Подрядчики как обработчики персональных данных: что должно быть в договоре поручения и как контролировать

Когда бухгалтер на аутсорсе, CRM в облаке, а ответственность всё равно ваша

Почему это важно именно сейчас

Практически любая компания сегодня работает с подрядчиками, у которых есть доступ к персональным данным клиентов, сотрудников или партнёров. Бухгалтер на аутсорсе видит платёжные данные и паспорта. IT-интегратор настраивает CRM — и получает доступ к базе клиентов. Колл-центр на аутсорсинге работает с обращениями клиентов. Маркетинговое агентство ведёт рассылки. Облачный провайдер хранит корпоративные данные. Список продолжается.

Проблема в том, что большинство компаний либо не оформляют эти отношения должным образом, либо ограничиваются формальным «договором поручения», который не отражает реального объёма обработки и не содержит механизма контроля. В итоге при инциденте или проверке выясняется, что оператор нарушил закон — и несёт за это полную ответственность.

Регуляторная среда резко ужесточилась. С 30 мая 2025 года вступили в силу изменения в КоАП, внесённые Федеральным законом № 420-ФЗ от 30 ноября 2024 года [1]. Штрафы за утечку персональных данных из-за действий или бездействия оператора (а значит, и его подрядчика) выросли в разы. Параллельно растут сами риски: в 2024 году из российских организаций утекло более 1,58 млрд записей персональных данных — рост на 30% к 2023 году [4].

Эта статья — практическое руководство для тех, кто хочет выстроить отношения с подрядчиками по правилам: с корректным договором поручения, реальными механизмами контроля и пониманием того, где скрываются самые распространённые ошибки.

Часть 1. Правовая основа: кто такой «обработчик» по российскому закону

Оператор, обработчик, субъект — в чём разница

Федеральный закон № 152-ФЗ «О персональных данных» различает три ключевые роли.

Оператор — организация или физическое лицо, которое самостоятельно или совместно с другими определяет цели обработки персональных данных и фактически их обрабатывает. Именно оператор несёт полную ответственность перед субъектами и регулятором.

Субъект персональных данных — физическое лицо, которому принадлежат данные.

Лицо, осуществляющее обработку персональных данных по поручению оператора — это то, кого в европейской терминологии называют «обработчиком» (data processor). В российском законе специального термина для этой роли нет, но юридический статус подробно описан в ч. 3–5 ст. 6 Закона [5].

Ключевое отличие от самостоятельного оператора: обработчик не определяет цели обработки — он выполняет только то, что ему поручено, в рамках параметров, установленных оператором. Он не вправе использовать данные в своих целях, передавать их третьим лицам сверх того, что указано в договоре, или обрабатывать дольше установленного срока.

Когда нужен договор поручения, а когда нет

Договор поручения обработки персональных данных нужен в случае, если подрядчик получает доступ к персональным данным, которые принадлежат вашим субъектам, и фактически их обрабатывает от вашего имени.

Роскомнадзор в своих разъяснениях сформулировал практический критерий: если подрядчик выполняет задачи оператора по обработке или хранению персональных данных (в том числе размещение данных в инфраструктуре третьей стороны), требуется договор поручения. Если подрядчик лишь предоставляет программное обеспечение, а обработку осуществляет сам оператор, делегирования не происходит и договор поручения не нужен [6].

На практике это означает следующее. Облачный провайдер, который хранит базы данных компании с персональными данными — обработчик. Ему нужен договор поручения. SaaS-сервис, где компания сама управляет данными через интерфейс — в зависимости от конкретной модели. Системный интегратор, который «настраивает систему», но имеет доступ к реальным данным в процессе — обработчик. Консалтинговая компания, которая анализирует базу клиентов — обработчик. Бухгалтерская фирма на аутсорсе, работающая с данными сотрудников — обработчик.

Согласие субъекта: нужно ли получать отдельно

По общему правилу ч. 3 ст. 6 Закона, оператор вправе поручить обработку другому лицу с согласия субъекта персональных данных [5]. Однако это согласие не обязательно должно быть отдельным документом на каждого подрядчика.

Роскомнадзор разъяснял: если согласие субъекта на обработку его данных уже получено и в нём указаны третьи лица, которым могут передаваться данные, дополнительного согласия не нужно [6]. При этом с 1 сентября 2025 года любое согласие должно быть оформлено как отдельный документ — его нельзя включать в договор, пользовательское соглашение или анкету [7].

Важный нюанс: если данные передаются подрядчику не на основании согласия субъекта, а на другом законном основании (например, исполнение договора с субъектом — п. 5 ч. 1 ст. 6), согласие субъекта на передачу подрядчику может не требоваться. Но даже в этом случае договор поручения между оператором и подрядчиком обязателен.

Часть 2. Что должно быть в договоре поручения: семь обязательных элементов

Статья 6 Закона № 152-ФЗ в редакции, действующей с 2022 года (с учётом изменений ФЗ № 266-ФЗ), устанавливает конкретный перечень обязательных условий, которые должен содержать договор поручения [5]. Отсутствие любого из них означает, что договор не соответствует требованиям закона, а передача данных подрядчику — незаконна.

1. Перечень персональных данных

В договоре должно быть чётко указано, какие именно категории персональных данных передаются на обработку. Это не может быть общая фраза «персональные данные клиентов» — нужно указывать конкретно: ФИО, дата рождения, номер телефона, адрес, паспортные данные, данные о заказах и т.д.

На практике это требование часто нарушается. Компании пишут расплывчатые формулировки, которые фактически позволяют подрядчику обрабатывать любые данные — что противоречит принципу минимизации данных (ст. 5 Закона).

2. Перечень действий (операций) с персональными данными

Договор должен определять, что именно подрядчик вправе делать с данными: собирать, записывать, систематизировать, накапливать, хранить, уточнять, извлекать, использовать, передавать, обезличивать, блокировать, удалять или уничтожать [5]. Каждое из этих действий должно быть либо прямо разрешено, либо прямо запрещено.

Это условие имеет практическое значение: если подрядчик совершил с данными действие, не предусмотренное договором, он нарушил закон и несёт за это ответственность перед оператором.

3. Цели обработки

Цели должны быть конкретными и соответствовать той цели, для которой данные изначально получены от субъекта. Нельзя поручить подрядчику обрабатывать данные для целей, которые не были заявлены субъекту при получении согласия.

4. Обязанность соблюдать конфиденциальность

Это стандартное условие, но его недостаточно сформулировать как «подрядчик обязуется сохранять конфиденциальность». Закон требует установить конкретные требования к защите данных в соответствии со ст. 18.1 (организационные и технические меры) и ст. 19 Закона (технические меры защиты) [5].

Практически это означает, что договор должен содержать или ссылаться на:

• уровень защищённости информационных систем персональных данных (ИСПДн), который должен обеспечивать подрядчик,
• конкретные технические меры (шифрование, разграничение доступа, межсетевые экраны и т.д.),
• организационные меры (назначение ответственного, инструктаж сотрудников, режим доступа).

5. Обязанность предоставлять документы по запросу

С момента принятия поправок ФЗ № 266-ФЗ в договоре обязательно должна быть зафиксирована обязанность подрядчика по запросу оператора предоставлять документы и иную информацию, подтверждающие принятие мер и соблюдение требований [5]. Причём такой запрос может быть направлен в любой момент в течение срока действия договора, в том числе до начала фактической обработки данных.

Это условие — правовой инструмент, который даёт оператору возможность проводить аудиты подрядчика. Без него доказать, что вы надлежащим образом контролировали подрядчика при проверке Роскомнадзора, будет крайне сложно.

6. Обязанность уведомлять об инцидентах

Договор должен содержать требование к подрядчику незамедлительно уведомлять оператора о фактах неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлёкшей нарушение прав субъектов [5].

Это условие напрямую связано с новыми требованиями об уведомлении Роскомнадзора об утечках: оператор обязан направить уведомление регулятору в течение 24 часов с момента обнаружения инцидента [1]. Если подрядчик не сообщит об инциденте вовремя, оператор нарушит этот срок и получит дополнительный штраф.

7. Запрет субпоручения без согласия оператора

Закон прямо не запрещает субпоручение (передачу обработки следующему подрядчику), но Роскомнадзор разъясняет: субпоручение допускается только если первоначальный договор поручения и согласие субъекта это предусматривают [6]. На практике в договоре следует либо прямо запретить субпоручение без письменного согласия оператора, либо установить чёткий порядок его согласования.

Часть 3. Практические рекомендации по содержанию договора

Помимо обязательных элементов, профессиональный договор поручения должен содержать ряд дополнительных условий, которые защищают оператора на практике.

Срок обработки и обязательство уничтожения данных

В договоре должен быть указан срок, в течение которого подрядчик вправе обрабатывать персональные данные. По истечении срока или при расторжении договора подрядчик обязан уничтожить все полученные данные и предоставить подтверждающий документ. Без этого условия подрядчик формально может хранить данные сколь угодно долго.

Локализация данных

С 1 июля 2025 года требование о локализации баз данных с персональными данными россиян ужесточилось: оператор обязан обеспечивать запись, систематизацию и хранение персональных данных с использованием баз данных, размещённых на территории России [8]. Если обработку осуществляет подрядчик, в договоре необходимо прямо закрепить требование о локализации инфраструктуры обработки.

Запрет использования данных в собственных целях

Подрядчик не вправе использовать персональные данные в собственных целях — например, для таргетированной рекламы, обогащения собственных баз данных или аналитики. Этот запрет следует прямо зафиксировать в договоре, даже если он очевиден юридически. На практике без прямого запрета подрядчики нередко агрегируют данные клиентов нескольких заказчиков для обучения моделей или иных целей.

Порядок проверок (аудит подрядчика)

Право оператора проводить проверки подрядчика (или поручать их независимым аудиторам) должно быть закреплено в договоре с указанием периодичности, уведомительного срока и обязанности подрядчика обеспечить доступ. Без этого условия подрядчик может законно отказаться от проверки.

Ответственность сторон

Договор должен содержать механизм распределения ответственности. В соответствии с ч. 5 ст. 6 Закона, перед субъектом персональных данных отвечает оператор, но оператор вправе предъявить регрессное требование к подрядчику [5]. Это следует закрепить в договоре вместе со штрафными санкциями за конкретные нарушения.

Часть 4. Распределение ответственности: кто отвечает перед кем

Это наиболее принципиальный вопрос, который часто неправильно понимают.

Перед субъектом отвечает оператор

Часть 5 ст. 6 Закона № 152-ФЗ однозначна: если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия этого лица несёт оператор [5]. Это означает: если подрядчик «слил» базу клиентов, субъекты персональных данных будут предъявлять претензии и иски к оператору, а не к подрядчику.

Перед оператором отвечает подрядчик

Подрядчик несёт ответственность только перед оператором — в рамках условий договора поручения. Если договор не предусматривает чётких санкций, взыскать с подрядчика что-либо будет сложно.

Особый случай: иностранный подрядчик

С 2022 года (ФЗ № 266-ФЗ) действует специальное правило: если оператор поручает обработку иностранному лицу, ответственность перед субъектом несут и оператор, и сам иностранный подрядчик солидарно [5]. Это важное изменение для тех, кто использует зарубежные облачные сервисы и SaaS-платформы.

Административная ответственность

Административные штрафы по ст. 13.11 КоАП РФ предъявляются к оператору — как к лицу, ответственному за соблюдение законодательства о персональных данных. При этом с 30 мая 2025 года [1]:

• штрафы за нарушение правил обработки ПДн для юридических лиц составляют от 150 000 до 300 000 рублей (ранее — от 60 000 до 100 000 рублей),
• за утечку данных от 1 000 до 10 000 человек — до 5 млн рублей для организаций,
• за утечку данных более 100 000 человек — до 15 млн рублей для организаций,
• за повторную утечку — от 1% до 3% годовой выручки, но не менее 20–25 млн рублей и не более 500 млн рублей,
• уголовная ответственность за незаконное использование персональных данных — до 10 лет лишения свободы (ст. 272.1 УК РФ, введена ФЗ № 421-ФЗ от 30 ноября 2024 года) [8].

Часть 5. Почему подрядчики — зона повышенного риска

Статистика инцидентов

По данным ЭАЦ ГК InfoWatch, в 2024 году из российских организаций утекло 1,581 млрд записей персональных данных — на 30% больше, чем в 2023 году [4]. В отчёте InfoWatch за 2023–2024 годы аналитики отмечают, что утечки происходили в том числе в результате действий подрядчиков [9].

Компания CICADA8 в сентябре 2025 года опубликовала результаты анализа цифрового периметра более 60 000 российских компаний, выступающих в качестве подрядчиков и контрагентов. Исследование показало, что более половины из них имеют низкий уровень кибербезопасности [3]:

• у 55% компаний-поставщиков открыт для доступа из интернета как минимум один управляющий порт,
• в даркнете обнаружены корпоративные учётные записи 27% проверенных контрагентов,
• на внешнем периметре 32% компаний-контрагентов присутствуют критические уязвимости (CVE), для которых уже существуют патчи.

По данным центра мониторинга и реагирования на киберугрозы RED Security SOC, в 2024 году атаки через подрядчиков впервые заняли шестое место по популярности у киберпреступников среди техник получения первоначального доступа к ИТ-инфраструктуре жертв, а общее количество таких инцидентов увеличилось в три раза по сравнению с предыдущим годом [2].

Специфика рисков

Подрядчики представляют особую зону риска по нескольким причинам.

Во-первых, они вне периметра вашей системы безопасности. Вы можете выстроить идеальную защиту собственной инфраструктуры, но не контролировать, как подрядчик хранит полученные данные на своих серверах.

Во-вторых, у них часто ниже уровень инвестиций в информационную безопасность. Малый и средний бизнес, который предоставляет аутсорсинговые услуги, редко может позволить себе CISO, SIEM-системы или регулярные пентесты.

В-третьих, атаки через доверенных контрагентов (Trusted Relationship attacks) крайне сложно обнаружить: злоумышленник входит в систему через легитимный канал с использованием реальных учётных данных подрядчика.

В-четвёртых, персональные данные у подрядчика нередко хранятся в менее структурированном виде — в таблицах Excel, в личных папках сотрудников, в переписке. Это затрудняет их защиту и увеличивает поверхность атаки.

Часть 6. Как контролировать подрядчика: практический алгоритм

Закон требует от оператора не только заключить правильный договор, но и реально контролировать его исполнение. Статья 18.1 Закона № 152-ФЗ обязывает оператора принять меры, направленные на обеспечение выполнения требований законодательства, и осуществлять внутренний контроль их соблюдения.

Шаг 1. Инвентаризация подрядчиков

Первый и нередко самый трудоёмкий шаг — составить полный реестр всех подрядчиков, которые обрабатывают ваши персональные данные. На практике в компании часто «забывают» о десятках мелких подрядчиков: сервис рассылок, служба доставки, HR-платформа, провайдер видеонаблюдения и т.д.

Для каждого подрядчика следует зафиксировать: какие категории ПДн он получает, какие действия совершает, на каком основании, в какой системе хранит.

Шаг 2. Оценка подрядчика до передачи данных

Перед тем как передать персональные данные подрядчику, следует провести оценку его готовности обеспечить требуемый уровень защиты. Это может включать: анкетирование (Self-Assessment Questionnaire), изучение имеющихся сертификатов (ISO 27001, аттестация ФСТЭК), запрос политики безопасности и политики обработки персональных данных, проверку репутации (утечки в даркнете, публичные инциденты).

Перед передачей обработки данных внешним организациям следует убедиться, что у них есть сертифицированные средства защиты и реализуются необходимые организационные меры [18].

Шаг 3. Заключение договора поручения

После оценки и до передачи каких-либо данных — заключить договор поручения, содержащий все обязательные элементы, описанные выше.

Шаг 4. Регулярные проверки (аудит подрядчика)

Контроль подрядчика должен быть регулярным, а не только при заключении договора. Рекомендуемая практика — периодические проверки с получением подтверждающих документов:

• ежегодная самооценка подрядчика по чек-листу (письменный отчёт с подтверждающими документами),
• раз в два-три года — независимый аудит или совместная проверка,
• при любых значимых изменениях у подрядчика (смена инфраструктуры, смена ключевого персонала, инцидент безопасности).

Право требовать такие документы и проводить проверки должно быть закреплено в договоре.

Шаг 5. Управление изменениями

ИТ-ландшафт постоянно меняется: подрядчик мигрирует данные в новое облако, меняет субподрядчика, добавляет новый интеграционный модуль. Каждое такое изменение может создать новый риск. В договоре следует предусмотреть обязанность подрядчика уведомлять оператора о существенных изменениях в системах и процессах обработки.

Шаг 6. Обработка инцидентов

При получении уведомления об инциденте от подрядчика оператор обязан незамедлительно предпринять следующие шаги:

1. В течение 24 часов с момента выявления — направить первичное уведомление в Роскомнадзор [1].
2. В течение 72 часов — направить дополнительное уведомление с подробным описанием инцидента.
3. Зафиксировать факт инцидента и принятые меры.
4. Инициировать расследование и устранение последствий.

Нарушение срока уведомления Роскомнадзора само по себе влечёт штраф до 3 млн рублей [14].

Часть 7. Типичные ошибки и как их избежать

Ошибка 1. «Договор оказания услуг достаточно»

Многие компании считают, что общий договор оказания услуг с подрядчиком автоматически регулирует и вопросы персональных данных. Это неверно. Договор поручения обработки персональных данных — самостоятельный документ (или отдельный раздел/приложение к основному договору) с обязательными условиями, установленными законом. Включить пункт «подрядчик обязуется соблюдать законодательство о персональных данных» — недостаточно.

Ошибка 2. Общие формулировки вместо конкретики

«Персональные данные клиентов», «все необходимые меры защиты», «в течение разумного срока» — такие формулировки юридически бессильны. Закон требует конкретных перечней: каких данных, каких действий, каких мер, каких сроков.

Ошибка 3. «Подписали и забыли»

Договор поручения — не разовая акция, а основание для постоянного мониторинга. Часть 5 ст. 18 Закона обязывает оператора принять меры по контролю их соблюдения и осуществлять внутренний контроль [5]. При проверке Роскомнадзора вас спросят не только о наличии договора, но и о том, как вы контролировали его исполнение.

Ошибка 4. Передача данных до заключения договора

На практике IT-команды нередко дают подрядчику доступ к системам «пока юристы оформляют договор». Это прямое нарушение: передача персональных данных должна происходить после подписания договора поручения, а не до или одновременно.

Ошибка 5. Игнорирование субпоручения

Ваш облачный провайдер использует серверы другого провайдера. Ваш колл-центр нанимает субподрядчика для ночных смен. Если это не урегулировано в договоре, вы можете не знать, кто фактически обрабатывает ваши данные. Закон требует, чтобы такая цепочка была прозрачной и согласованной.

Ошибка 6. Отсутствие требований к уничтожению данных после прекращения договора

По окончании договора данные, переданные подрядчику, должны быть уничтожены (если иное не предусмотрено законодательством). Без прямого обязательства в договоре с конкретным сроком уничтожения и обязанностью предоставить акт — данные могут храниться у бывшего подрядчика неопределённо долго.

Ошибка 7. Несоответствие договора реальному объёму обработки

Договор написан в 2020 году, с тех пор количество категорий передаваемых данных выросло вдвое, добавились новые операции. Устаревший договор создаёт «серую зону», где реальная обработка не покрыта договорными условиями.

Часть 8. Чек-лист для проверки договора поручения

Используйте этот чек-лист при проверке уже заключённых договоров поручения или при подготовке новых.

Обязательные элементы по закону:

• Перечень категорий персональных данных, передаваемых на обработку, конкретен и актуален
• Перечень действий (операций) с данными чётко определён
• Цели обработки указаны и соответствуют тому, что заявлено субъектам
• Установлена обязанность соблюдать конфиденциальность
• Установлены требования к технической защите со ссылкой на ст. 19 Закона
• Установлена обязанность подрядчика предоставлять документы по запросу оператора
• Установлена обязанность уведомлять оператора об инцидентах незамедлительно

Дополнительные условия:

• Указан срок обработки и обязанность уничтожить данные после его истечения
• Закреплено требование о локализации данных на серверах в России
• Прямо запрещено использование данных в собственных целях подрядчика
• Урегулированы условия субпоручения (разрешено/запрещено, порядок согласования)
• Закреплено право оператора на проведение проверок (аудитов) с указанием периодичности
• Установлены санкции за нарушения подрядчиком условий договора
• Предусмотрен порядок уведомления оператора об изменениях в системах и процессах подрядчика
• Согласие субъектов персональных данных получено с упоминанием данного подрядчика (или есть иное законное основание)

Часть 9. Кейсы и примеры

Кейс 1. Облачный провайдер

Компания переносит базу данных клиентов (около 50 000 записей) в облачную инфраструктуру провайдера. Провайдер предоставляет форму своего стандартного «договора обработки данных», который не содержит требования о локализации, не устанавливает срок уничтожения данных и не предусматривает право заказчика на проверку.

Риски: с 1 июля 2025 года отсутствие требования локализации в договоре и фактическое хранение данных за рубежом — нарушение обновлённых норм о локализации. Нет механизма реагирования на инцидент. Нет подтверждения, что данные будут уничтожены при расторжении договора.

Правильное решение: настаивать на включении в договор всех обязательных элементов или выбрать провайдера, у которого типовой договор им соответствует. При необходимости — добавить приложение к договору провайдера со стандартными условиями.

Кейс 2. Бухгалтерия на аутсорсе

Компания передаёт ведение бухгалтерского учёта внешней организации. Та получает доступ к данным сотрудников: ФИО, паспортные данные, СНИЛС, ИНН, сведения о зарплате, сведения о семейном положении для вычетов. Это специальные категории и обычные персональные данные.

Риски: передача данных сотрудников без договора поручения — нарушение ст. 6 Закона. Сотрудники могут не знать, что их данные передаются третьей стороне.

Правильное решение: заключить договор поручения со всеми обязательными условиями. Получить согласие сотрудников или включить в трудовой договор соответствующий раздел с указанием аутсорсинговой организации как обработчика персональных данных.

Кейс 3. Маркетинговое агентство

Интернет-магазин передаёт агентству базу клиентских email-адресов и номеров телефонов для проведения рассылок.

Риски: отсутствие договора поручения. Агентство фактически обрабатывает (хранит, использует) персональные данные клиентов интернет-магазина. Без договора поручения это незаконная передача третьему лицу.

Правильное решение: договор поручения с прямым запретом использовать данные для собственных рассылок агентства или для обогащения его баз данных. Запрет субпоручения (или чёткий порядок его согласования). Обязанность уничтожить данные после завершения кампании.

Часть 10. Будущее и тренды

Ужесточение требований продолжается

По всем признакам, 2025–2026 годы — не финальная точка в ужесточении регулирования, а продолжение тенденции. Роскомнадзор снижает пороги риска для проверок, ФСБ получает новые полномочия в сфере проверки безопасности данных у коммерческих операторов [20]. Требования к документации, мерам защиты и уведомлению об инцидентах будут только расти.

Атаки через подрядчиков становятся мейнстримом

По прогнозам аналитиков RED Security, в 2025 году каждый третий крупный взлом будет реализован через IT-подрядчиков компаний [2]. Это означает, что даже идеальная собственная защита не гарантирует безопасности, если подрядчики слабо защищены.

Автоматизация контроля подрядчиков

На рынке появляются специализированные инструменты для оценки защищённости подрядчиков (TPRA — Third Party Risk Assessment). Одним из первых таких инструментов в России стала платформа CICADA8 CyberRating [2]. Автоматизированные инструменты позволяют в реальном времени отслеживать изменения в уровне защищённости подрядчиков без необходимости проводить полноценный аудит каждый раз.

Инвентаризация ПДн как постоянный процесс

Компании всё чаще осознают, что инвентаризация персональных данных — не разовый проект, а непрерывный процесс. ИТ-ландшафт меняется постоянно: появляются новые поля в базах данных, новые интеграции, новые подрядчики. Без автоматизированного контроля «карта ПДн» устаревает быстро — и риски, возникающие из-за изменений, остаются незамеченными до инцидента или проверки.

Что делать дальше

Работа с подрядчиками как обработчиками персональных данных требует системного подхода, а не точечных мер. Вот минимальный план действий.

Первый шаг — инвентаризация. Составьте реестр всех подрядчиков, которые имеют доступ к вашим персональным данным. Скорее всего, их окажется больше, чем вы думаете.

Второй шаг — аудит договоров. Проверьте все действующие договоры на соответствие обязательным условиям ст. 6 Закона № 152-ФЗ. Договоры, которые не содержат всех обязательных элементов, следует привести в соответствие или перезаключить.

Третий шаг — оценка подрядчиков. Для каждого подрядчика определите уровень риска (исходя из объёма и категорий передаваемых данных) и убедитесь, что уровень его защиты соответствует этому риску.

Четвёртый шаг — механизм контроля. Внедрите регулярные процедуры контроля: ежегодные самооценки, периодические аудиты, обязательное уведомление об изменениях.

Пятый шаг — непрерывный мониторинг. Настройте процесс, который позволяет замечать изменения в ИТ-ландшафте — появление новых подрядчиков, новых интеграций, изменений у существующих подрядчиков — до того, как они превратятся в нарушения или инциденты.

Пятый фактор: автоматизированный контроль персональных данных в корпоративных системах

Одна из самых сложных задач при контроле подрядчиков — поддерживать актуальную «карту ПДн»: понимать, где и какие данные обрабатываются, включая данные, к которым имеют доступ подрядчики. ИТ-ландшафт меняется быстро: новые поля в базах данных, новые интеграции, новые хранилища — и каждое такое изменение может означать появление нового риска.

Именно эту проблему решает платформа «Пятый фактор» (5factor.ru) — on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С, API и других источниках.

Ключевая особенность платформы — принцип privacy-by-design: «Пятый фактор» работает только с метаданными, структурой и агрегатами, не передавая и не храня «сырые» персональные данные. Это означает, что само решение не становится дополнительным источником риска — сценарий, который нередко возникает при внедрении инструментов аудита.

Для задач, связанных с контролем подрядчиков, платформа даёт несколько важных возможностей: живую «карту ПДн» — понимание того, где и какие данные обрабатываются в настоящий момент, включая данные, к которым подрядчики получают доступ через API или интеграции; раннее обнаружение новых рисков — новые поля в базах данных, новые хранилища, новые интеграции с подрядческими системами видны до того, как они превратятся в инциденты; сокращение времени аудита — вместо недель ручной инвентаризации платформа формирует актуальную картину данных непрерывно.

В условиях, когда штрафы за нарушения достигают сотен миллионов рублей, а атаки через подрядчиков утраиваются год за годом, контроль над тем, какие данные и кому доступны — это не опция, а необходимость.

Источники

[1] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» — https://www.consultant.ru/legalnews/28492/

[2] CICADA8 / RED Security SOC: Исследование защищённости подрядчиков российских компаний, сентябрь 2025 — https://safe.cnews.ru/news/line/2025-09-01_analitika_cicada8_bolshe_poloviny

[3] CICADA8 CyberRating: анализ 60 000+ российских подрядчиков, сентябрь 2025 — https://cisoclub.ru/analitika-cicada8-bolshe-poloviny-podrjadchikov-rossijskih-kompanij-ujazvimy-dlja-kiberatak/

[4] ЭАЦ ГК InfoWatch: «Россия: утечки информации ограниченного доступа, 2023–2024» — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[5] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», ст. 6 (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/

[6] BIRCH LEGAL: «День открытых дверей Роскомнадзора по вопросам персональных данных (27 августа 2025 года)» — https://www.birchlegal.ru/legal_alerts/2958/ [примечание: страница временно недоступна; материал доступен через поиск по названию]

[7] Федеральный закон от 24.06.2025 № 156-ФЗ (требование отдельного согласия) — https://www.26-2.ru/art/356930-soglasie-obrabotku-persdannyh-obraztsy-v-2024

[8] Правовест Аудит: «Обработка персональных данных: изменения с 30.05.2025» — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/

[9] ЭАЦ InfoWatch: «Утечки информации в мире, 2023–2024» (аналитический отчёт) — https://www.infowatch.ru/sites/default/files/analytics/files/utechki-informatsii-v-mire-2023-2024-gody.pdf

[10] Positive Technologies: «Утечки конфиденциальных данных — актуальные угрозы I полугодия 2024» — https://ptsecurity.com/research/analytics/utechki-dannyh-aktualnye-ugrozy-pervogo-polugodiya-2024-dlya-organizaczij/

[11] КонсультантПлюс: Договор поручения на обработку персональных данных, форма 2025 — https://www.consultant.ru/law/podborki/dogovor_na_obrabotku_personalnyh_dannyh/

[12] ГАРАНТ: Примерная форма договора поручения на обработку персональных данных третьим лицом, октябрь 2025 — https://base.garant.ru/1970611/

[13] Роскомнадзор: Согласие на обработку персональных данных (образец) — https://54.rkn.gov.ru/protection/docsamples/

[14] КонсультантПлюс: новые штрафы за утечку персональных данных с 30 мая 2025 — https://www.consultant.ru/legalnews/27142/

[15] InfoWatch: Россия на 2-м месте по утечкам информации за 2024 год (РБК Компании) — https://companies.rbc.ru/news/KFJ4Yw2AGH/issledovanie-infowatch-rossiya-na-2-meste-po-utechkam-informatsii-za-2024-g/

[16] Forbes.ru: «Лезть во все дырки: первая платформа для оценки безопасности контрагентов» — https://www.forbes.ru/tekhnologii/540328-lezt-vo-vse-dyrki-poavilas-pervaa-platforma-dla-ocenki-bezopasnosti-kontragentov

[17] SEOnews: «Риски для бизнеса: чем опасны утечки персональных данных», 2025 — https://m.seonews.ru/analytics/utechka-dannykh-kak-odna-oshibka-mozhet-stoit-kompanii-milliony-rubley/

[18] Klerk.ru: «Защита персональных данных в 2025 году: ключевые требования для бизнеса» — https://www.klerk.ru/blogs/fedresurs/662424/

[19] RTM Group: Аудит на соответствие 152-ФЗ — https://rtmtech.ru/services/audit-152-fz/

[20] Linkodium: «Новые требования Роскомнадзора по закону 152-ФЗ на 30 мая 2025 года» — http://linkodium.com/news/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/