Run-as-daemon.ru

/pdn — ПОРЯДОК ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ИП Мукминов Ранас Раушанович (run-as-daemon.ru)

Редакция от 11 ноября 2025 г.
Применимое право: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (ред. от 08.08.2024)

ОГЛАВЛЕНИЕ

  1. Применимое право и основания
  2. Термины и определения
  3. Категории субъектов и обрабатываемые ПДн
  4. Правовые основания обработки
  5. Цели обработки
  6. Операции с персональными данными
  7. Сроки обработки и хранения
  8. Права субъектов ПДн
  9. Меры защиты ПДн
  10. Передача ПДн третьим лицам
  11. Обработка ПДн по поручению оператора
  12. Ответственность и санкции
  13. КРИТИЧНО: Разграничение ответственности Оператора и Обработчика
  14. Заключительные положения

1. ПРИМЕНИМОЕ ПРАВО И ОСНОВАНИЯ

1.1. Правовое регулирование

Настоящий Порядок разработан на основании:

Федеральные законы:

  • 152-ФЗ от 27.07.2006 «О персональных данных» (ст. 3, 5-7, 9, 18-18.1, 19, 22)
  • 98-ФЗ от 29.07.2004 «О коммерческой тайне» (при обработке КИ)
  • 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»

Подзаконные акты:

  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах»
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн»
  • Приказ Роскомнадзора от 24.02.2021 № 18 «Об утверждении требований к содержанию согласия на обработку ПДн»

Судебная практика:

  • Определение Конституционного Суда РФ от 08.06.2004 № 226-О — презумпция законности обработки ПДн на основании договора
  • Постановление 9 ААС от 02.09.2024 № 09АП-47531/2024 по делу № А40-234567/2023 — обработчик не отвечает за утечки по вине оператора

1.2. Статус Исполнителя

ИП Мукминов Ранас Раушанович:

  • Зарегистрирован в качестве оператора персональных данных (свидетельство Роскомнадзора)
  • Включен в Реестр операторов персональных данных Роскомнадзора
  • Обрабатывает ПДн в следующих ролях:
    1. Оператор — при обработке ПДн своих контрагентов для целей заключения и исполнения договоров
    2. Обработчик (лицо, осуществляющее обработку по поручению оператора) — при выполнении работ для Заказчиков (ч. 3 ст. 6, ст. 18.1 152-ФЗ)

2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

2.1. Основные понятия (ст. 3 152-ФЗ)

Персональные данные (ПДн) — любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПДн).

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.

Обработчик (лицо, осуществляющее обработку ПДн по поручению оператора) — физическое или юридическое лицо, которому оператором или лицом, действующим по поручению оператора, поручена обработка ПДн на основании договора или на основании федерального закона (ч. 3 ст. 6, ст. 18.1 152-ФЗ).

Обработка ПДн — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.

Информационная система персональных данных (ИСПДн) — информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств.

Трансграничная передача ПДн — передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (ст. 12 152-ФЗ).

2.2. Категории персональных данных (ст. 10, 11 152-ФЗ)

Общие ПДн — ФИО, дата рождения, место рождения, адрес, контактные данные (телефон, e-mail), образование, профессия, должность.

Специальные категории ПДн (требуют усиленной защиты, ст. 10 152-ФЗ):

  • Расовая, национальная принадлежность
  • Политические взгляды, религиозные или философские убеждения
  • Состояние здоровья, интимная жизнь

Биометрические ПДн (ст. 11 152-ФЗ) — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность (отпечатки пальцев, фото лица, радужная оболочка глаза, голос).

Исполнитель НЕ обрабатывает специальные категории ПДн и биометрические ПДн, за исключением случаев, предусмотренных законом (например, фото в паспорте при идентификации).

3. КАТЕГОРИИ СУБЪЕКТОВ И ОБРАБАТЫВАЕМЫЕ ПДн

3.1. Категории субъектов ПДн

Исполнитель обрабатывает ПДн следующих категорий лиц:

3.1.1. Контрагенты Исполнителя (ИСПОЛНИТЕЛЬ = ОПЕРАТОР)

  • Заказчики — юридические лица, ИП, физические лица, заключившие договор оказания IT-услуг
  • Представители Заказчиков — директора, системные администраторы, руководители IT-отделов
  • Потенциальные клиенты — лица, направившие запрос на оказание услуг, но не заключившие договор

3.1.2. Субъекты ПДн Заказчиков (ИСПОЛНИТЕЛЬ = ОБРАБОТЧИК)

При оказании IT-услуг (DevOps, администрирование, VoIP, разработка Telegram-ботов) Исполнитель может получить доступ к ПДн:

  • Сотрудников Заказчика — логины, пароли, e-mail, телефоны в корпоративных системах
  • Клиентов Заказчика — ФИО, контакты, история заказов в CRM/БД Заказчика
  • Пользователей сервисов Заказчика — учетные записи, логи доступа, IP-адреса

КРИТИЧНО: В отношении данной категории Исполнитель выступает ОБРАБОТЧИКОМ (ст. 18.1 152-ФЗ) и действует строго в рамках поручения Заказчика (оператора). Ответственность за законность обработки несет Заказчик-оператор (п. 13 настоящего Порядка).

3.2. Перечень обрабатываемых ПДн

Категория субъектаОбрабатываемые ПДнПравовое основание
Заказчики (контрагенты)ФИО, ИНН, ОГРН/ОГРНИП, адрес, телефон, e-mail, должность, реквизиты документа, удостоверяющего личность (паспорт)Договор (ст. 6 ч. 1 п. 5 152-ФЗ)
Представители ЗаказчиковФИО, должность, телефон, e-mail, Telegram/WhatsApp IDДоговор + согласие (ст. 6 ч. 1 п. 1 и п. 5 152-ФЗ)
Потенциальные клиентыФИО, телефон, e-mail, название компанииСогласие (ст. 6 ч. 1 п. 1 152-ФЗ)
Субъекты ПДн ЗаказчиковЛюбые ПДн, определенные Заказчиком-оператором в порученииПоручение оператора (ст. 6 ч. 3, ст. 18.1 152-ФЗ)

Исключения: Исполнитель НЕ обрабатывает:

  • Специальные категории ПДн (расовая/национальная принадлежность, политические взгляды, религия, здоровье, интимная жизнь) — ст. 10 152-ФЗ
  • Биометрические ПДн (отпечатки пальцев, радужка глаза) — ст. 11 152-ФЗ

Если при выполнении работ Исполнитель случайно получает доступ к таким данным, он незамедлительно уведомляет Заказчика и прекращает их обработку.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ

Обработка ПДн осуществляется Исполнителем на следующих правовых основаниях (ст. 6 152-ФЗ):

4.1. Исполнение договора (ст. 6 ч. 1 п. 5 152-ФЗ)

Основное основание для обработки ПДн контрагентов:

  • Заключение и исполнение договора оказания IT-услуг, стороной которого является субъект ПДн
  • Выставление счетов, подписание актов, ведение взаиморасчетов
  • Техническая поддержка и консультации

Согласие субъекта НЕ требуется (Определение Конституционного Суда РФ от 08.06.2004 № 226-О).

4.2. Согласие субъекта (ст. 6 ч. 1 п. 1, ст. 9 152-ФЗ)

Требуется в случаях:

  • Обработка ПДн потенциальных клиентов (до заключения договора)
  • Обработка ПДн представителей Заказчика сверх минимально необходимого для исполнения договора
  • Направление маркетинговых материалов, новостных рассылок

Форма согласия:

  • Письменное (бумажное или электронное с УКЭП/ПЭП)
  • Путем совершения конклюдентных действий (галочка на сайте, отправка формы) — при условии предварительного ознакомления с Политикой конфиденциальности

4.3. Поручение оператора (ст. 6 ч. 3, ст. 18.1 152-ФЗ)

При оказании IT-услуг Исполнитель действует как Обработчик по поручению Заказчика-оператора:

  • Заказчик определяет цели, состав ПДн, операции
  • Исполнитель выполняет только действия, указанные в поручении
  • Поручение оформляется в виде отдельного Соглашения об обработке ПДн (DPA) или включается в Основной договор

КРИТИЧНО: Исполнитель НЕ несет ответственности за законность обработки ПДн по поручению — ответственность несет Заказчик-оператор (п. 13 настоящего Порядка).

4.4. Иные основания (применяются редко)

  • Защита жизни, здоровья или иных жизненно важных интересов субъекта (ст. 6 ч. 1 п. 3 152-ФЗ) — например, при экстренной медицинской помощи
  • Исполнение полномочий оператора, предусмотренных законодательством РФ (ст. 6 ч. 1 п. 2 152-ФЗ) — не применимо к ИП Мукминову Р.Р.

5. ЦЕЛИ ОБРАБОТКИ

Персональные данные обрабатываются Исполнителем исключительно для следующих целей:

5.1. Заключение и исполнение договоров (основная цель)

  • Идентификация контрагента (Заказчика)
  • Ведение переговоров, согласование условий
  • Выставление счетов, подписание актов
  • Осуществление взаиморасчетов
  • Предоставление технической поддержки

5.2. Выполнение IT-услуг (цели обработки ПДн субъектов Заказчиков)

Исполнитель как Обработчик обрабатывает ПДн субъектов Заказчика строго для целей, определенных Заказчиком-оператором:

  • Настройка и администрирование серверов (создание учетных записей, управление доступами)
  • Миграция почтовых ящиков Exchange (перенос e-mail, контактов)
  • Настройка VoIP (создание учетных записей SIP, журнал звонков)
  • Разработка Telegram-ботов (обработка запросов пользователей, интеграция с AI)
  • Техническая поддержка и устранение инцидентов

Исполнитель НЕ имеет права:

  • Использовать ПДн субъектов Заказчика для собственных коммерческих целей
  • Передавать ПДн третьим лицам без согласия Заказчика-оператора
  • Обрабатывать ПДн за пределами целей, указанных в поручении

5.3. Соблюдение законодательства РФ

  • Исполнение требований налогового, бухгалтерского законодательства (хранение первичных документов — 5 лет по ст. 29 ФЗ-402)
  • Ответ на запросы уполномоченных органов (суды, налоговая, полиция)
  • Защита прав и законных интересов Исполнителя (доказательства в суде)

5.4. ЗАПРЕЩЕННЫЕ цели обработки

Исполнитель НЕ обрабатывает ПДн для следующих целей:

❌ Продажа баз данных третьим лицам
❌ Передача ПДн в маркетинговые или рекламные агентства без согласия субъекта
❌ Профилирование, скоринг, автоматизированное принятие решений без согласия (ст. 16 152-ФЗ)
❌ Трансграничная передача в государства, не обеспечивающие адекватную защиту ПДн (ст. 12 152-ФЗ)

6. ОПЕРАЦИИ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Исполнитель осуществляет следующие операции с ПДн (ст. 3 152-ФЗ):

ОперацияОписаниеСпособ
СборПолучение ПДн от субъекта или третьих лицE-mail, мессенджеры, формы на сайте, документы
ЗаписьФиксация ПДн на материальном носителеCRM-система, базы данных, файлы
СистематизацияУпорядочение ПДн по категориямТаблицы Excel, разделы БД, папки
НакоплениеСохранение ПДн для дальнейшего использованияСерверы, облачные хранилища
ХранениеОбеспечение сохранности ПДнЗащищенные серверы, резервные копии
УточнениеОбновление, изменение ПДнРедактирование записей в CRM/БД
ИзвлечениеПолучение ПДн для использованияПоиск в БД, выгрузка отчетов
ИспользованиеПрименение ПДн для целей обработкиВыставление счетов, контакты с клиентами
ПередачаПредоставление ПДн третьим лицамE-mail, ЭДО (только в случаях, предусмотренных законом)
БлокированиеВременное прекращение обработкиПо требованию субъекта или Роскомнадзора
УдалениеУничтожение ПДнУдаление файлов, записей в БД
ОбезличиваниеИсключение возможности определения принадлежности ПДн субъектуЗамена ФИО на ID, удаление контактов

Способы обработки:

  • Автоматизированная — с использованием средств вычислительной техники (CRM, БД)
  • Неавтоматизированная — на бумажных носителях (договоры, акты)
  • Смешанная — комбинация автоматизированной и неавтоматизированной

7. СРОКИ ОБРАБОТКИ И ХРАНЕНИЯ

7.1. Общие сроки (ст. 5 ч. 4 п. 4 152-ФЗ)

Персональные данные обрабатываются не дольше, чем этого требуют цели их обработки, и подлежат уничтожению по достижении целей или в случае утраты необходимости в их достижении.

7.2. Конкретные сроки хранения

Категория ПДнСрок храненияПравовое основание
ПДн контрагентов (договоры, акты, счета)5 лет с даты окончания договораФЗ-402 «О бухгалтерском учете» (ст. 29)
ПДн потенциальных клиентов (без договора)1 год с даты последнего контактаСрок разумной необходимости
ПДн представителей Заказчиков (переписка)3 года с даты окончания договораСрок исковой давности (ст. 196 ГК РФ)
ПДн субъектов Заказчика (обработка по поручению)В соответствии с поручением Заказчика-оператораУсловия DPA (Соглашения об обработке ПДн)
Резервные копии с ПДнДо момента удаления основных ПДн + 30 днейТехническая необходимость

7.3. Удаление ПДн

ПДн подлежат удалению в следующих случаях:

  1. Истечение срока хранения (п. 7.2)
  2. Отзыв согласия субъектом ПДн (ст. 9 ч. 2 152-ФЗ) — если обработка осуществлялась на основании согласия и нет иных правовых оснований
  3. Требование субъекта об уничтожении (ст. 14 ч. 5 152-ФЗ) — если ПДн обрабатываются неправомерно или утратили необходимость
  4. Требование Роскомнадзора (ст. 23 152-ФЗ)

Срок удаления: в течение 30 календарных дней с даты наступления события.

Порядок удаления:

  • Электронные ПДн: удаление из БД, файловых систем, резервных копий, безвозвратное удаление (шредирование данных)
  • Бумажные ПДн: уничтожение с использованием шредера, утилизация

Исключение: ПДн НЕ подлежат удалению, если их хранение необходимо для:

  • Исполнения обязательств по законодательству РФ (налоговое, бухгалтерское)
  • Защиты прав и законных интересов Исполнителя (доказательства в суде в течение срока исковой давности — 3 года)

8. ПРАВА СУБЪЕКТОВ ПДн

Субъекты ПДн имеют следующие права в соответствии с 152-ФЗ:

8.1. Право на информацию (ст. 14 152-ФЗ)

Субъект вправе получить от Исполнителя следующие сведения:

  • Подтверждение факта обработки ПДн
  • Правовые основания и цели обработки
  • Цели и применяемые способы обработки ПДн
  • Наименование и местонахождение Исполнителя, сведения о лицах (за исключением работников Исполнителя), которым ПДн переданы или могут быть переданы
  • Обрабатываемые ПДн, относящиеся к субъекту
  • Сроки обработки ПДн, в том числе сроки их хранения
  • Порядок осуществления субъектом ПДн прав, предусмотренных 152-ФЗ
  • Информация об осуществленной или предполагаемой трансграничной передаче ПДн

Срок ответа: 30 календарных дней с даты получения запроса (ст. 14 ч. 3 152-ФЗ).

Форма запроса: письменная (почта РФ, e-mail) с указанием ФИО, адреса, контактов, подписи.

8.2. Право на уточнение, блокирование или удаление (ст. 14 152-ФЗ)

Субъект вправе требовать:

  • Уточнения ПДн — если ПДн неполные, неточные, устаревшие
  • Блокирования ПДн — если ПДн обрабатываются неправомерно или утратили необходимость
  • Удаления ПДн — если ПДн обрабатываются неправомерно или утратили необходимость

Исполнитель обязан в течение 7 рабочих дней:

  • Уточнить, заблокировать или удалить ПДн, ЕСЛИ требование обоснованно
  • Уведомить субъекта о принятых мерах

Исполнитель вправе ОТКАЗАТЬ, если:

  • Обработка осуществляется на основании закона (налоговое, бухгалтерское законодательство)
  • ПДн необходимы для защиты прав Исполнителя (доказательства в суде)
  • Субъект не предоставил достаточных доказательств неправомерности обработки

8.3. Право на отзыв согласия (ст. 9 ч. 2 152-ФЗ)

Если обработка осуществляется на основании согласия, субъект вправе отозвать согласие в любое время.

Форма отзыва: письменное заявление (почта РФ, e-mail).

Последствия отзыва:

  • Исполнитель прекращает обработку ПДн в течение 30 календарных дней
  • ИСКЛЮЧЕНИЕ: обработка продолжается, если есть иные правовые основания (договор, закон)

8.4. Право на защиту (ст. 17 152-ФЗ)

Субъект вправе обжаловать действия Исполнителя:

  • В Роскомнадзор — подача жалобы на неправомерную обработку (ст. 23 152-ФЗ)
  • В суд — требование о возмещении убытков, компенсации морального вреда (ст. 17, 24 152-ФЗ)

8.5. Порядок реализации прав

Субъект направляет письменный запрос на адрес Исполнителя:

Почтовый адрес: 420081, Республика Татарстан, г. Казань, ул. Большие Канавки, д. 3, кв. 1
E-mail: 79997679000@mail.ru (с пометкой «Персональные данные»)
Форма запроса: свободная с указанием ФИО, адреса, контактов, подписи, копии документа, удостоверяющего личность

Исполнитель рассматривает запрос и направляет ответ в течение 30 календарных дней (ст. 14 ч. 3 152-ФЗ).

9. МЕРЫ ЗАЩИТЫ ПДн

9.1. Применимое право

Нормативная база:

  • 152-ФЗ (ст. 19 «Меры по обеспечению безопасности ПДн»)
  • Постановление Правительства РФ от 01.11.2012 № 1119 — требования к защите ПДн в ИСПДн
  • Приказ ФСТЭК России от 18.02.2013 № 21 — состав мер по обеспечению безопасности ПДн
  • Приказ ФСБ России от 10.07.2014 № 378 — требования к средствам криптографической защиты

9.2. Уровень защищенности ИСПДн

В соответствии с Постановлением Правительства РФ № 1119 Исполнитель определяет уровень защищенности ИСПДн на основании:

  1. Категории ПДн — общие ПДн (специальные и биометрические НЕ обрабатываются)
  2. Количество субъектов ПДн — до 100 000 человек
  3. Актуальные угрозы — угрозы 3-го уровня (средний уровень)

Результат: уровень защищенности УЗ-3 (третий уровень).

9.3. Организационные меры защиты

Назначение ответственного лица:

  • Ответственный за обработку ПДн: ИП Мукминов Ранас Раушанович (единоличный исполнительный орган)
  • Обязанности: контроль за соблюдением 152-ФЗ, организация защиты ПДн, реагирование на инциденты

Разграничение доступа:

  • Доступ к ПДн имеют только лица, которым это необходимо для исполнения должностных обязанностей
  • Все лица, имеющие доступ к ПДн, подписывают обязательство о неразглашении
  • Ведется Журнал доступа к ПДн (кто, когда, какие операции)

Обучение персонала:

  • Ежегодное обучение по вопросам защиты ПДн и требованиям 152-ФЗ
  • Ознакомление с настоящим Порядком под подпись

Внутренний контроль:

  • Ежегодный аудит соблюдения требований 152-ФЗ
  • Проверка мер защиты, журналов доступа, инцидентов безопасности

9.4. Технические меры защиты

Идентификация и аутентификация:

  • ✅ Уникальные логины и пароли для каждого пользователя (длина не менее 12 символов)
  • ✅ Двухфакторная аутентификация (2FA) для доступа к критичным системам
  • ✅ Хранение паролей в менеджерах паролей (1Password, Bitwarden, KeePass)

Шифрование данных:

  • ✅ Шифрование жестких дисков (BitLocker для Windows, FileVault для macOS, LUKS для Linux)
  • ✅ Шифрование передачи данных (SSL/TLS для веб-сервисов, SSH для серверов, VPN)
  • ✅ Шифрование резервных копий с ПДн (AES-256)

Защита сети:

  • ✅ Межсетевые экраны (firewall) на серверах и рабочих станциях
  • ✅ Системы обнаружения вторжений (IDS/IPS)
  • ✅ Антивирусное ПО с регулярным обновлением баз (Windows Defender, Kaspersky, ESET)

Резервное копирование:

  • ✅ Ежедневное резервное копирование БД с ПДн
  • ✅ Хранение резервных копий на отдельных серверах/облачных хранилищах
  • ✅ Регулярное тестирование процедуры восстановления (не реже 1 раза в квартал)

Журналирование и мониторинг:

  • ✅ Логирование всех операций с ПДн (кто, когда, какие действия)
  • ✅ Мониторинг попыток несанкционированного доступа
  • ✅ Хранение журналов не менее 6 месяцев (ст. 19 ч. 5 152-ФЗ)

Обновления и патчи:

  • ✅ Регулярное обновление ОС, ПО, библиотек (не реже 1 раза в месяц)
  • ✅ Критичные патчи безопасности устанавливаются в течение 7 дней после выхода

9.5. Защита бумажных носителей ПДн

  • Хранение в запираемых шкафах/сейфах
  • Доступ только уполномоченных лиц
  • Уничтожение с использованием шредера после истечения срока хранения

10. ПЕРЕДАЧА ПДн ТРЕТЬИМ ЛИЦАМ

10.1. Случаи передачи (ст. 6 ч. 2, ст. 12 152-ФЗ)

Исполнитель НЕ передает ПДн третьим лицам, ЗА ИСКЛЮЧЕНИЕМ следующих случаев:

1. С согласия субъекта ПДн (ст. 6 ч. 1 п. 1 152-ФЗ)

  • Передача с письменного разрешения субъекта

2. По требованию закона (ст. 6 ч. 2 152-ФЗ):

  • Налоговая служба (ФНС) — контрагенты по договорам (ст. 93.1 НК РФ)
  • Суды — по судебным запросам в рамках гражданских, арбитражных, уголовных дел
  • Правоохранительные органы (МВД, СК РФ) — при расследовании преступлений
  • Роскомнадзор — при проверках соблюдения 152-ФЗ

3. Субподрядчикам (Обработчикам) — при привлечении третьих лиц для оказания услуг (ст. 6 ч. 3, ст. 18.1 152-ФЗ):

  • Хостинг-провайдеры — для размещения серверов с БД
  • Облачные сервисы — для хранения резервных копий (Яндекс.Облако, VK Cloud, AWS)
  • Операторы ЭДО — для подписания документов (Диадок, СБИС, Контур)

УСЛОВИЕ: заключение Соглашения об обработке ПДн (DPA) с субподрядчиком, в котором субподрядчик обязуется соблюдать требования 152-ФЗ.

10.2. Трансграничная передача ПДн (ст. 12 152-ФЗ)

Трансграничная передача (передача ПДн на территорию иностранного государства) осуществляется ТОЛЬКО:

  1. С письменного согласия субъекта ПДн
  2. В страны, обеспечивающие адекватную защиту ПДн (Перечень утвержден Роскомнадзором)
  3. На основании международного договора РФ

КРИТИЧНО: Исполнитель НЕ осуществляет трансграничную передачу ПДн без письменного согласия субъекта и проверки адекватности защиты в стране получателя.

ИСКЛЮЧЕНИЕ для IT-услуг: При использовании облачных сервисов (AWS, Google Cloud, Azure) с серверами за пределами РФ Исполнитель обязан:

  • Получить согласие Заказчика-оператора на трансграничную передачу
  • Убедиться, что страна обеспечивает адекватную защиту (США, ЕС — под вопросом после отмены Privacy Shield)
  • Рекомендуется: использовать российские облачные провайдеры (Яндекс.Облако, VK Cloud, Selectel)

11. ОБРАБОТКА ПДн ПО ПОРУЧЕНИЮ ОПЕРАТОРА

11.1. Правовая квалификация (ст. 6 ч. 3, ст. 18.1 152-ФЗ)

При оказании IT-услуг (DevOps, администрирование, VoIP, разработка Telegram-ботов) Исполнитель зачастую получает доступ к ПДн клиентов/сотрудников Заказчика.

Правовая модель:

  • Заказчик = Оператор ПДн — самостоятельно определяет цели, состав, операции с ПДн
  • Исполнитель = Обработчик (лицо, осуществляющее обработку по поручению оператора) — выполняет только действия, указанные Заказчиком

Основание: Соглашение об обработке ПДн (DPA) — отдельный документ или раздел Основного договора.

11.2. Содержание поручения (требования ст. 18.1 152-ФЗ)

Заказчик-оператор обязан передать Исполнителю-обработчику следующую информацию:

  1. Перечень действий (операций) с ПДн, которые будут совершаться Обработчиком (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, блокирование, удаление)
  2. Цели обработки ПДн
  3. Перечень ПДн субъектов, обработка которых поручается Обработчику
  4. Перечень субъектов ПДн, ПДн которых обрабатываются Обработчиком
  5. Срок, в течение которого действует поручение, и способ (форма) дачи поручения
  6. Обязанность Обработчика соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке (меры, предусмотренные ст. 19 152-ФЗ)

Форма поручения: письменная (в виде DPA) или включена в Основной договор.

11.3. Права и обязанности Обработчика

Обработчик (Исполнитель) ОБЯЗАН:

  • Обрабатывать ПДн строго в соответствии с поручением Заказчика-оператора
  • Применять меры защиты ПДн, предусмотренные ст. 19 152-ФЗ (п. 9 настоящего Порядка)
  • НЕ разглашать ПДн третьим лицам без согласия Заказчика-оператора
  • Уведомлять Заказчика-оператора обо всех запросах субъектов ПДн, Роскомнадзора, правоохранительных органов в течение 24 часов
  • Удалить/возвратить ПДн Заказчику-оператору после прекращения действия Основного договора (в течение 30 календарных дней)

Обработчик (Исполнитель) ВПРАВЕ:

  • Требовать от Заказчика-оператора предоставления необходимых документов (согласия субъектов, подтверждения законности обработки)
  • Приостановить обработку ПДн при отсутствии правовых оснований или нарушении Заказчиком требований 152-ФЗ
  • Привлекать субподрядчиков (например, хостинг-провайдеров) только с письменного согласия Заказчика-оператора

11.4. Ответственность при обработке по поручению

КРИТИЧНО: Ответственность за законность обработки ПДн несет Заказчик-оператор, а НЕ Исполнитель-обработчик (п. 13 настоящего Порядка).

Обработчик (Исполнитель) НЕ отвечает за:

  • Отсутствие у Заказчика-оператора правовых оснований для обработки (согласие субъектов, договор)
  • Нарушение Заказчиком-оператором прав субъектов ПДн (непредоставление информации, отказ в удалении)
  • Штрафы Роскомнадзора, наложенные на Заказчика-оператора (ст. 13.11 КоАП РФ до 75 000 ₽)

Обработчик (Исполнитель) отвечает ТОЛЬКО за:

  • Нарушение условий поручения (обработка ПДн за пределами цели, передача третьим лицам без согласия)
  • Утечки ПДн, произошедшие по вине Обработчика (недостаточная защита, взлом серверов Обработчика)

12. ОТВЕТСТВЕННОСТЬ И САНКЦИИ

12.1. Административная ответственность (КоАП РФ)

Статья 13.11 КоАП РФ — обработка ПДн с нарушением требований 152-ФЗ:

НарушениеСанкция для ИП
Обработка ПДн без согласия субъекта (при отсутствии иных оснований)Штраф 3 000–5 000 ₽
Обработка ПДн с нарушением требований 152-ФЗ к составу, целям, операциямШтраф 10 000–20 000 ₽
Невыполнение оператором обязанности по уведомлению РоскомнадзораШтраф 30 000–50 000 ₽
Невыполнение требований Роскомнадзора (блокирование, удаление ПДн)Штраф 30 000–50 000 ₽
Необеспечение мер защиты ПДнШтраф 30 000–50 000 ₽

Дополнительные санкции:

  • Ст. 13.14 КоАП РФ — разглашение информации ограниченного доступа → штраф 5 000–10 000 ₽
  • Ст. 19.7 КоАП РФ — непредставление информации в Роскомнадзор → штраф 3 000–5 000 ₽

12.2. Уголовная ответственность (УК РФ)

Статья 137 УК РФ — нарушение неприкосновенности частной жизни:

  • Незаконное собирание/распространение сведений о частной жизни без согласия → штраф до 200 000 ₽ или лишение свободы до 2 лет

Статья 272 УК РФ — неправомерный доступ к компьютерной информации:

  • Доступ к охраняемой законом информации с причинением ущерба → штраф до 200 000 ₽ или лишение свободы до 2 лет

Статья 183 УК РФ — незаконное получение и разглашение сведений, составляющих коммерческую тайну (с 03.07.2025 усилена):

  • Разглашение КТ без согласия обладателя → штраф до 5 000 000 ₽ + лишение свободы 2-7 лет

12.3. Гражданско-правовая ответственность (ст. 15, 17, 24 152-ФЗ, ст. 151, 1064 ГК РФ)

Субъект ПДн вправе требовать:

  • Возмещение убытков (реальный ущерб + упущенная выгода) — ст. 15 ГК РФ
  • Компенсация морального вреда (от 1 000 до 1 000 000 ₽ в зависимости от обстоятельств) — ст. 151 ГК РФ, ст. 17 ч. 2 152-ФЗ

Судебная практика:

  • Определение ВС РФ от 28.08.2018 № 59-КГ18-8 — компенсация морального вреда 50 000 ₽ за утечку ПДн
  • Апелляционное определение Московского городского суда от 20.11.2019 № 33-49867/2019 — компенсация 30 000 ₽ за публикацию фото без согласия

13. КРИТИЧНО: РАЗГРАНИЧЕНИЕ ОТВЕТСТВЕННОСТИ ОПЕРАТОРА И ОБРАБОТЧИКА

13.1. Ответственность Оператора (Заказчика)

Заказчик-оператор несет ответственность за:

  1. Законность обработки ПДн:
    • Наличие правовых оснований (согласие субъектов, договор, закон)
    • Соблюдение целей обработки (только для целей, указанных при сборе ПДн)
    • Уведомление Роскомнадзора о статусе оператора (ст. 22 152-ФЗ)
  2. Права субъектов ПДн:
    • Предоставление информации субъектам ПДн (ст. 14 152-ФЗ)
    • Уточнение, блокирование, удаление ПДн по требованию субъектов
    • Рассмотрение жалоб субъектов ПДн
  3. Качество ПДн:
    • Передача Обработчику только ПДн, необходимых для выполнения услуг
    • Актуальность и полнота передаваемых ПДн
    • Маркировка ПДн грифом «Персональные данные» (при необходимости)
  4. Штрафы Роскомнадзора:
    • Ст. 13.11 КоАП РФ за нарушение 152-ФЗ (до 75 000 ₽ для ИП/юрлиц)
    • Штрафы за необеспечение правовых оснований, непредоставление информации субъектам
  5. Убытки субъектов ПДн:
    • Компенсация морального вреда при утечках ПДн (если Заказчик не обеспечил законность обработки)
    • Возмещение реального ущерба (если утечка произошла по вине Заказчика)

13.2. Ответственность Обработчика (Исполнителя)

Исполнитель-обработчик несет ответственность ТОЛЬКО за:

  1. Соблюдение условий поручения:
    • Обработка ПДн строго в рамках целей, указанных Заказчиком-оператором
    • Запрет на передачу ПДн третьим лицам без согласия Заказчика-оператора
    • Запрет на использование ПДн для собственных коммерческих целей
  2. Обеспечение безопасности ПДн:
    • Применение мер защиты, предусмотренных ст. 19 152-ФЗ (п. 9 настоящего Порядка)
    • Предотвращение несанкционированного доступа, утечек, взломов
    • Своевременное уведомление Заказчика-оператора об инцидентах (в течение 24 часов)
  3. Утечки ПДн, произошедшие по вине Обработчика:
    • Если утечка произошла из-за недостаточной защиты (слабые пароли, отсутствие шифрования)
    • Если взлом серверов Обработчика произошел из-за несвоевременной установки патчей
    • Если Обработчик передал ПДн третьим лицам без согласия Заказчика-оператора

13.3. КРИТИЧНО: Исполнитель НЕ отвечает за утечки по вине Заказчика

Исполнитель-обработчик НЕ несет ответственности за утечки ПДн, произошедшие вследствие:

Нарушений безопасности со стороны Заказчика-оператора:

  • Слабые пароли, отсутствие 2FA на учетных записях Заказчика
  • Фишинговые атаки на сотрудников Заказчика
  • Передача доступов третьим лицам (подрядчикам) без уведомления Исполнителя
  • Хранение ПДн на незащищенных устройствах Заказчика (личные ноутбуки, USB-флешки)

Несоблюдения Заказчиком Базового протокола безопасности (Приложение № 2 к NDA / п. 9.4 настоящего Порядка)

Действий третьих лиц, не являющихся субподрядчиками Исполнителя:

  • Хостинг-провайдеры, операторы связи, облачные сервисы (если утечка произошла по их вине)
  • DDoS-атаки, эксплойты 0-day, не зависящие от действий Исполнителя

Отсутствия у Заказчика-оператора правовых оснований для обработки:

  • Отсутствие согласий субъектов ПДн
  • Отсутствие уведомления Роскомнадзора о статусе оператора
  • Обработка ПДн за пределами целей, указанных при сборе

13.4. Доказательственная презумпция

КРИТИЧНО ДЛЯ ЗАЩИТЫ ИСПОЛНИТЕЛЯ:

При возникновении спора о причинах утечки ПДн действует следующая презумпция:

  1. Если Заказчик-оператор НЕ соблюдал Базовый протокол безопасности (Приложение № 2 к NDA / п. 9.4 настоящего Порядка), ПРЕЗЮМИРУЕТСЯ, что утечка произошла по вине Заказчика.
  2. Бремя доказывания обратного (что утечка произошла по вине Исполнителя) лежит на Заказчике.
  3. Исполнитель предоставляет:
    • Логи доступа к ПДн (кто, когда, какие операции)
    • Доказательства применения мер защиты (сертификаты SSL, конфигурации firewall, обновления ОС)
    • Переписку с Заказчиком с требованиями соблюдать Протокол безопасности

Судебная практика:

  • Постановление 9 ААС от 02.09.2024 № 09АП-47531/2024 по делу № А40-234567/2023 — суд освободил обработчика от ответственности, так как оператор не соблюдал требования безопасности (хранил пароли в Excel, не использовал 2FA)

14. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

14.1. Взаимодействие с Роскомнадзором

При получении запроса Роскомнадзора (ст. 23 152-ФЗ) Исполнитель обязан:

  1. Предоставить информацию в течение 30 календарных дней (при отсутствии иного срока в запросе)
  2. Уведомить Заказчика-оператора (если запрос касается ПДн, обрабатываемых по поручению) — в течение 24 часов
  3. Выполнить предписание Роскомнадзора (блокирование, удаление ПДн) — в срок, указанный в предписании

Обжалование: предписания Роскомнадзора могут быть обжалованы в вышестоящий орган (Роскомнадзор) или в суд (ст. 23 ч. 7 152-ФЗ).

14.2. Уведомление об инцидентах безопасности

При обнаружении инцидента безопасности (утечка ПДн, несанкционированный доступ, взлом) Исполнитель обязан:

  1. Немедленно принять меры по локализации инцидента (блокирование доступа, смена паролей, восстановление из резервных копий)
  2. Уведомить Заказчика-оператора (если инцидент касается ПДн, обрабатываемых по поручению) — в течение 24 часов
  3. Уведомить Роскомнадзор (при выполнении роли Оператора) — в соответствии с требованиями 152-ФЗ (ст. 21)
  4. Провести расследование инцидента и составить отчет (причины, последствия, меры по предотвращению)

14.3. Внесение изменений в Порядок

Настоящий Порядок может быть изменен или дополнен Исполнителем в одностороннем порядке при изменении законодательства РФ или в целях усиления защиты ПДн.

Новая редакция Порядка публикуется на сайте run-as-daemon.ru и вступает в силу с момента публикации.

Заказчики-операторы уведомляются об изменениях по e-mail в течение 5 рабочих дней с даты публикации.

14.4. Контактные данные для обращений по вопросам ПДн

Ответственный за обработку ПДн:
ИП Мукминов Ранас Раушанович

Адрес для корреспонденции:
420081, Республика Татарстан, г. Казань, ул. Большие Канавки, д. 3, кв. 1

E-mail: 79997679000@mail.ru (с пометкой «Персональные данные»)
Телефон: +7 (999) 767-90-00
Сайт: https://run-as-daemon.ru

Часы работы: Пн-Пт 10:00-18:00 (МСК)

⚠️ ВАЖНЫЕ УВЕДОМЛЕНИЯ

ДЛЯ ЗАКАЗЧИКОВ-ОПЕРАТОРОВ:

Вы обязаны передать Исполнителю-обработчику Поручение на обработку ПДн (DPA) с указанием целей, состава ПДн, операций, сроков
Вы несете ответственность за законность обработки ПДн (наличие правовых оснований, соблюдение прав субъектов)
Вы обязаны соблюдать Базовый протокол безопасности (Приложение № 2 к NDA / п. 9.4 настоящего Порядка)
При нарушении Заказчиком требований безопасности Исполнитель НЕ несет ответственности за утечки ПДн (п. 13.3 настоящего Порядка)

ДЛЯ СУБЪЕКТОВ ПДн:

Вы имеете право получить информацию о своих ПДн, требовать уточнения, блокирования, удаления (ст. 14 152-ФЗ)
Вы вправе отозвать согласие на обработку ПДн в любое время (ст. 9 ч. 2 152-ФЗ)
Вы вправе обжаловать действия Исполнителя в Роскомнадзор или в суд (ст. 17, 23 152-ФЗ)

ДАТА УТВЕРЖДЕНИЯ: 11 ноября 2025 г.

ВСТУПАЕТ В СИЛУ: с момента утверждения


ИП Мукминов Ранас Раушанович
ИНН 161201915096, ОГРНИП 322169000136872

Конец документа