127083, г. Москва, ул. 8 марта, д. 1, стр. 12, корп. 2, этаж 5, офис 20
ПН-ЧТ с 10:00 до 19:00, ПТ с 10:00 до 18:00
+7 (495) 280-11-03
+7 (495) 280-11-03
Whatsapp-color Created with Sketch.
Заказать звонок
Главная / Статьи / Передача ПДн подрядчикам (кадровики, бухгалтерия, CRM): как оформить и не нарушить закон

Передача ПДн подрядчикам (кадровики, бухгалтерия, CRM): как оформить и не нарушить закон

Опубликовано: 31.03.2026
Маргарита Садовщикова Обратиться к специалисту

Автор статьи - специалист в области корпоративного, миграционного и контрактного права

Маргарита Садовщикова
Краткая информация

Окончила Современный гуманитарный Институт (г. Москва) со степенью бакалавра юриспруденции. С 1996 по 1998 годы работала следователем в межрайонной прокуратуре г. Москвы.

Юридическая практика

В Юридическом центре «Ваш поверенный» работает с 1998 года. За это время прошла курсы повышения квалификации по темам: «Регистрация предприятий и организаций», «Правовое регулирование рынка ценных бумаг», «Статус и правовое положение иностранных граждан в России», «Ведение судебных споров» и др. Публикует статьи в журнале «Иностранный капитал в России» издательства «АКДИ Интернэйшнл «Экономика и Жизнь». Является ведущим специалистом Юридического центра «Ваш поверенный». Специализируется в области аккредитации иностранных представительств и филиалов, корпоративного и миграционного права. Ведет судебную практику по гражданским делам.

Современный бизнес активно использует аутсорсинг для оптимизации процессов. Бухгалтерский учет, кадровое делопроизводство, работа с CRM-системами, маркетинговые рассылки — эти функции часто передают внешним исполнителям. Однако при такой передаче персональных данных подрядчику компания неизбежно сталкивается с необходимостью обрабатывать личную информацию сотрудников и клиентов через третьих лиц. В этой статье разберем, как легально организовать этот процесс и защитить организацию от многомиллионных штрафов.

Когда требуется поручение обработки персональных данных

Поручение на обработку персональных данных необходимо оформлять каждый раз, когда ваша компания передает конфиденциальную информацию о работниках или клиентах внешнему исполнителю. Согласно действующему законодательству РФ, оператор вправе привлекать третьих лиц к обработке персональных данных по поручению оператора только при соблюдении определенных условий.

Типичная ошибка многих организаций — считать, что достаточно простого договора на оказание услуг. На практике отсутствие правильно оформленногодоговора поручения на обработку ПДн может привести к штрафу.

ПРИМЕР: Один московский ритейлер получил такое взыскание после проверки Роскомнадзора, когда выяснилось, что кадровый аутсорсер обрабатывал данные сотрудников без соответствующего соглашения.

Обязательные элементы договора с подрядчиком

Договор поручения на обработку ПДн должен содержать четкие формулировки о целях, сроках и объеме передаваемой информации. Важно указать конкретные действия, которые исполнитель вправе совершать с полученными данными. Например, если аутсорсинговая бухгалтерия будет только начислять зарплату, не стоит давать ей право на передачу информации другим лицам.

Внимание! Отсутствие в контракте перечня конкретных мероприятий по защите информации — одна из самых распространенных ошибок, которая делает договор юридически уязвимым.

Обязательно прописывают меры защиты персональных данных в договоре:

  • требования к помещениям, где хранятся документы;
  • использование сертифицированных средств защиты информации;
  • порядок уничтожения данных после окончания сотрудничества.

Также аутсорсер должен гарантировать, что его сотрудники, имеющие доступ к информации, подписали соглашение о конфиденциальности персональных данных.

Основные требования к содержанию договора

При составлении договора следует учитывать специфику передаваемых данных и характер услуг подрядчика. Документ должен содержать следующие обязательные разделы:

  1. Перечень категорий субъектов, чьи данные будут обрабатываться (сотрудники, соискатели, клиенты).
  2. Виды персональных данных (ФИО, паспортные данные, СНИЛС, контактная информация).
  3. Цели обработки для каждой категории данных.
  4. Сроки обработки и условия прекращения.
  5. Права и обязанности сторон по обеспечению безопасности.
  6. Ответственность подрядчика за утечку персональных данных.
  7. Порядок возврата или уничтожения данных после завершения работ.
Важно: каждый пункт должен быть максимально конкретизирован. Формулировка «обрабатывать в соответствии с ФЗ» недостаточна — необходимо прописать конкретные действия и ограничения.

Распределение ответственности между сторонами

Законный способ работы с аутсорсером предполагает четкое разграничение зон ответственности. Оператор (ваша компания) отвечает за получение согласия субъектов на обработку их данных, включая передачу третьим лицам. При этом согласие работника на обработку ПДн работодателем не означает автоматического разрешения передавать эти данные подрядным организациям.

Исполнитель несет ответственность за утечку персональных данных, если она произошла по его вине. В случае инцидента именно он будет отвечать перед надзорными органами. Однако это не освобождает оператора от обязанности проверить надежность партнера перед заключением контракта.

ПРИМЕР: Показателен случай с одной крупной торговой сетью — компания передала ведение кадрового учета внешнему провайдеру, не убедившись в наличии у него необходимых технических средств защиты. После взлома базы данных подрядчика пострадали персональные данные 5000 сотрудников. В результате штрафы получили обе стороны, а репутационные потери оператора оказались колоссальными.
Передача ПДн подрядчикам (кадровики, бухгалтерия, CRM): как оформить и не нарушить закон

Особенности работы с различными типами подрядчиков

Каждый вид аутсорсинга имеет свою специфику рисков и требует индивидуального подхода к оформлению поручения на обработку данных. Рассмотрим наиболее частые ситуации.

Бухгалтерский аутсорсинг

При передаче ПДн в бухгалтерию на аутсорсе важно ограничить доступ только теми данными, которые необходимы для расчета заработной платы, налогов и подготовки отчетности. В договоре следует четко указать, что подрядчик не вправе использовать переданные сведения для каких-либо иных целей, включая консультирование третьих лиц или аналитику.

На что обратить внимание:

Объем данныхБухгалтеру нужны паспортные данные, СНИЛС, ИНН, сведения о доходах. Но медицинские справки, информация о семейном положении или личных увлечениях сотрудника для начисления зарплаты не требуются — их передавать нельзя
Каналы связиНастройте защищенный документооборот (например, через системы вроде «Контур.Диадок» или VipNet). Пересылка сканов паспортов по обычной электронной почте без шифрования — грубое нарушение
Уничтожение данныхПропишите обязанность подрядчика удалять все данные уволенных сотрудников после сдачи отчетности за соответствующий период
В Москве и Санкт-Петербурге несколько компаний уже получили предписания Роскомнадзора именно за избыточную передачу данных бухгалтерским аутсорсерам и использование незащищенных каналов связи.

Кадровое делопроизводство (HR-аутсорсинг)

Передача ПДн кадровику на аутсорс — зона повышенного риска, поскольку здесь фигурирует максимально полный объем информации о сотрудниках: от паспортных данных до сведений о здоровье (при оформлении больничных) и судимости.

Особые условия договора:

  1. Подрядчик должен обеспечить многофакторную аутентификацию для доступа к базам данных своих сотрудников.
  2. Все действия с документами (прием, обработка, хранение) должны логироваться.
  3. Необходимо четко прописать процедуры при увольнении: в течение 3 дней с момента получения уведомления от оператора подрядчик обязан уничтожить все копии документов уволенного и предоставить акт об уничтожении.
Важно! В договоре следует указать, что подрядчик не вправе передавать данные соискателей, не прошедших отбор, каким-либо третьим лицам (например, в кадровые агентства-партнеры) без отдельного поручения оператора.

CRM-системы и облачные сервисы

Чтобы использовать персональные данные в CRM законно, необходимо понимать: если CRM работает по модели SaaS (программа как услуга) и данные хранятся на серверах разработчика, то разработчик автоматически становится подрядчиком, осуществляющим обработку.

Ключевые моменты:

  1. В договоре с провайдером CRM должно быть явно указано, что он обрабатывает данные только для обеспечения функциональности системы и не вправе использовать их в своих целях (например, для обучения своих алгоритмов или таргетинга).
  2. Если серверы CRM находятся за пределами РФ, требуется дополнительное согласие субъектов на трансграничную передачу.
  3. Провайдер обязан обеспечивать шифрование данных при хранении и передаче, а также регулярно предоставлять отчеты о пентестах (тестировании на проникновение).
Многие компании допускают ошибку, указывая в согласии клиента только факт использования CRM, но не называя конкретного провайдера услуги. Это делает согласие ничтожным.

Практические рекомендации по минимизации рисков

Перед заключением договора проведите аудит подрядчика:

  • запросите документы о мерах защиты информации (политики, положения, акты);
  • проверьте наличие приказа о назначении ответственного за обработку ПДн;
  • убедитесь в отсутствии нарушений в прошлом (проверьте картотеку арбитражных дел и реестр штрафов Роскомнадзора).

Регулярно контролируйте соблюдение условий соглашения — это право и обязанность оператора.

Включите в договор право на проведение проверок соблюдения требований безопасности не реже одного раза в год. Это позволит своевременно выявлять и устранять потенциальные угрозы.
  1. Разработайте внутренний регламент взаимодействия с подрядчиками, определите ответственных лиц с обеих сторон, настройте защищенные каналы передачи данных. Помните, что электронная почта без шифрования не является безопасным способом передачи персональных данных.
  2. Особое внимание уделите процедуре прекращения сотрудничества. В договоре должны быть четко прописаны сроки возврата или уничтожения всех носителей с персональными данными, включая резервные копии. Подрядчик обязан предоставить акт об уничтожении информации.
  3. Грамотно оформленное поручение обработки персональных данных — это не формальность, а реальная защита бизнеса от штрафов и репутационных потерь. Инвестиции в правильное юридическое оформление отношений с подрядчиками окупаются отсутствием проблем с надзорными органами и доверием клиентов.

Помните: экономия на юридическом сопровождении при передаче ПДн может обернуться штрафами, во много раз превышающими стоимость качественной подготовки документов. Подходите к выбору аутсорсеров ответственно, тщательно прорабатывайте договоры и регулярно контролируйте соблюдение установленных требований.
Еще статьи
11.03.2026 Новый русский
04.02.2025 Что выбрать — ООО или ИП
24.07.2025 Что такое юридический аутсорсинг?
Реальные отзывы клиентов

У вас остались вопросы?

Мы с удовольствием на них ответим. Заполните форму
и наш специалист в ближайшее время с вами
свяжется.

или можете связаться с нами по телефону: +7 (495) 280-11-03


    Нажимая на кнопку “Отправить”, я даю согласие на обработку персональных данных

    Заказать звонок

    Перезвоним в течение нескольких минут

    Добавить отзыв об услуге

      Отзыв * ФИО * Должность
      Этот сайт использует cookie для хранения данных.
      Продолжая использовать сайт, Вы даете свое согласие на работу с этими файлами.