ПроПДн

Блог · 16.06.2026

Проверка контрагента-обработчика персональных данных: зачем и как

Если вы поручаете обработку ПДн подрядчику (облако, CRM, колл-центр, бухгалтерия), он тоже обязан быть в реестре операторов. Как проверить обработчиков по ИНН списком и почему это снижает ваш риск по 152-ФЗ.

Передавая обработку персональных данных подрядчику, вы не снимаете с себя ответственность перед людьми, чьи это данные. По 152-ФЗ вы остаётесь оператором, а подрядчик становится обработчиком по поручению — и он тоже обязан соблюдать требования к защите данных и, как правило, состоять в реестре операторов. Проверять обработчиков — часть вашей собственной защиты от штрафов.

Кто такой обработчик персональных данных

Это любое лицо, которому вы поручаете действия с данными ваших клиентов или сотрудников:

  • облачный хостинг и SaaS, где лежит ваша база (CRM, почтовый сервис, хранилище);
  • колл-центр или служба поддержки на аутсорсе;
  • бухгалтерский и кадровый аутсорс;
  • сервис рассылок, аналитики, платёжный провайдер;
  • подрядчик по разработке, у которого есть доступ к продакшен-базе.

Почему это ваш риск, а не только их

При утечке или проверке Роскомнадзор спросит у вас, кому и на каком основании вы передали данные и убедились ли, что обработчик обеспечивает их защиту. Поручение обработки оформляется договором с обязательными условиями (ст. 6 ч. 3 152-ФЗ). Если обработчик не в реестре и не выполняет требований — претензии прилетят и вам как оператору.

Как проверить обработчиков по ИНН

По одному ИНН — на главной за секунду. Но если подрядчиков много (а обычно это десяток: хостинг, CRM, рассылка, бухгалтерия, поддержка…), удобнее проверить всех сразу. Вставляете список ИНН — получаете таблицу: кто из обработчиков есть в реестре операторов ПДн, а кто нет, плюс выгрузку в CSV для досье поставщиков.

Нюанс: массовая проверка работает по ИНН организаций (10 цифр). Подрядчиков-физлиц и ИП реестр по ИНН не отдаёт — их проверяют по ФИО по одному.

Что делать, если обработчик не в реестре

  • запросить у него подтверждение, что уведомление подано (или находится на рассмотрении);
  • проверить, что договор поручения содержит обязательные условия о защите данных;
  • при отказе или молчании — пересмотреть условия передачи данных или сменить подрядчика.

Отсутствие подрядчика в реестре — не приговор, но это флаг: разберитесь до того, как им займётся проверка.