Atomgram
На главную( Приложение )

Поручение на обработку персональных данных

Обновлено: 22 июня 2026 г.

Приложение №2 к Договору-оферте на оказание услуг по разработке от «» __________ 20 г.

Назначение: настоящее Поручение оформляется в соответствии с частью 3 статьи 6 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных, доступ к которым получает Исполнитель в ходе выполнения работ по Договору.

Когда заключается: только если Исполнитель в ходе выполнения работ получает доступ к базам данных, содержащим персональные данные пользователей Продукта. Если Исполнитель работает только с обезличенным кодом и тестовыми данными — настоящее Поручение не требуется.

Юридический эффект: Поручение разделяет роли Сторон по 152-ФЗ. Заказчик является Оператором ПД, Исполнитель — лицом, осуществляющим обработку ПД по поручению Оператора (далее — «Обработчик»). Заказчик несёт ответственность перед субъектами ПД и Роскомнадзором; Исполнитель отвечает перед Заказчиком в пределах настоящего Поручения и Договора-оферты.

1. Стороны

1.1. Оператор

[ФИО / наименование Заказчика], [ИНН], [адрес регистрации], [email] — Оператор персональных данных пользователей Продукта в смысле ст. 3 п. 2 152-ФЗ.

Далее — «Оператор».

1.2. Обработчик

Коркин Егор Сергеевич, плательщик НПД, ИНН 231219474294, г. Краснодар, hello@atomgram.ru — лицо, осуществляющее обработку персональных данных по поручению Оператора в смысле ст. 6 ч. 3 152-ФЗ.

Далее — «Обработчик».

2. Предмет Поручения

2.1. Оператор поручает Обработчику обработку персональных данных, обрабатываемых Оператором в рамках Продукта, разрабатываемого Обработчиком по Договору-оферте от [дата].

2.2. Обработка осуществляется Обработчиком исключительно в целях оказания услуг по разработке и (при наличии отдельного договора) технической поддержке Продукта.

2.3. Обработчик не определяет цели обработки персональных данных, не определяет состав обрабатываемых данных и действует строго в пределах поручения Оператора.

3. Перечень обрабатываемых персональных данных

3.1. В процессе выполнения работ Обработчик может получать доступ к следующим категориям персональных данных (точный состав определяется характером Продукта):

  • Идентификационные данные: имя, фамилия, отчество, имя пользователя, никнейм, ID в мессенджере;
  • Контактные данные: email, телефон, мессенджер-аккаунт (Telegram, WhatsApp), почтовый адрес;
  • Платёжные данные (если применимо): данные о платежах, без полных номеров банковских карт;
  • Данные о действиях: история заказов, запросов, обращений, действий в Продукте;
  • Технические данные: IP-адрес, user-agent, cookie-идентификаторы, геолокация (если собирается).

3.2. Категории ПД, обработка которых НЕ поручается Обработчику (если применимо):

  • Биометрические ПД (ст. 11 152-ФЗ);
  • Специальные категории ПД: расовая, национальная принадлежность, политические взгляды, религиозные убеждения, состояние здоровья, интимная жизнь, судимости (ст. 10 152-ФЗ);
  • Данные несовершеннолетних в специальном режиме (если применимо).

Если такие данные присутствуют в Продукте, Стороны заключают отдельное расширенное поручение с учётом дополнительных требований 152-ФЗ.

4. Категории субъектов ПД

Субъекты ПД, обрабатываемых по настоящему Поручению:

  • Пользователи / клиенты Оператора, использующие Продукт;
  • Сотрудники Оператора, использующие административные функции Продукта;
  • Иные категории, согласованные Сторонами.

5. Перечень действий с ПД

5.1. Обработчик вправе совершать с персональными данными следующие действия, исключительно в технических целях, связанных с разработкой и поддержкой Продукта:

  • Сбор (получение от Оператора в составе данных, передаваемых для тестирования / отладки);
  • Запись, хранение (временное, в защищённой среде разработки);
  • Уточнение (обновление, изменение в рамках отладки);
  • Извлечение, использование (исключительно для тестирования функционала);
  • Удаление (по завершении работ);
  • Обезличивание (для тестовых выборок).

5.2. Обработчик НЕ ВПРАВЕ:

  • (а) Передавать ПД третьим лицам без письменного согласия Оператора;
  • (б) Использовать ПД в собственных целях (маркетинг, аналитика, продажа);
  • (в) Объединять ПД, полученные от Оператора, с ПД, полученными из иных источников;
  • (г) Производить с ПД действия, не входящие в перечень п. 5.1;
  • (д) Передавать ПД за пределы Российской Федерации без отдельного согласования с Оператором (с учётом требований ст. 12 152-ФЗ о трансграничной передаче).

6. Срок и условия обработки

6.1. Обработка ПД Обработчиком осуществляется в течение срока действия Договора-оферты и прекращается:

  • (а) По завершении работ — в порядке, установленном разделом 12 Договора-оферты (автоматический переход ответственности);
  • (б) При расторжении Договора;
  • (в) По письменному требованию Оператора;
  • (г) При прекращении необходимости в обработке.

6.2. По завершении обработки Обработчик в течение 7 рабочих дней обязан:

  • Удалить ПД из всех своих систем (включая локальные копии, бэкапы, среды разработки);
  • Удалить переданные доступы из менеджера паролей;
  • Уведомить Оператора по email об исполнении.

Отдельный акт об уничтожении ПД по умолчанию не составляется; уведомление по email является достаточным подтверждением (по аналогии с п. 12.4 Договора-оферты).

7. Меры обеспечения безопасности ПД

7.1. Обработчик обязуется применять следующие меры защиты ПД при их обработке:

7.1.1. Организационные меры:

  • Доступ к ПД имеет только Обработчик; передача доступа третьим лицам — только при наличии письменного согласия Оператора и распространении на таких лиц обязанностей по конфиденциальности;
  • Учётные данные, переданные Оператором, хранятся в защищённом менеджере паролей (Bitwarden / KeePassXC / эквивалент);
  • ПД не обсуждаются и не передаются по незащищённым каналам связи.

7.1.2. Технические меры:

  • Рабочее устройство Обработчика защищено паролем и шифрованием диска (BitLocker / FileVault или аналог);
  • Многофакторная аутентификация (2FA) включена для всех критических аккаунтов (почта, GitHub, хостинги);
  • Резервные копии (если создаются) хранятся в зашифрованном виде;
  • При передаче ПД по сети используются защищённые протоколы (HTTPS, SSH, VPN).

7.2. Соразмерность мер. Меры безопасности соразмерны угрозам для прав субъектов ПД с учётом характера обрабатываемых данных и условий обработки. Конкретный перечень дополнительных мер согласовывается Сторонами в зависимости от категорий обрабатываемых ПД.

7.3. Уровень защищённости (УЗ). Оператор самостоятельно определяет необходимый уровень защищённости ПД в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 и информирует об этом Обработчика. По умолчанию применяется УЗ-4 (минимальный) — для типовых проектов без специальных категорий ПД.

8. Уведомление об инцидентах

8.1. В случае инцидента, связанного с нарушением безопасности обрабатываемых ПД (несанкционированный доступ, утечка, утрата, изменение, уничтожение), Обработчик обязан в течение 24 часов с момента обнаружения уведомить Оператора по email с указанием:

  • Даты, времени и характера инцидента;
  • Известного объёма затронутых ПД;
  • Предполагаемых причин;
  • Предпринятых и планируемых мер реагирования.

8.2. Оператор самостоятельно осуществляет уведомление Роскомнадзора и (при необходимости) субъектов ПД в порядке, установленном ст. 21 152-ФЗ. Обработчик содействует Оператору в подготовке таких уведомлений.

8.3. Уведомление об инциденте, произошедшем после перехода ответственности по п. 12.2 Договора-оферты, не относится к настоящему Поручению — в этот момент Обработчик более не имеет доступа к ПД, и ответственность лежит на Операторе.

9. Содействие Оператору в исполнении его обязанностей

9.1. Обработчик обязуется содействовать Оператору в исполнении следующих обязанностей перед субъектами ПД и Роскомнадзором:

  • (а) Предоставление субъекту ПД информации о его данных (по запросу Оператора);
  • (б) Уточнение, блокирование, удаление ПД по требованию субъекта (по запросу Оператора);
  • (в) Подготовка ответов на запросы Роскомнадзора (по запросу Оператора);
  • (г) Подготовка к проверкам в области защиты ПД.

9.2. Содействие оказывается Обработчиком в разумные сроки и в рамках технических возможностей.

10. Ответственность Сторон

10.1. Ответственность перед субъектами ПД и государственными органами в соответствии со ст. 17, 24 152-ФЗ несёт Оператор.

10.2. Обработчик несёт ответственность перед Оператором за нарушение требований настоящего Поручения в пределах, установленных Договором-офертой (раздел 11), и общих норм гражданского законодательства РФ.

10.3. Регрессное требование. Если Оператор был привлечён к ответственности перед субъектом ПД или государственным органом по причине доказанного нарушения Обработчиком требований настоящего Поручения, Оператор вправе предъявить Обработчику регрессное требование в пределах ограничений п. 11.1 Договора-оферты.

10.4. Заверения Оператора. Оператор заверяет Обработчика, что:

  • (а) Обладает всеми правовыми основаниями для обработки ПД, передаваемых Обработчику (получены согласия субъектов ПД, выполнены требования 152-ФЗ);
  • (б) Уведомил Роскомнадзор о намерении обрабатывать ПД (если такое уведомление обязательно по ст. 22 152-ФЗ);
  • (в) Опубликовал Политику обработки ПД на своём ресурсе в соответствии со ст. 18.1 152-ФЗ;
  • (г) В случае недостоверности заверений возмещает Обработчику убытки в полном объёме.

11. Прочие условия

11.1. Настоящее Поручение является приложением к Договору-оферте и не имеет силы без него.

11.2. Условия, не урегулированные настоящим Поручением, регулируются Договором-офертой и применимым законодательством РФ.

11.3. Поручение заключается в электронной форме и подписывается Сторонами в порядке, установленном п. 10.3 Договора-оферты (email-акцепт юридически значим).

Подписи Сторон:

Оператор: [ФИО / наименование] [ИНН] [email]

[подпись / email-акцепт с датой]

Обработчик: Коркин Егор Сергеевич ИНН 231219474294 hello@atomgram.ru

[подпись / email-акцепт с датой]

Дата заключения: «» __________ 20 г.