Франшизы, дилеры, агенты и партнёрские сети: кто оператор, кто обработчик и кто отвечает за утечку

Когда один бренд, но разные юрлица — персональные данные клиентов становятся зоной правовой неопределённости

Зачем это важно и кому читать

Представьте: крупная сеть кофеен работает по франшизе через 200 точек в разных регионах. Клиент приходит в точку, оставляет телефон для программы лояльности. Данные попадают в CRM франчайзи. Через полгода база утекает — 150 000 записей оказываются в открытом доступе. Роскомнадзор возбуждает дело. Вопрос: кто получит штраф?

Похожая история повторяется каждый раз, когда за распределённой структурой бизнеса — франшизами, дилерами, агентами, реферальными сетями — не стоит чёткого понимания правил игры с персональными данными.

С 30 мая 2025 года цена этого непонимания резко выросла. Новые нормы КоАП [1] ввели оборотные штрафы, уголовную ответственность и сделали саму утечку основанием для штрафа — независимо от её источника.

Эта статья адресована юристам компаний с разветвлёнными партнёрскими сетями, директорам по информационной безопасности, руководителям франчайзинговых проектов, compliance-менеджерам, а также дилерам и агентам, которые хотят разобраться в своих рисках.

Часть 1. Базовые роли: оператор и обработчик по 152-ФЗ

Кто такой оператор

Федеральный закон № 152-ФЗ «О персональных данных» [2] определяет оператора в пункте 2 статьи 3: это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными [3].

Ключевые слова в этом определении — «определяющие цели». Именно способность самостоятельно решать, зачем и как собираются данные, делает организацию оператором. Это важно: статус оператора определяется не по форме участия в сети и не по договорным наименованиям, а по фактическому контролю над целями обработки.

Как следствие: дилер, который открывает CRM и сам решает, каких клиентов туда вносить, зачем сохранять их телефоны и как использовать историю покупок для рассылок — является оператором. Агент, который привлекает клиентов для банка и вносит их данные в систему принципала строго по регламенту — скорее всего, является обработчиком.

Кто такой обработчик

Закон 152-ФЗ не вводит отдельного понятия «обработчик» — в российском праве используется конструкция «лицо, осуществляющее обработку персональных данных по поручению оператора» (ч. 3 ст. 6 152-ФЗ) [4]. Для удобства в профессиональном сообществе это лицо принято называть обработчиком.

Отличие принципиальное:

1. Оператор сам определяет цели и состав обрабатываемых данных.
2. Обработчик действует строго по инструкции оператора — за рамки поручения он выходить не вправе.

Разграничение ответственности, закреплённое в ч. 5 ст. 6 152-ФЗ: если оператор поручает обработку другому лицу, ответственность перед субъектом персональных данных за действия этого лица несёт именно оператор. Обработчик несёт ответственность перед оператором [4].

Это означает: для клиента — человека, чьи данные обрабатываются — единственным ответчиком остаётся оператор. Претензию к дилеру-обработчику он предъявить не может напрямую.

Совместная обработка: менее очевидный сценарий

Закон допускает модель, при которой несколько лиц «совместно» организуют обработку (то же п. 2 ст. 3 152-ФЗ) [2]. В этом случае оба становятся операторами. На практике это происходит, когда, например, производитель и его официальный дилер одновременно собирают данные покупателя в рамках единой программы лояльности — каждый для своих целей: производитель — для аналитики рынка, дилер — для локального маркетинга.

В такой модели оба несут самостоятельную ответственность. Ни одна из сторон не может перекладывать её на другую полностью. Для клиента же важно понимать, кому именно он даёт согласие.

Часть 2. Франшиза: кто оператор — франчайзер или франчайзи?

Юридическая природа договора коммерческой концессии

Франчайзинг в России оформляется по главе 54 ГК РФ как договор коммерческой концессии [5]. По статье 1027 ГК РФ правообладатель передаёт пользователю право использовать комплекс исключительных прав — товарный знак, бизнес-модель, ноу-хау [6]. При этом франчайзи остаётся самостоятельным предпринимателем: он работает от своего имени, несёт собственные операционные риски, нанимает сотрудников и строит отношения с клиентами на свой страх и риск.

Именно эта самостоятельность принципиально влияет на статус в сфере персональных данных.

Три модели распределения ролей

Практика, складывающаяся вокруг франчайзинговых сетей, позволяет выделить три типичные модели.

Первая модель — «раздельные операторы». Франчайзи самостоятельно собирает данные клиентов своей точки, ведёт собственную CRM, сам определяет цели обработки (продажи, лояльность, сервис). Франчайзер получает только агрегированную финансовую и операционную отчётность без персональных данных. В этой модели и франчайзер, и франчайзи — самостоятельные операторы, никак не связанные договором-поручением. Каждый отвечает за свои данные.

Вторая модель — «единая платформа / обработчик». Франчайзер создаёт централизованную CRM или программу лояльности. Франчайзи работает в ней, но по заданным правилам и только для нужд системы. Цели обработки, состав данных и разрешённые операции определяет франчайзер. В этом случае франчайзи выступает обработчиком, а франчайзер — оператором. Для легитимности схемы необходимо поручение на обработку, составленное с соблюдением требований ч. 3 ст. 6 152-ФЗ.

Третья модель — «совместная обработка». Оба участника собирают данные независимо, но для пересекающихся целей (например, программа лояльности, которой управляет и франчайзер, и франчайзи параллельно). В этом случае оба являются операторами и оба несут самостоятельную ответственность перед клиентом и регулятором.

Чего нет в типичных договорах коммерческой концессии

Большинство франчайзинговых договоров в России сосредоточены на стандартах качества, использовании бренда и финансовых отчислениях. Раздел о персональных данных либо отсутствует полностью, либо ограничивается общей фразой о «соблюдении применимого законодательства».

Это создаёт правовой вакуум: непонятно, кто является оператором по каким данным, кто даёт согласие субъектам и в какой форме, как разграничивается ответственность при инциденте, есть ли поручение на обработку или его нет.

При проверке или инциденте каждая из сторон будет уверять, что другая является «главным» оператором. Роскомнадзор, однако, идёт к тому, чья организация фигурирует в реестре операторов или кто фактически взаимодействовал с субъектом. Это означает, что любая из сторон может оказаться под санкциями.

Часть 3. Дилеры: самостоятельный оператор по определению

Дилер как независимый бизнес

Дилер — это компания, которая от своего имени реализует товары или услуги другого производителя на определённой территории. В отличие от агента, дилер сам заключает договоры с конечными покупателями, несёт финансовые риски и строит клиентские отношения.

С точки зрения 152-ФЗ дилер практически всегда является самостоятельным оператором: он сам решает, вносить ли клиента в CRM, как долго хранить историю покупок, использовать ли данные для рассылок и передавать ли их в сервисный центр. Производитель-вендор при этом может быть отдельным оператором — для своих целей аналитики рынка и гарантийного сервиса.

Где возникает конфликт ролей

Конфликт начинается, когда вендор требует передавать клиентские данные в свою централизованную систему. Типичный сценарий: производитель автомобилей создаёт общую CRM для всей дилерской сети. Данные клиентов, собранные дилером, автоматически синхронизируются с системой вендора.

Здесь сразу несколько вопросов. Кому клиент дал согласие? Если в согласии указан только дилер — передача данных вендору без отдельного согласия или без поручения на обработку является нарушением. Является ли вендор обработчиком дилера или самостоятельным оператором? Это зависит от того, использует ли вендор полученные данные для своих целей (анализ продаж, CRM, маркетинг) или только технически хранит по поручению дилера.

На практике вендоры почти всегда используют агрегированные данные для собственной аналитики, а значит, являются самостоятельными операторами. В этом случае нужно либо отдельное согласие клиента с упоминанием вендора, либо оформление вендора как соопературора с прозрачным уведомлением субъекта.

Специфика в автомобильном бизнесе

Автодилерский сектор — одна из наиболее «данные-интенсивных» отраслей: данные клиентов собираются на этапе тест-драйва, при оформлении кредита (через банки-партнёры), при покупке, при прохождении ТО, при записи на сервис, при участии в программах лояльности. В каждой из этих точек могут возникать новые передачи данных третьим лицам: банкам, страховщикам, сервисным компаниям.

При отсутствии единой карты потоков данных любой из этих переходов может оказаться незаконным. Особенно рискованными являются интеграции дилерской CRM с внешними сервисами — коллтрекингом, сервисами аналитики рекламы, чат-платформами.

Часть 4. Агенты: обработчик или оператор?

Принципиальное различие двух видов агентских отношений

По статье 1005 ГК РФ агент действует либо от своего имени, либо от имени принципала. Это различие принципиально для квалификации роли агента в сфере персональных данных.

Агент, действующий от имени принципала, юридически является «рукой» принципала. Когда он собирает данные клиента, данные поступают к принципалу. Сам агент в этой схеме выступает как обработчик: он выполняет действия по поручению, а ответственность перед субъектом несёт принципал.

Агент, действующий от своего имени, собирает данные клиентов в собственную базу, самостоятельно решает, как с ними взаимодействовать. Он является оператором в части данных, которые находятся у него. При передаче данных принципалу необходимо отдельное согласие или поручение.

Что показывает судебная практика

Арбитражная практика уже рассматривала сложные агентские цепочки. В одном из дел суд установил, что агент и субагент, действующие на основании агентского и субагентского договоров, не приобретают самостоятельных правоотношений с субъектами персональных данных, поскольку они действуют от имени принципала [7]. Следовательно, именно принципал несёт ответственность за обеспечение надлежащего обращения с данными в рамках всей цепочки.

При этом суд подчеркнул: договор должен содержать требование к агенту о соблюдении конфиденциальности и обеспечении безопасности данных. Если такого требования нет — это самостоятельное нарушение со стороны принципала. Именно на это указывает и КонсультантПлюс в своей подборке судебной практики: отсутствие в агентском договоре требований к защите ПДн может повлечь штраф даже без факта утечки [8].

Реферальные партнёры и аффилиаты

Отдельного внимания заслуживают реферальные сети и аффилиатные программы. Участник такой сети (affiliate) получает ссылку, привлекает клиентов и получает вознаграждение. В момент, когда клиент переходит по ссылке и оставляет данные на сайте принципала, именно принципал становится оператором.

Однако если аффилиат самостоятельно собирает контакты потенциальных клиентов — в форме на своём сайте или лично — перед передачей их принципалу, он сам выступает оператором в момент сбора. И должен иметь законное основание для последующей передачи: либо согласие с упоминанием принципала, либо поручение.

Типичная ошибка: аффилиат собирает базу «лидов» (имена, телефоны, email) для последующей продажи нескольким принципалам. Это незаконная деятельность оператора — без надлежащих оснований для обработки и тем более для последующей передачи. Согласие, данное «на обработку данных аффилиатом», не означает согласия на передачу их другому оператору.

Часть 5. Поручение на обработку: главный документ для партнёрских сетей

Что такое поручение и зачем оно нужно

Часть 3 статьи 6 152-ФЗ устанавливает: оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта, на основании заключаемого договора [4]. Форма поручения — обычно отдельный раздел основного договора или дополнительное соглашение к нему.

Поручение — единственный законный способ передать данные партнёру без получения отдельного согласия от субъекта. Без поручения любая передача данных третьему лицу требует прямого согласия клиента с указанием этого лица.

Обязательные элементы поручения

Согласно ч. 3 ст. 6 152-ФЗ (в редакции от 24.06.2025) поручение должно содержать [4]:

1. Перечень персональных данных, которые передаются на обработку.
2. Перечень разрешённых действий (операций) с этими данными.
3. Цели обработки.
4. Обязанность лица соблюдать конфиденциальность персональных данных.
5. Обязанность выполнять требования ч. 5 ст. 18 и ст. 18.1 152-ФЗ.
6. Обязанность по запросу оператора предоставлять документы, подтверждающие соблюдение требований.
7. Обязанность обеспечивать безопасность ПДн при их обработке.
8. Требования к защите ПДн в соответствии со ст. 19 152-ФЗ.
9. Требование о незамедлительном уведомлении оператора при инцидентах.

Если хотя бы один из этих элементов отсутствует — поручение юридически дефектно. Оператора можно привлечь к ответственности по ч. 1 ст. 13.11 КоАП уже за это [8].

Важное ограничение: что нельзя поручить

Правовая позиция, сложившаяся в практике и закреплённая в разъяснениях: определение целей обработки, состав персональных данных и операции с ними не может быть поручено другим лицам [9]. Эти полномочия остаются исключительно за оператором. Обработчик не вправе расширять цели или добавлять поля без указания оператора.

Часть 6. Ответственность при утечке: кто платит?

Новый режим ответственности с 30 мая 2025 года

Федеральный закон № 420-ФЗ от 30.11.2024 кардинально изменил ст. 13.11 КоАП РФ [1]. Принципиальное новшество: утечка сама по себе является основанием для штрафа, независимо от того, по чьей вине она произошла.

Градация штрафов для организаций по масштабу утечки [10]:

1. Утечка данных от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей.
2. Утечка данных от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей.
3. Утечка данных более 100 000 субъектов или биометрических данных — от 10 до 15 млн рублей.
4. Утечка биометрических данных — от 15 до 20 млн рублей.
5. Повторная утечка (оборотный штраф) — от 1% до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

Дополнительно с 11 декабря 2024 года действует ст. 272.1 УК РФ [11] — уголовная ответственность за незаконное использование, сбор и хранение компьютерной информации с персональными данными: до 4 лет лишения свободы, до 10 лет при тяжких последствиях.

Кто получит штраф при утечке у партнёра

Ответ однозначен: тот, кто в реестре Роскомнадзора числится как оператор, а также тот, кто фактически контролировал данные. Как прямо указывают эксперты: «неважно, утекли данные из-за подрядчика, техподдержки или бывшего сотрудника — отвечать будет оператор персональных данных» [12].

Это означает следующее для разных участников сети:

Для франчайзера, являющегося оператором единой CRM: если данные утекли из системы, которую он контролирует, — штраф ему, даже если конкретная точка утечки находилась у франчайзи.

Для дилера, являющегося самостоятельным оператором: штраф именно дилеру, даже если причиной утечки стал взлом сервиса, предоставленного вендором.

Для принципала, привлёкшего агентов без поручения: штраф принципалу — за отсутствие поручения и за утечку как таковую.

Право регресса к партнёру

Оператор, получивший штраф из-за действий обработчика, вправе предъявить регрессный иск. Однако, как указывает практика, взыскание происходит далеко не всегда: многие подрядчики и небольшие партнёры просто не располагают достаточными активами для покрытия многомиллионных штрафов [13]. Именно поэтому надёжнее предотвратить инцидент, чем рассчитывать на возмещение после него.

Часть 7. Типичные ошибки и как их избежать

Ошибка 1: считать, что партнёрский договор уже регулирует данные

Большинство дилерских, агентских и франчайзинговых соглашений не содержат надлежащего поручения на обработку ПДн. Фраза «стороны обязуются соблюдать применимое законодательство» — не поручение. Для него нужен конкретный перечень данных, операций, целей и технических требований.

Решение: включить в каждое партнёрское соглашение отдельный раздел «Поручение на обработку персональных данных» с соблюдением всех требований ч. 3 ст. 6 152-ФЗ. Альтернативно — оформить отдельное дополнительное соглашение к каждому договору.

Ошибка 2: одно согласие «на всю сеть»

Франчайзеры нередко разрабатывают единую форму согласия клиента, которую используют все точки сети. Проблема: если в согласии не указан конкретный франчайзи как получатель данных — передача ему незаконна. Если указан франчайзер, но не конкретные франчайзи, с которыми работает клиент, — снова нарушение.

Решение: либо согласие должно содержать перечень всех операторов в сети (что неудобно при масштабировании), либо нужна модель поручения, при которой франчайзер является единственным оператором, а точки — обработчиками. В последнем случае согласие даётся один раз — головной компании.

Ошибка 3: передавать лиды без правового основания

Агент собирает контакты потенциальных клиентов и передаёт принципалу «пакетами» — еженедельно или ежемесячно. В форме, которую заполнял клиент, упоминается только агент. Принципал в согласии не фигурирует.

Решение: форма привлечения лидов должна либо называть принципала как получателя данных, либо агент должен действовать исключительно как обработчик и работать в системах принципала. Во втором случае согласие клиент даёт принципалу, а не агенту.

Ошибка 4: забыть про CRM и облачные сервисы

Когда дилер или франчайзи подключает облачную CRM, SaaS-сервис рассылок или коллтрекинг, он фактически передаёт данные клиентов на сторонние серверы. Разработчик CRM является обработчиком — но только если заключён соответствующий договор-поручение. Без него это незаконная передача данных третьему лицу [14].

Решение: для каждого используемого сервиса, который обрабатывает персональные данные, должен быть заключён договор-поручение. Это касается CRM, email-сервисов, коллтрекинга, чат-платформ, аналитических систем.

Ошибка 5: думать, что отсутствие в реестре операторов защищает

Некоторые небольшие партнёры и агенты не подавали уведомление в Роскомнадзор и считают, что это снижает их риски. Это опасное заблуждение. Отсутствие в реестре не освобождает от соблюдения 152-ФЗ и не исключает привлечения к ответственности [13]. С 30 мая 2025 года само по себе неуведомление о начале обработки ПДн влечёт штраф от 100 000 до 300 000 рублей [10].

Ошибка 6: не обновлять карту потоков данных при подключении новых партнёров

ИТ-ландшафт любой сети постоянно меняется: подключаются новые интеграции, добавляются поля в базах, онбордятся новые дилеры. Карта потоков персональных данных, сделанная два года назад, уже не отражает реальность.

Решение: необходимо выстроить процесс непрерывного мониторинга ПДн-ландшафта — как минимум проводить аудит при каждом значимом изменении в ИТ-архитектуре или партнёрской структуре.

Часть 8. Практический чек-лист для участников сети

Для головной компании (франчайзер, вендор, принципал)

1. Определить, кем являются партнёры — операторами или обработчиками, по каждой группе обрабатываемых данных.
2. Для каждого партнёра-обработчика оформить надлежащее поручение на обработку ПДн.
3. Убедиться, что согласие субъекта охватывает всех участников, которым передаются его данные.
4. Закрепить в договоре право проводить проверки соответствия партнёра требованиям 152-ФЗ.
5. Установить обязанность партнёра уведомлять о любых инцидентах с ПДн в течение 24 часов.
6. Определить порядок уничтожения данных при расторжении договора с партнёром.
7. Проверить, зарегистрированы ли все партнёры-операторы в реестре Роскомнадзора.
8. Регулярно обновлять карту потоков данных в сети.

Для партнёра (франчайзи, дилер, агент)

1. Определить свой статус по каждой группе данных: оператор или обработчик.
2. Если оператор — зарегистрироваться в реестре Роскомнадзора.
3. Проверить, что согласие клиента охватывает все реальные операции с его данными.
4. Для каждого облачного сервиса и подрядчика, работающего с ПДн, заключить договор-поручение.
5. Разработать и утвердить политику обработки персональных данных.
6. Назначить ответственного за обработку ПДн.
7. Выстроить процедуру уведомления регулятора при инциденте (24 часа — первое уведомление, 72 часа — итоги расследования).
8. Провести инструктаж сотрудников, имеющих доступ к ПДн.

Часть 9. Кейсы: как это работает на практике

Кейс 1: Почта России и подрядчики (2022)

В 2022 году «Почта России» столкнулась с инцидентом, связанным с ненадлежащей организацией доступа к клиентским базам данных. По данным открытых источников, сотрудники подрядной организации имели доступ к клиентским данным без должного уровня защиты и контроля, а у одного из подрядчиков был скомпрометирован аккаунт [15]. Компании пришлось отозвать доступ у всех внешних подрядчиков, провести аудит и пересмотреть контракты. Роскомнадзор выдал предписание.

Вывод для партнёрских сетей: контроль доступа подрядчиков к данным — это прямая обязанность оператора, а не полагаться на добросовестность партнёра.

Кейс 2: Банк и коллекторское агентство

В судебной практике рассматривался случай, когда коммунальное предприятие передало персональные данные должников коллекторскому агентству по агентскому договору без наличия согласия граждан [7]. Суд признал это незаконным, обязав принципала включить в договоры надлежащие условия поручения на обработку ПДн. Ключевой вывод: агентский договор сам по себе не является поручением на обработку — нужны специальные условия.

Кейс 3: Агент по недвижимости и несколько застройщиков

Типичная ситуация для рынка недвижимости: агентство недвижимости собирает заявки потенциальных покупателей и передаёт их нескольким застройщикам-принципалам. В форме на сайте агентства согласие на обработку ПДн оформлено только от имени агентства. Ни один из застройщиков в согласии не упомянут.

При любой утечке данных у застройщика или в агентстве возникает правовая неразбериха: кто оператор, чьё согласие было дано, есть ли поручение. Итог: риск для всех участников цепочки.

Часть 10. Тренды и перспективы регулирования

Усиление контроля над партнёрскими цепочками

Роскомнадзор с 2026 года активнее использует ранее поданные уведомления как отправную точку для проверок, сопоставляя задекларированные процессы с реальными [12]. В рамках Распоряжения Правительства от 14.08.2025 № 2207-р утверждён план мероприятий по противодействию киберпреступлениям, в рамках которого готовятся предложения об усилении ответственности [12].

Можно ожидать, что в ближайшие годы появятся более детальные требования к оформлению отношений внутри партнёрских сетей: стандартизированные формы поручений, требования к аудиту обработчиков, обязательное уведомление о новых участниках сети.

Влияние GDPR на практику в РФ

Хотя Россия вышла из Совета Европы и GDPR формально не применяется, практика европейского регулирования влияет на российские стандарты. Роскомнадзор при оценке уровня защиты иностранных компаний сравнивает его с аналогичными требованиями, в том числе европейскими [16]. Это означает, что крупные игроки рынка вынуждены ориентироваться на более высокие стандарты, которые потом постепенно закрепляются в российской практике.

Privacy by design как стандарт

Концепция privacy by design — встраивание защиты данных в архитектуру систем с самого начала — из теоретической концепции превращается в практическое требование. Это особенно актуально для сетей с большим числом точек: каждая новая точка подключения к центральной системе должна с самого начала иметь правовое основание для обработки данных, технические средства защиты и задокументированный перечень операций.

Заключение: что делать дальше

Персональные данные в партнёрских сетях — это не проблема юридического отдела. Это системная задача, затрагивающая ИТ, безопасность, операции и топ-менеджмент одновременно.

Три главных вывода из всего вышесказанного:

Первый. Не существует «автоматического» решения вопроса о распределении ролей внутри сети. Каждая точка передачи данных — от дилера к вендору, от агента к принципалу, от франчайзи к головной компании — требует явного документирования: кто оператор, что поручено обработчику, на каком основании.

Второй. Ответственность неотчуждаема. Даже если данные утекли по вине подрядчика или мелкого партнёра — штраф получит тот, кто фигурирует как оператор. Регресс к партнёру возможен, но не гарантирован.

Третий. Ландшафт данных постоянно меняется. Новые партнёры, новые интеграции, новые поля в базах, смена CRM — всё это создаёт новые риски, которые невозможно контролировать ручными аудитами раз в год.

О платформе «Пятый фактор»

Именно третья проблема — непрерывное изменение ПДн-ландшафта — является главной болью для любой компании с разветвлённой партнёрской сетью. Когда к системе подключается новый дилер, появляются новые поля в его CRM или новая интеграция с внешним сервисом — традиционный аудит это не заметит до следующей плановой проверки. А значит, компания работает вслепую.

Платформа «Пятый фактор» решает эту задачу через автоматическое обнаружение, инвентаризацию и непрерывный контроль персональных данных в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API.

Принципиальная особенность — работа только с метаданными, структурой и агрегатами, без передачи и хранения сырых персональных данных. Это означает, что сама платформа не создаёт дополнительных рисков. Компания получает живую карту ПДн: где и какие данные есть, кто владелец, что изменилось. Новые риски — новые поля, новые интеграции, новые источники — замечаются раньше, чем успевают превратиться в инцидент.

Для сетей с партнёрами это особенно актуально: при подключении нового франчайзи или дилера платформа немедленно фиксирует новые точки хранения и обработки ПДн — и это становится сигналом для юридического оформления отношений, а не задним числом.

Источники

[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — https://www.consultant.ru/legalnews/27142/

[2] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 24.06.2025), п. 2 ст. 3 — https://www.kremlin.ru/acts/bank/24154

[3] КонсультантПлюс: ФЗ-152, ст. 3, определение оператора — https://www.consultant.ru/document/cons_doc_LAW_61801/

[4] КонсультантПлюс: ФЗ-152, ст. 6, условия обработки персональных данных — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[5] Гражданский кодекс РФ, глава 54 «Коммерческая концессия» (ст. 1027–1040) — https://base.garant.ru/10164072/b79e71accceb8a87aecd4e1b9ed25280/

[6] КонсультантПлюс: ГК РФ, ст. 1027, договор коммерческой концессии — https://www.consultant.ru/document/cons_doc_LAW_9027/49c2afdf04c1ba13e815aa8b44287cd4b6cac9f5/

[7] Блог «Русский архив информационного менеджмента»: арбитражная практика по передаче ПДн коллекторскому агентству — http://rusrim.blogspot.com/2016/01/blog-post_17.html

[8] КонсультантПлюс: подборка документов «Обработка персональных данных по агентскому договору» — https://www.consultant.ru/law/podborki/obrabotka_personalnyh_dannyh_po_agentskomu_dogovoru/

[9] SPS-IB: аналитика по поручению обработки персональных данных — https://www.sps-ib.ru/analitika:poruchenie_obrabotki_personalnyx_dannyx

[10] КонсультантПлюс: новые штрафы за персональные данные с 30 мая 2025 года — https://www.consultant.ru/legalnews/28492/

[11] БУХ.1С: уголовная ответственность за нарушения по ПДн, ст. 272.1 УК РФ — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[12] B-152.ru: закон о персональных данных — что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[13] БелИнфоНалог: утечка данных — штрафы до 500 млн и тюремный срок — https://belinfonalog.ru/company/news/aktualnoe/ugolovnaya-otvetstvennost-za-utechki-chto-dolzhny-znat-rukovoditeli/

[14] Profit Lab: персональные данные в CRM — кто отвечает за безопасность — https://profit-lab.ru/article/personalnye-dannye-i-crm-kto-otvetit-za-bezopasnost/

[15] KT-Team: новые правила обработки ПДн в 2025 году, кейс Почты России — https://www.kt-team.ru/blog/personal-data-processing-2025-avoid-fines

[16] Nubes: персональные данные в 2025 году — новые правила для бизнеса — https://nubes.ru/blog/articles/personal-data-2025

[17] RPPA.pro: аналитика по поручению обработки персональных данных — https://rppa.pro/analitika/poruchenie_obrabotki_personalnyx_dannyx

[18] Centraldep.ru: способы оформления передачи персональных данных третьим лицам — https://centraldep.ru/news/sposoby-oformleniya-peredachi-personalnykh-dannykh-tretim-litsam-dogovor-porucheniya/

[19] Правовест Аудит: ответственность за неподачу уведомления в РКН — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/otvetstvennost-za-nepodachu-uvedomleniya-v-roskomnadzor-ob-obrabotke-personalnykh/

[20] RTM Group: изменения в законе о персональных данных с 2025 года — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/