Передача персональных данных подрядчику: что прописать в договоре

Бизнес редко обрабатывает персональные данные полностью внутри компании. Заявки проходят через хостинг, CRM, телефонию, рассылки, бухгалтерию, колл-центр, разработчиков, маркетологов, сервисы записи, платежных агрегаторов и IT-поддержку. Поэтому вопрос передачи персональных данных подрядчику — один из ключевых по 152-ФЗ.

Передача данных подрядчику не всегда запрещена. Но она должна быть оформлена правильно. Если подрядчик действует по поручению оператора, договор должен определять цели обработки, перечень действий с данными, обязанности по конфиденциальности и защите, требования к обработчику, порядок возврата или уничтожения данных и ответственность сторон.

Оператор определяет цели обработки и состав данных. Подрядчик может выполнять отдельные действия: хранить заявки в CRM, обеспечивать хостинг, вести рассылку, принимать звонки, обрабатывать платежи, обслуживать IT-систему, вести кадровый или бухгалтерский учет. В таком случае подрядчик не должен использовать данные в собственных целях, если иное не предусмотрено законно и отдельно не оформлено.

• какие персональные данные передаются;
• цели обработки;
• конкретные действия с данными;
• обязанность соблюдать конфиденциальность;
• меры защиты персональных данных;
• запрет использовать данные в собственных целях;
• условия привлечения субподрядчиков;
• порядок возврата, удаления или уничтожения данных;
• порядок уведомления об инциденте;
• ответственность за нарушение условий обработки.

Фраза «стороны обязуются соблюдать конфиденциальность» не раскрывает поручение обработки персональных данных. Она не определяет цели, действия, сроки, меры защиты и порядок реагирования на утечку. Если произойдет инцидент у подрядчика, оператору будет сложно доказать, что он правильно организовал передачу и контролировал обработку.

Если данные утекли у подрядчика, ответственность перед субъектами и Роскомнадзором может затронуть оператора. Поэтому в договоре нужно предусмотреть обязанность подрядчика немедленно уведомить оператора об инциденте, сохранить доказательства, предоставить информацию для уведомления Роскомнадзора, содействовать внутреннему расследованию и компенсировать убытки при нарушении своих обязанностей.

Если подрядчик находится за рубежом или сервис использует иностранную инфраструктуру, нужно дополнительно проверить трансграничную передачу и локализацию при сборе данных граждан РФ. Обычный договор на SaaS не всегда закрывает требования российского законодательства. Особенно внимательно нужно относиться к зарубежным CRM, почтовым сервисам, аналитике, чатам и облачным хранилищам.

• хостинг и разработчик сайта;
• CRM и сервисы продаж;
• сервисы рассылок и call-tracking;
• бухгалтерский и кадровый аутсорсинг;
• колл-центр и служба поддержки;
• маркетинговое агентство;
• платежный агрегатор;
• облачное хранилище и сервис электронного документооборота.

Нужно составить список всех сервисов и подрядчиков, которые получают доступ к данным. Затем определить, кто из них является самостоятельным оператором, а кто действует по поручению. После этого проверить договоры и пользовательские соглашения сервисов. Если условий недостаточно, нужно подготовить дополнительное соглашение или изменить схему передачи данных.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.