за собой риски привлечения к административной ответственности на основании частей 8, 9 ст. 13.11 КоАП РФ, что влечет за собой наложение административной ответственности на юридических лиц:

  • по части 8 – от 1 миллиона до 6 миллионов,
  • по части 9 – от 6 миллионов до 18 миллионов. 
Шаг 3. Проверьте у провайдера сертификат.
Важно запросить аттестат соответствия требованиям безопасности, который подтверждает, что инфраструктура провайдера аттестована для работы с информационными системами персональных данных (п. 1 Приказа ФСТЭК России от 29.04.2021 № 77).
Наличие аттестата подтверждает, что у провайдера информационные системы соответствуют требованиям по защите информации.

Несмотря на то, что аттестация для коммерческих организаций не является обязательной, рекомендуем при выборе провайдера ориентироваться на ее наличие.

Шаг 4. Проверьте, какие технические меры защиты использует провайдер.
Например, провайдер может использовать: шифрование данных при передаче и хранении, системы контроля доступа и аутентификации (пароли, смарт-карты, двухфакторная авторизация), резервное копирование данных, журналирование действий пользователей; системы обнаружения угроз и антивирусная защита; межсетевые экраны и другие средства защиты инфраструктуры.

Для этого можно запросить информацию о используемых сертифицированных средствах защиты.

Шаг 5. Ознакомьтесь с основными документами провайдера, регулирующими порядок обработки персональных данных.
У провайдера целесообразно запросить:

  • политику обработки персональных данных,
  • весь перечень документов, которые предусмотрены:
- ст. ст. 18.1, 19 Федерального закона от 27.07.2006 N 152-ФЗ, 
- Постановлением Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных",
- Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

  • документ об определении угроз и оценки соответствия выбранного уровня защищенности информационных систем персональных данных этим угрозам, 
  • аттестат соответствия требованиям безопасности по Приказу ФСТЭК России от 29.04.2021 № 77
Важно


Такой документ (аттестат) для цифровых сервисов, обрабатывающих большой массив персональных данных, желателен, а вот для владельцев информационно-телекоммуникационных сетей (провайдеров), банков, крупных финансовых, транспортных, страховых организаций – обязателен.

Дополнительно рекомендуем запросить у провайдера сведения из модели угроз и модели нарушителя (при их наличии).
Наличие у провайдера обоих моделей будет дополнительным подтверждением ответственного подхода к защите персональных данных. 

Шаг 6. Рекомендуем изучить репутацию провайдера (например, публикации в СМИ, наличие сертификатов соответствия стандартам, реальные кейсы внедрения). 
Целесообразно проверить отзывы других клиентов провайдера и информацию о ранее имевшихся инцидентах. 

Шаг 7. Четко определите условия договора поручения обработки персональных данных третьему лицу. 
В договоре необходимо указать сведения, установленные частью 3 ст. 6 ФЗ от 27.07.2006 № 152-ФЗ:

  • перечень персональных данных;
  • перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных,
  • цели обработки персональных данных,
  • обязанность провайдера соблюдать конфиденциальность персональных данных,
  • обязанность использовать базы данных, находящихся на территории Российской Федерации,
  • обязанность выполнять меры, необходимые и достаточные для обеспечения выполнения обязанностей (ст. 18.1, 19 ФЗ от 27.07.2006 № 152-ФЗ).
Необходимо детально прописать:

- порядок проведения независимого аудита инфраструктуры и процессов провайдера или регулярного мониторинга соблюдения требований со стороны оператора. Это поможет своевременно выявить нарушения,
- требования о защите обрабатываемых персональных данных, а также требование об уведомлении персональных данных в случае установления факта неправомерной или случайной утечки персональных данных.
Дополнительные рекомендации по выбору провайдера:
  1. Выбирайте из нескольких провайдеров. Возможно провести запрос предложений, чтобы выбрать наиболее подходящего кандидата.
  2. Учитывайте масштаб и сложность обработки персональных данных. Например, для обработки биометрических или специальных персональных данных требования к защите персональных данных выше, поэтому необходимо учитывать, соответствуют ли технические характеристики провайдера требованиям или нет.
  3. Фиксируйте в договоре с провайдером механизмы контроля. Например, право оператора на аудит или доступ к отчётам о безопасности.
  4. Регулярно пересматривайте договор и условия сотрудничества. При изменении требований законодательства или условий обработки персональных данных вносите соответствующие корректировки.
Свяжитесь с нами!

Чтобы получить анкету для подготовки индивидуального предложения:

- написать на почту i.krotov@mitrofanova.ru

- позвонить по тел. +7(916) 416-49-60

Проконсультироваться

Поделиться материалом
Скопировать ссылку
Все статьи
Этот сайт использует файлы cookie для хранения данных. Продолжая использовать сайт, вы даете свое согласие на работу с этими файлами.
Хорошо, принимаю