Современный бизнес невозможен без аутсорсинга. Бухгалтерия, колл-центры, облачные хранилища, службы доставки — все эти подрядчики получают доступ к данным ваших клиентов или сотрудников. В терминах закона 152-ФЗ вы являетесь Оператором, а подрядчик — Лицом, осуществляющим обработку по поручению (Обработчиком или Процессором). Простого договора оказания услуг здесь недостаточно. Поручение обработки персональных данных — это обязательный элемент правовой конструкции, отсутствие которого грозит штрафами и утечками, за которые отвечать будете именно вы.
Положения части 3 статьи 6 Федерального закона № 152-ФЗ устанавливают жесткие требования к договору между Оператором и Обработчиком. Если вы передаете базу данных курьерской службе без специальной оговорки или отдельного соглашения (DPA — Data Processing Agreement), вы совершаете незаконную передачу данных. Более того, Оператор несет ответственность перед субъектом данных за действия Обработчика, как за свои собственные.
Существенные условия Договора поручения
Соглашение о поручении обработки должно содержать конкретный набор условий, без которых оно считается недействительным:
- Цель обработки. Подрядчик не имеет права использовать данные в своих интересах (например, ваш колл-центр не может слать свою рекламу по вашей базе).
- Перечень действий. Что именно подрядчик может делать: только хранить, или изменять, или уничтожать?
- Обязанность соблюдать конфиденциальность. Это база.
- Требования к защите (ст. 19). Оператор обязан прописать, какие меры безопасности (шифрование, пароли) должен применять подрядчик.
- Обязанность по запросам. Подрядчик должен помогать Оператору отвечать на запросы граждан (например, удалить данные по требованию).
Распределение ответственности: Оператор vs Обработчик
Это самый тонкий момент. По закону перед гражданином (субъектом) отвечает Оператор.
То есть, если курьерская служба потеряла флешку с данными ваших клиентов:
1. Клиент подает в суд на вас.
2. Роскомнадзор штрафует вас.
3. Вы платите, а потом пытаетесь взыскать убытки с курьерской службы (регресс).
Чтобы регресс сработал, договор поручения обработки персональных данных должен содержать четкие условия о возмещении убытков и штрафов, возникших по вине Обработчика. Если договор типовой и ответственность подрядчика в нем ограничена (например, 10 000 рублей), вы понесете колоссальные потери.
Иностранные подрядчики (Cloud & SaaS)
Если вы используете зарубежные сервисы (Mailchimp, AWS, Google), они выступают Обработчиками.
Здесь возникают сложности:
- Иностранные компании работают по своим офертам (DPA), которые составлены по GDPR или законам США, а не по 152-ФЗ.
- Требование локализации: если иностранный процессор хранит данные только за рубежом, ответственность за нарушение локализации ложится на вас.
Мы анализируем оферты вендоров и помогаем выстроить легальную схему работы, при необходимости подписывая дополнительные соглашения (Amendment) или меняя архитектуру потоков данных.
Правильно составленное Поручение — это ваш щит. Оно превращает бесконтрольную передачу информации в управляемый процесс с понятными зонами ответственности и финансовыми гарантиями.
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов