152-ФЗ для сайта

Договор поручения обработки ПДн с подрядчиком: ключевые пункты

Договор поручения обработки ПДн нужен, когда подрядчик или сервис обрабатывает персональные данные по заданию оператора: принимает заявки, ведёт CRM, поддерживает сайт, делает рассылку, хранит записи звонков или обрабатывает заказы.

Главная задача договора — не переложить ответственность магической фразой, а зафиксировать цель, состав данных, действия подрядчика, меры защиты, удаление и запрет лишней передачи.

Когда договор нужен

Если разработчик видит заявки в админке, агентство ведёт CRM, сервис рассылок хранит email, коллтрекинг записывает звонки, а чат принимает телефоны пользователей, это уже не просто техническая интеграция.

Оператор должен понимать, кому и зачем передаются данные. Подрядчик должен понимать, что он может делать с данными, а что запрещено.

Ключевые пункты

  • предмет поручения и цель обработки;
  • перечень категорий ПДн;
  • категории субъектов: клиенты, лиды, сотрудники, пользователи;
  • действия с данными: сбор, запись, хранение, передача, удаление;
  • меры защиты и доступы;
  • срок обработки и порядок удаления;
  • условия привлечения субподрядчиков;
  • уведомление об инцидентах;
  • ответственность и порядок проверки;
  • возврат или уничтожение данных после окончания договора.

Что часто забывают

ПробелПочему опасно
Нет списка данныхподрядчик может получить лишнее
Нет срока удалениябаза остаётся после проекта
Нет правил доступаработают общие аккаунты
Нет инцидентовоператор узнаёт об утечке слишком поздно

Как связать договор с сайтом

Сначала составьте список сервисов, куда уходят данные с сайта. Затем отметьте, по каким из них есть договор, оферта или приложение о ПДн. После этого можно закрывать пробелы по приоритету: CRM, рассылки, чаты, коллтрекинг, разработчики.

Если сервис нельзя нормально проверить и он не даёт условий по ПДн, лучше искать замену до того, как через него пройдёт клиентская база.

Коротко

Можно ли принять оферту SaaS-сервиса вместо отдельного договора?

Да, если оферта реально содержит условия обработки ПДн и подходит под ваш сценарий. Её нужно сохранить и связать с реестром подрядчиков.

Подрядчик становится оператором?

Не всегда. Если он действует по поручению и не определяет свои цели обработки, он обычно рассматривается как уполномоченное лицо. Но конкретную роль нужно оценивать по договору и фактическим действиям.

Практический следующий шаг

Проверьте подрядчиков до следующего релиза

Пре-скан бесплатный. Полный аудит 152-ФЗ за 700 ₽ покажет формы и внешние сервисы, а пакет документов под ключ стоит 20 000 ₽.