Договор с субподрядчиком по ПДн: образец 2026 и как его правильно оформить
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждый месяц ко мне приходят ИП и ООО: «Мы передаём данные клиентов в CRM, на аутсорс, в колл-центр. Нужен ли договор?»
Отвечаю чётко: да, нужен. И если его нет — вы уже нарушаете 152-ФЗ.
В 2025 году 38% штрафов от Роскомнадзора связаны с передачей ПДн без договора.
В этой статье — только практика: какие пункты обязательны, на что обращать внимание и где взять готовый образец на 2026 год.
1. Предмет договора: кто и кому передаёт данные?
На законе:
Ст. 6 152-ФЗ обязывает оформить договор при передаче ПДн третьему лицу, которое обрабатывает их по поручению.
На практике:
В 2024 году в Новосибирске суд взыскал 300 000 рублей с компании, передавшей базу клиентов в CRM-систему без договора. Даже если провайдер «и так всё знает» — это не освобождает.
Пояснение:
Чётко укажите:
— Кто оператор (вы),
— Кто субподрядчик (провайдер),
— Какие данные передаются (ФИО, телефоны, email и т.д.).
Моё мнение:
Я всегда пишу: «субподрядчик не вправе использовать данные в своих целях». Это исключает злоупотребления.
2. Цели и сроки обработки
На законе:
Ст. 5 152-ФЗ — обработка только в целях, согласованных с субъектом.
На практике:
В 2025 году в Казани компания оштрафована, потому что субподрядчик использовал данные для своей рассылки. Договор не ограничивал цели.
Пояснение:
Пропишите:
— Только для технической поддержки,
— Только для обработки заказов,
— Срок — до расторжения договора.
Моё мнение:
Я рекомендую автоматическое удаление данных через 30 дней после окончания сотрудничества. Это снижает риски.
3. Обязанности субподрядчика по защите ПДн
На законе:
Ст. 19 152-ФЗ — субподрядчик обязан обеспечить защиту на уровне оператора.
На практике:
В 2023 году в Екатеринбурге утечка произошла из-за слабого пароля. Суд постановил: ответственность оператора — даже если вина у провайдера.
Технические требования:
— Шифрование данных (AES-256),
— Двухфакторная аутентификация (2FA),
— Ограничение доступа по ролям,
— Регулярное резервное копирование.
Моё мнение:
Я всегда включаю в договор условие о проведении аудита безопасности — раз в год.
4. Ответственность сторон
На законе:
Ст. 13.11 КоАП РФ — штрафы до 750 000 рублей за утечку.
На практике:
В 2024 году в Ростове-на-Дону суд взыскал убытки с субподрядчика — в договоре было прописано возмещение ущерба.
Пояснение:
Обязательно укажите:
— Штраф за утечку — от 100 000 рублей,
— Возмещение убытков,
— Право на досрочное расторжение.
Моё мнение:
Не бойтесь жёстких условий. Я рекомендую фиксировать сумму штрафа — это дисциплинирует.
5. Порядок уведомления об утечке
На законе:
Ст. 15.1 152-ФЗ — утечку нужно сообщить в Роскомнадзор в течение 24 часов.
На практике:
В 2025 году в Москве компания избежала штрафа, потому что субподрядчик оперативно сообщил об инциденте — это было прописано в договоре.
Пояснение:
Пропишите:
— Срок уведомления — не более 2 часов после обнаружения,
— Форма — письмо на email,
— Обязанность субподрядчика — не скрывать инцидент.
Моё мнение:
Я всегда добавляю: «субподрядчик обязан предоставить отчёт по инциденту». Это критично для защиты.
Заключение
Договор с субподрядчиком по ПДн — не формальность, а ваша юридическая защита.
Если вы передаёте данные — договор обязателен. Без него:
— Штраф до 750 000 рублей,
— Утечка = ваша ответственность,
— Потеря репутации.
Что делать прямо сейчас:
Скачайте образец, адаптируйте под себя, подпишите до начала обработки.
• Скачайте образец договора с субподрядчиком по ПДн
• Поделитесь с коллегой, который передаёт данные в CRM, на аутсорс, в колл-центр
• Подпишитесь на legascom.ru — разбираем сложное просто
