Как проверить соглашение об обработке данных (DPA) перед корпоративной подпиской на SaaS-сервис
Проверить соглашение об обработке данных (DPA, Data Processing Agreement) до подписания корпоративной подписки на SaaS-сервис — это прямая обязанность оператора персональных данных по 152-ФЗ. DPA фиксирует, как
Короткий вывод: зачем проверять DPA до подписания
На duubesoft.com мы ежегодно анализируем десятки облачных контрактов и видим типичную проблему: большинство провайдеров предлагают DPA, составленный в интересах поставщика, а не заказчика. По нашим наблюдениям, более 60% стандартных шаблонов не покрывают все требования 152-ФЗ.
Ниже — пошаговое руководство, которое позволит юристу и ИТ-директору проверить каждый критический пункт DPA до подписания.
Чем соглашение об обработке данных отличается от основного SaaS-договора
Многие компании путают основной SaaS-контракт с DPA. Это два принципиально разных документа, и первым шагом к безопасной подписке является понимание их различий.
1. Предмет регулирования. Основной договор описывает условия предоставления сервиса: функционал, стоимость, SLA, порядок оплаты и техническую поддержку. DPA регулирует исключительно обработку персональных и конфиденциальных данных. По сути, это юридическая гарантия того, что данные будут обрабатываться законно и безопасно.
2. Распределение ответственности. В основном договоре провайдер отвечает за доступность сервиса. В DPA оператор (ваша компания) сохраняет полную ответственность за законность обработки, даже если инцидент произошёл на стороне обработчика. Это ключевое отличие, которое многие упускают.
3. Юридическая сила. DPA часто является приложением к основному договору, но может действовать как самостоятельный документ. Проверьте ссылочную структуру: если DPA ссылается на Terms of Service, убедитесь, что вы подписываете оба документа.
4. Регуляторный контекст. Основной договор может не содержать упоминаний законодательства о защите данных. DPA обязан соответствовать 152-ФЗ (для российских операторов) или GDPR (при обработке данных граждан ЕС). Отсутствие прямых ссылок на нормативные акты — уже повод для беспокойства.
12 пунктов DPA, требующих обязательной проверки
Мы выделили 12 критических зон, каждая из которых требует отдельного внимания. Рекомендуем проверять их последовательно — от определений до порядка расторжения.
1. Определения и сфера действия. Проверьте, какое определение «персональных данных» используется в DPA. Провайдер может ссылаться на 152-ФЗ, на GDPR или дать собственное расширенное определение. Убедитесь, что определение покрывает все категории данных, которые вы планируете передавать.
2. Роль сторон (оператор / обработчик). DPA должен чётко зафиксировать, что провайдер действует исключительно по вашему поручению. Если формулировка допускает самостоятельную обработку данных для целей провайдера — это критичный риск, требующий немедленного редактирования.
3. Перечень обрабатываемых данных. Хороший DPA содержит приложение с перечнем категорий данных: контактные сведения, платёжная информация, логи, идентификаторы. Отсутствие такого приложения означает, что вы не контролируете объём передаваемой информации.
4. Цели обработки. Цели должны быть конкретными: «предоставление функционала сервиса», «техническая поддержка», «обеспечение безопасности». Формулировка «и иные цели по усмотрению Обработчика» — серьёзный red flag, который необходимо удалить или ограничить.
5. Подпроцессоры (sub-processors). Проверьте список субподрядчиков, которым провайдер передаёт данные. Обратите внимание на юрисдикцию каждого подпроцессора. Мы рекомендуем включить в DPA условие об обязательном уведомлении за 30 дней до привлечения нового подпроцессора и право на возражение.
6. Передача данных за рубеж. Если данные покидают территорию РФ, возникает обязанность по оценке рисков передачи. Проверьте наличие ссылки на стандартные договорные положения (SCC) или иной механизм легализации. Подробнее об этом читайте в нашем материале «Перенос данных: чек-лист и риски».
7. Меры безопасности. DPA должен содержать конкретный перечень мер: шифрование при передаче и хранении (AES-256 или аналог), управление доступом по модели RBAC, регулярное тестирование на проникновение. Абстрактные формулировки вроде «надлежащих мер» недостаточны — требуйте конкретики.
8. Срок хранения и удаление данных. После расторжения контракта провайдер должен хранить данные не более 30 дней с последующим безвозвратным удалением. Идеальный вариант — предоставление сертификата об уничтожении в течение 7 дней после удаления.
9. Уведомление об инцидентах. По 152-ФЗ оператор обязан уведомить Роскомнадзор в течение 24 часов, а пострадавших субъектов — в течение 72 часов. DPA должен зафиксировать, в какой срок провайдер сообщит вам об инциденте. Рекомендуемый показатель — не более 48 часов.
10. Аудит и отчётность. Проверьте, есть ли у вас право на аудит обработки данных (включая привлечение независимого аудитора). DPA должен предусматривать регулярные отчёты — не реже одного раза в год. Также стоит заранее ознакомиться с нашими материалами о проверке соответствия облачного сервиса 152-ФЗ и проверке сертификации ISO 27001 перед оплатой.
11. Штрафы и ответственность. Определите механизм ответственности за нарушение DPA. Штрафы по 152-ФЗ для юридических лиц достигают 18 млн рублей, по GDPR — до 20 млн евро или 4% годового оборота. DPA должен ясно определять ответственность провайдера за утечку и порядок компенсации убытков.
12. Порядок расторжения и возврата данных. При завершении контракта провайдер обязан вернуть все данные в машиночитаемом формате (JSON, CSV или XML) и удалить свои копии. Срок возврата — не более 14 календарных дней.
Таблица проверки ключевых разделов DPA по критериям безопасности
Для системной оценки DPA мы рекомендуем использовать структурированный подход. Вот основные шаги подготовки: определите перечень критических параметров, сопоставьте их с минимальными и рекомендуемыми значениями, зафиксируйте результаты в рабочей таблице. Ниже — готовый шаблон, который можно адаптировать под конкретный сервис.
| Параметр | Минимальное требование | Рекомендуемое значение | Красный флаг |
|---|---|---|---|
| Срок хранения после расторжения | Не более 90 дней | Не более 30 дней | Более 90 дней или не указан |
| Уведомление об инциденте | Не более 72 часов | Не более 48 часов | Отсутствие пункта в DPA |
| Шифрование | При передаче (TLS 1.2+) | При передаче и хранении (AES-256) | Нет упоминания шифрования |
| Право на аудит | По запросу заказчика | Раз в год + по запросу | Полный отказ от аудита |
| Список подпроцессоров | Доступен по запросу | В приложении к DPA, обновляемый | Полное отсутствие информации |
| Формат экспорта данных | CSV | JSON или XML | Закрытый формат |
Риски подписания без проверки: штуты, утечки и юридические последствия
Пропуск проверки DPA — это не формальность, а реальный финансовый и юридический риск. Ниже три основных последствия, с которыми сталкиваются компании, подписавшие соглашение без анализа.
1. Штрафы регуляторов. В России максимальный штраф по 152-ФЗ достигает 18 млн рублей для юридических лиц. В ЕС штрафы по GDPR составляют до 20 млн евро или 4% глобальной выручки. Если ваша компания обрабатывает данные граждан ЕС, непроверенный DPA может стать основанием для максимального наказания.
2. Утечки и репутационный ущерб. По данным Verizon Data Breach Investigations Report за 2024 год, около 68% инцидентов связаны с ошибками сторонних поставщиков. Если DPA не содержит чётких обязательств по уведомлению и компенсации, взыскать убытки с провайдера будет крайне сложно.
3. Блокировка данных. При расторжении контракта вы можете столкнуться с ситуацией, когда провайдер не предоставляет данные в нужном формате или устанавливает нереалистичные сроки. Это критично для бизнес-процессов и может обернуться длительными простоями.
> По данным Роскомнадзора, в 2024 году средний штраф за нарушение 152-ФЗ составил около 2,5 млн рублей, при этом максимальный размер санкций достигал 15 млн рублей за один эпизод нарушения.
Что такое DPA и почему он обязателен для корпоративных подписок?
DPA (Data Processing Agreement) — это соглашение об обработке данных между оператором и обработчиком. В России его наличие обязательно по 152-ФЗ, если компания передаёт персональные данные третьей стороне. Без подписанного DPA вы не сможете легально использовать облачный сервис для обработки данных сотрудников или клиентов.
Можно ли подписывать стандартный DPA от провайдера без правок?
Технически это возможно, но юридически — это высокий риск. Стандартные DPA редко учитывают специфику российского законодательства и защищают интересы провайдера. Мы рекомендуем всегда проверять соглашение по 12 пунктам и вносить изменения в критические разделы перед подписанием.
Кто несёт ответственность за утечку данных через SaaS-сервис?
Ответственность оператора (вашей компании) сохраняется даже если утечка произошла по вине провайдера. DPA может перераспределить часть ответственности через механизм компенсации, но для этого соглашение нужно правильно составить. Именно поэтому проверка DPA — совместная задача юриста и ИТ-директора.
Практический контекст — Поддержка после запуска в 2026 году.