Как проверить подрядчика на 152 ФЗ: чек лист
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний избежать штрафов за утечку ПДн при работе с подрядчиками. В этой статье — готовый чек лист: как проверить контрагента на соответствие 152 ФЗ до подписания договора.
Почему важно проверять подрядчика?
Передавая ПДн подрядчику (например, аутсорсинговому колл центру или IT компании), вы несёте ответственность за их защиту (ст. 7 152 ФЗ). Если подрядчик допустит утечку — штраф получит ваша компания (до 60 тыс. руб. по ч. 1 ст. 13.11 КоАП РФ).
Мой совет: никогда не передавайте ПДн подрядчику без предварительной проверки. Это как доверить ключи от квартиры незнакомцу.
Чек лист проверки подрядчика
1. Наличие политики обработки ПДн
Что проверить: есть ли у подрядчика утверждённая политика.
Зачем: это обязательный документ по ст. 18.1 152 ФЗ.
На что обратить внимание: чёткость формулировок, соответствие целям обработки.
Пример: в 2025 году суд оштрафовал компанию за то, что подрядчик не имел политики, а заказчик не проверил это заранее (дело № А40 67890/2025).
2. Уведомление в Роскомнадзор
Что проверить: подал ли подрядчик уведомление о начале обработки ПДн.
Зачем: все операторы ПДн обязаны уведомлять Роскомнадзор (ст. 22 152 ФЗ).
Как проверить: запросите копию уведомления или проверьте реестр на сайте Роскомнадзора.
3. Локализация данных
Что проверить: где хранятся ПДн (на серверах в РФ или за рубежом).
Зачем: по ст. 18 152 ФЗ данные россиян должны храниться в РФ.
Совет: запросите договор с дата центром.
4. Технические меры защиты
Что проверить: использует ли подрядчик шифрование, антивирус, разграничение доступа.
Зачем: это требование ст. 19 152 ФЗ.
Пример: подрядчик без антивирусной защиты — прямая угроза утечки.
5. Договор поручения на обработку ПДн
Что проверить: есть ли в договоре:
Цель обработки.
Перечень данных.
Обязанности подрядчика по защите.
Ответственность за утечку.
Зачем: без договора передача ПДн незаконна (ст. 6 152 ФЗ).
6. Обучение сотрудников
Что проверить: проходят ли сотрудники подрядчика обучение по ИБ.
Зачем: человеческий фактор — главная причина утечек.
Совет: запросите программу обучения или сертификаты.
7. Аудит и отчёты
Что проверить: готов ли подрядчик предоставлять отчёты о защите ПДн.
Зачем: вы должны контролировать выполнение требований 152 ФЗ (ст. 8.1).
Рекомендация: включите пункт об аудите в договор.
8. Сертификаты и лицензии
Что проверить: есть ли у подрядчика сертификаты по ИБ (например, ISO 27001) или лицензии ФСТЭК.
Зачем: подтверждает уровень защищённости.
Совет: особенно важно для IT подрядчиков и облачных сервисов.
9. История нарушений
Что проверить: не был ли подрядчик оштрафован за утечки.
Как проверить: через сайт Роскомнадзора, ФССП, картотеку арбитражных дел.
Пример: компания с историей утечек — высокий риск для вас.
10. План реагирования на инциденты
Что проверить: есть ли у подрядчика план действий при утечке.
Зачем: ст. 21 152 ФЗ требует уведомлять Роскомнадзор в течение 72 часов.
Совет: запросите документ и сроки реагирования.
Что делать, если подрядчик не проходит проверку?
• Откажитесь от сотрудничества.
• Потребуйте устранить нарушения до подписания договора.
• Включите дополнительные гарантии в договор (штрафы, аудит, право на внеплановые проверки).
• Рассмотрите альтернативных подрядчиков с подтверждённой защитой ПДн.
Заключение
Проверка подрядчика на соответствие 152 ФЗ — это:
• Защита вашей компании от штрафов.
• Снижение рисков утечки ПДн.
• Юридическая безопасность при проверках.
• Уверенность в партнёре.
Не доверяйте на слово — проверьте по чек листу до передачи данных. Это сэкономит вам время, деньги и нервы.
Скачайте чек лист проверки подрядчика на 152 ФЗ (2026)
Поделитесь статьёй с коллегой, которому это пригодится
Подпишитесь на legascom.ru — разбираем сложное просто
