Передача персональных данных подрядчикам: как оформить договор правильно

Вы передаёте подрядчику заявки с сайта, доступ в CRM, телефонию, бухгалтерию, доставку, IT-поддержку — и вместе с этим почти всегда уходят персональные данные (ФИО, телефон, e-mail, история заказов). Частая ошибка бизнеса: “это же наш подрядчик, пусть сам отвечает”. Но по ФЗ-152 оператором персональных данных остаётся компания, и именно к ней придёт Роскомнадзор при жалобе/утечке/проверке.

🔎 Чтобы быстро понять, какие риски есть в ваших договорах и интеграциях, начните с проверки “как есть”:

Провести аудит на соответствие требованиям Роскомнадзора →

Что говорит закон: “передача” ≠ “снятие ответственности”

Оператор отвечает всегда

Если вы определяете цели и способы обработки (продажи, HR, доставка) — вы оператор персональных данных. Подрядчик обычно действует по поручению оператора. Это допустимо, но договор должен содержать обязательные условия: что именно делает подрядчик, какие меры защиты применяет, как соблюдает конфиденциальность, что происходит при инцидентах и как возвращаются/удаляются данные.

Чем рискует бизнес

Типовые основания для предписаний и штрафов:

• нет поручения/условий по ФЗ-152 в договоре;
• доступ к ПД шире, чем нужно (подрядчик видит “всю базу”);
• непонятно, где физически хранятся данные (облака/иностранные сервисы);
• нет регламента реагирования на утечки и сроков уведомления;
• “согласия” на сайте не покрывают фактические передачи.

Как оформить договор с подрядчиком: пошагово

Шаг 1. Опишите процесс передачи

Зафиксируйте: какие ПД передаются, откуда (сайт/CRM/1С), кому, зачем, на какой срок, какие операции выполняет подрядчик (хранение, доступ, рассылка, доставка, аналитика).

Шаг 2. Включите блок “Поручение обработки ПД”

Минимум, который стоит прописать (или вынести в приложение):

1. Предмет поручения: перечень операций с ПД.
2. Цели обработки (строго под ваши цели).
3. Категории ПД и субъектов (клиенты/лиды/сотрудники).
4. Требования к безопасности: доступ по ролям, журналы, 2FA, шифрование, резервное копирование.
5. Конфиденциальность и запрет использовать ПД “в своих целях”.
6. Субподрядчики: только с согласия оператора + тот же уровень защиты.
7. Инциденты/утечки: обязанность подрядчика уведомить вас немедленно, предоставить логи/данные расследования.
8. Возврат/удаление ПД по окончании договора + акт/подтверждение.

Шаг 3. Проверьте уведомления в Роскомнадзор

Если у вас меняются процессы и перечень лиц, кому поручена обработка, это должно корректно отражаться в вашей документации и при необходимости — в уведомлении/сведениях для Роскомнадзора.

📌 Если хотите закрыть вопрос “под ключ” (договоры + локальные акты + уведомление), проще сделать это один раз правильно:

Заказать разработку пакета документов по 152-ФЗ →

Вывод

Передача персональных данных подрядчикам — нормальная практика. Но без правильно оформленного поручения и контроля это превращается в риск: предписание Роскомнадзора, штрафы, блокировка процессов и репутационные потери. Хороший договор — это не “юридическая формальность”, а инструмент управления безопасностью.

Практический чек-лист ✅

Договор

• Есть поручение обработки ПД (операции, цели, категории ПД)
• Прописаны меры защиты и конфиденциальность
• Ограничены доступы (минимально необходимый)
• Урегулированы субподрядчики
• Есть порядок действий при утечке
• Возврат/удаление ПД подтверждается документально

Документы оператора

• Реестр обработок и передаваемых процессов
• Политика и внутренние регламенты актуальны
• Проверена обязанность уведомления/актуализации сведений

📎 Чтобы свериться по требованиям на 2026 год:

Скачать чек-лист «Требования Роскомнадзора к операторам ПД в 2026» →

Что делать бизнесу прямо сейчас

1. Составьте список подрядчиков, которым вы передаёте ПД (CRM, колл-центр, маркетинг, доставка, бухгалтерия, IT).
2. Проверьте договоры на наличие поручения и условий безопасности.
3. Закройте “быстрые дырки”: доступы, выгрузки, удаление, инциденты.

Самый быстрый способ получить понятный план исправлений — аудит:
Пройти аудит →