Договор поручения обработки ПДн с подрядчиком: ключевые пункты
Договор поручения обработки ПДн нужен, когда подрядчик или сервис обрабатывает персональные данные по заданию оператора: принимает заявки, ведёт CRM, поддерживает сайт, делает рассылку, хранит записи звонков или обрабатывает заказы.
Главная задача договора — не переложить ответственность магической фразой, а зафиксировать цель, состав данных, действия подрядчика, меры защиты, удаление и запрет лишней передачи.
Когда договор нужен
Если разработчик видит заявки в админке, агентство ведёт CRM, сервис рассылок хранит email, коллтрекинг записывает звонки, а чат принимает телефоны пользователей, это уже не просто техническая интеграция.
Оператор должен понимать, кому и зачем передаются данные. Подрядчик должен понимать, что он может делать с данными, а что запрещено.
Ключевые пункты
- предмет поручения и цель обработки;
- перечень категорий ПДн;
- категории субъектов: клиенты, лиды, сотрудники, пользователи;
- действия с данными: сбор, запись, хранение, передача, удаление;
- меры защиты и доступы;
- срок обработки и порядок удаления;
- условия привлечения субподрядчиков;
- уведомление об инцидентах;
- ответственность и порядок проверки;
- возврат или уничтожение данных после окончания договора.
Что часто забывают
| Пробел | Почему опасно |
|---|---|
| Нет списка данных | подрядчик может получить лишнее |
| Нет срока удаления | база остаётся после проекта |
| Нет правил доступа | работают общие аккаунты |
| Нет инцидентов | оператор узнаёт об утечке слишком поздно |
Как связать договор с сайтом
Сначала составьте список сервисов, куда уходят данные с сайта. Затем отметьте, по каким из них есть договор, оферта или приложение о ПДн. После этого можно закрывать пробелы по приоритету: CRM, рассылки, чаты, коллтрекинг, разработчики.
Если сервис нельзя нормально проверить и он не даёт условий по ПДн, лучше искать замену до того, как через него пройдёт клиентская база.
Коротко
Можно ли принять оферту SaaS-сервиса вместо отдельного договора?
Да, если оферта реально содержит условия обработки ПДн и подходит под ваш сценарий. Её нужно сохранить и связать с реестром подрядчиков.
Подрядчик становится оператором?
Не всегда. Если он действует по поручению и не определяет свои цели обработки, он обычно рассматривается как уполномоченное лицо. Но конкретную роль нужно оценивать по договору и фактическим действиям.
Практический следующий шаг
Проверьте подрядчиков до следующего релиза
Пре-скан бесплатный. Полный аудит 152-ФЗ за 700 ₽ покажет формы и внешние сервисы, а пакет документов под ключ стоит 20 000 ₽.