Кибероснова152-ФЗ
Обязательный документ
152-ФЗ20265 мин

Поручение на обработку персональных данных

Готовый образец поручения на обработку ПДн на 2026 год по ст. 6 ФЗ-152: структура договора, обязательные условия, примеры для CRM, облачных сервисов и аутсорса. Скачайте .docx или создайте в конструкторе за 10 минут.

Скачать образец .docxСоздать в конструкторе

* Образец носит информационный характер. Рекомендуем адаптировать под вашу организацию.

Почему этот документ важен

Передача ПДн третьим лицам без поручения — нарушение ч. 3 ст. 6 ФЗ-152. С 1 сентября 2022 года оператор обязан заключить договор поручения с каждым обработчиком: облачным сервисом, CRM-провайдером, бухгалтерией на аутсорсе. Штраф по ч. 2 ст. 13.11 КоАП — до 150 000 руб. для юрлиц, повторно — до 500 000 руб. [Рассчитайте сумму штрафа для вашей организации](/shtrafy/calculator/).

Что такое поручение на обработку ПДн

Поручение на обработку персональных данных — это документ (договор или дополнительное соглашение), по которому оператор поручает обработку ПДн другому лицу. Правовое основание — ч. 3 ст. 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Оператор остаётся ответственным за обработку перед субъектом ПДн. Лицо, которому поручена обработка (обработчик), действует от имени и в интересах оператора, но обязано соблюдать конфиденциальность и обеспечивать безопасность ПДн.

Важно: поручение — это не передача ПДн, а именно поручение обработки. Оператор сохраняет полный контроль: определяет цели, состав данных, перечень действий, сроки и требования к защите.

Когда обязательно заключать поручение

Поручение необходимо в каждом случае, когда стороннее юридическое или физическое лицо получает доступ к ПДн ваших субъектов для выполнения ваших задач:

  • Облачные CRM и сервисы — Bitrix24, amoCRM, Salesforce, 1С:Фреш хранят ПДн ваших клиентов на своих серверах;
  • Аутсорс бухгалтерии — бухгалтерская компания обрабатывает ФИО, ИНН, паспортные данные сотрудников;
  • Хостинг-провайдеры — если на сервере хранятся ПДн (базы данных, бэкапы);
  • Колл-центры — операторы обрабатывают ФИО, телефоны, историю обращений;
  • IT-подрядчики — при техподдержке, доработке или администрировании ИСПДн;
  • Курьерские службы — при передаче адресов доставки и контактных данных;
  • Маркетинговые агентства — при рассылках, обработке лидов, работе с CRM.

Проверьте, все ли третьи лица учтены, с помощью бесплатного аудита.

Отличие поручения от согласия на обработку ПДн

Эти два документа часто путают, хотя у них совершенно разная природа.

Согласие — это волеизъявление субъекта ПДн (работника, клиента, пользователя). Субъект разрешает оператору обрабатывать свои данные. Правовое основание — ст. 9 ФЗ-152.

Поручение — это договор между двумя юридическими лицами (оператор → обработчик). Субъект ПДн не выступает стороной этого договора. Правовое основание — ч. 3 ст. 6 ФЗ-152.

Примеры:

  • Клиент даёт согласие интернет-магазину на обработку ФИО, адреса, телефона;
  • Интернет-магазин оформляет поручение курьерской службе на обработку адреса и ФИО для доставки.

Оба документа можно создать в конструкторе Кибероснова — данные из реестров автоматически подтягиваются в связанные документы.

Создайте поручение за 10 минут

Укажите обработчика, перечень ПДн и цели обработки — конструктор автоматически сформирует договор поручения со всеми обязательными условиями по ч. 3 ст. 6 ФЗ-152.

Открыть конструктор

Обязательная структура поручения по ст. 6 ФЗ-152

Часть 3 статьи 6 ФЗ-152 устанавливает исчерпывающий перечень условий, которые должны содержаться в поручении:

1

Перечень действий с ПДн

Конкретные операции: сбор, запись, хранение, систематизация, уточнение, использование, передача, удаление. Нельзя писать «любая обработка» — только конкретный перечень.

2

Цели обработки

Зачем обработчику нужны данные: исполнение договора, расчёт зарплаты, доставка товара, техническая поддержка.

3

Обязанность соблюдать конфиденциальность

Прямое указание на обязанность обеспечивать конфиденциальность ПДн при обработке.

4

Требования к защите ПДн

Обработчик обязан принимать меры по ст. 19 ФЗ-152: организационные и технические меры, соответствующие уровню защищённости ИСПДн.

5

Порядок возврата и уничтожения ПДн

Что происходит с данными по окончании обработки или по требованию оператора: возврат, уничтожение, подтверждение уничтожения.

Образец: поручение для облачной CRM

Оператор: ООО «Рассвет» (интернет-магазин) Обработчик: ООО «Клауд Сервис» (CRM-провайдер)

Перечень ПДн: ФИО клиентов, телефон, email, адрес доставки, история заказов Цель обработки: обеспечение функционирования CRM-системы для учёта клиентов и заказов Действия: запись, хранение, систематизация, уточнение, извлечение, использование, удаление Срок: на период действия договора на оказание SaaS-услуг Защита: УЗ-4, шифрование каналов связи (TLS 1.2+), разграничение доступа, журналирование По окончании: уничтожение ПДн в течение 30 дней с подтверждением актом уничтожения

Скачать образец

Актуальный бланк 2026 года в формате DOCX

Поручение, согласие, NDA — сравнение документов

КритерийПоручение (ст. 6)Согласие (ст. 9)NDA / обязательство
СтороныОператор → ОбработчикСубъект → ОператорРаботодатель → Сотрудник
ПредметПередача обработки третьему лицуРазрешение на обработку ПДнЗапрет на разглашение ПДн
Правовая основач. 3 ст. 6 ФЗ-152ст. 9 ФЗ-152ст. 7 ФЗ-152
ФормаДоговор / допсоглашениеПисьменное согласиеОбязательство / расписка
Когда нуженПривлечение обработчикаПолучение данных от субъектаДопуск сотрудника к ПДн
ОтветственностьОператор отвечает за обработчикаОператор отвечает за обработкуСотрудник отвечает за разглашение

Чек-лист: что проверить в поручении

  • Указан конкретный перечень действий с ПДн (не «любая обработка»)
  • Определены цели обработки, соответствующие целям оператора
  • Установлена обязанность обработчика соблюдать конфиденциальность
  • Указаны требования к защите ПДн (ссылка на ст. 19 ФЗ-152)
  • Определён порядок возврата / уничтожения ПДн по окончании обработки
  • Указан перечень обрабатываемых ПДн (категории данных)
  • Указаны категории субъектов ПДн (клиенты, работники, контрагенты)
  • Установлен срок действия поручения
  • Определено право оператора на контроль и проверки
  • Установлена ответственность обработчика за нарушение условий
  • Указано, что обработчик не вправе привлекать субподрядчиков без согласия оператора
  • Документ подписан уполномоченными лицами обеих сторон

Типичные ошибки при составлении поручения

**Ошибка 1:** Отсутствие поручения как такового. Организация использует CRM, хостинг, аутсорс бухгалтерию, но не оформляет ни одного поручения — при проверке штраф за каждого обработчика. **Ошибка 2:** Формулировка «обработка ПДн в любых целях». Закон требует указать конкретные цели и перечень действий. Расплывчатые формулировки = нарушение. **Ошибка 3:** Нет требований к защите ПДн. Обработчик обязан обеспечивать меры по ст. 19 ФЗ-152. Без этого пункта поручение юридически уязвимо. **Ошибка 4:** Нет условий об уничтожении данных. После прекращения договора обработчик должен уничтожить ПДн, иначе обработка продолжается без правового основания.

Нужна помощь с оформлением поручений?

Много обработчиков, сложная цепочка передачи ПДн, международная передача? Наши эксперты помогут составить поручения для каждого контрагента.

Заказать разработку

Часто задаваемые вопросы

Да. Закон не требует отдельного документа — условия поручения на обработку ПДн можно включить в основной договор оказания услуг. Главное, чтобы в договоре были все обязательные условия по ч. 3 ст. 6 ФЗ-152: перечень действий с ПДн, цели обработки, обязанность соблюдать конфиденциальность, требования к защите и порядок уничтожения данных. На практике удобнее оформить дополнительное соглашение — его проще обновлять при изменении состава данных.

Нужен полный пакет документов по 152-ФЗ?

Подготовим комплект под ключ с адаптацией под ваш бизнес. Можно собрать самостоятельно.

Собрать самостоятельно

Связанные материалы

Политика обработки ПДнОбразец политики обработки персональных данных для ООО, ИП и сайта.Согласие на обработку ПДнОбразец согласия на обработку персональных данных 2026 года. Бланк для скачивания и конструктор.Уведомление в РоскомнадзорКак подать уведомление об обработке ПДн. Пошаговая инструкция, образец заполнения 2026.Обязательство о неразглашении ПДнОбразец обязательства о неразглашении персональных данных для работников 2026.Положение об обработке ПДнОбразец положения об обработке персональных данных для организации 2026 года.Регламент уничтожения ПДнРегламент и акт уничтожения персональных данных по 152-ФЗ — образец 2026, порядок, комиссия.