Бизнес редко обрабатывает персональные данные полностью внутри компании. Заявки проходят через хостинг, CRM, телефонию, рассылки, бухгалтерию, колл-центр, разработчиков, маркетологов, сервисы записи, платежных агрегаторов и IT-поддержку. Поэтому вопрос передачи персональных данных подрядчику — один из ключевых по 152-ФЗ.
Передача данных подрядчику не всегда запрещена. Но она должна быть оформлена правильно. Если подрядчик действует по поручению оператора, договор должен определять цели обработки, перечень действий с данными, обязанности по конфиденциальности и защите, требования к обработчику, порядок возврата или уничтожения данных и ответственность сторон.
Оператор определяет цели обработки и состав данных. Подрядчик может выполнять отдельные действия: хранить заявки в CRM, обеспечивать хостинг, вести рассылку, принимать звонки, обрабатывать платежи, обслуживать IT-систему, вести кадровый или бухгалтерский учет. В таком случае подрядчик не должен использовать данные в собственных целях, если иное не предусмотрено законно и отдельно не оформлено.
Фраза «стороны обязуются соблюдать конфиденциальность» не раскрывает поручение обработки персональных данных. Она не определяет цели, действия, сроки, меры защиты и порядок реагирования на утечку. Если произойдет инцидент у подрядчика, оператору будет сложно доказать, что он правильно организовал передачу и контролировал обработку.
Если данные утекли у подрядчика, ответственность перед субъектами и Роскомнадзором может затронуть оператора. Поэтому в договоре нужно предусмотреть обязанность подрядчика немедленно уведомить оператора об инциденте, сохранить доказательства, предоставить информацию для уведомления Роскомнадзора, содействовать внутреннему расследованию и компенсировать убытки при нарушении своих обязанностей.
Если подрядчик находится за рубежом или сервис использует иностранную инфраструктуру, нужно дополнительно проверить трансграничную передачу и локализацию при сборе данных граждан РФ. Обычный договор на SaaS не всегда закрывает требования российского законодательства. Особенно внимательно нужно относиться к зарубежным CRM, почтовым сервисам, аналитике, чатам и облачным хранилищам.
Нужно составить список всех сервисов и подрядчиков, которые получают доступ к данным. Затем определить, кто из них является самостоятельным оператором, а кто действует по поручению. После этого проверить договоры и пользовательские соглашения сервисов. Если условий недостаточно, нужно подготовить дополнительное соглашение или изменить схему передачи данных.
Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.
"