Современный бизнес невозможен без аутсорсинга. Бухгалтерия, колл-центры, облачные хранилища, службы доставки — все эти подрядчики получают доступ к данным ваших клиентов или сотрудников. В терминах закона 152-ФЗ вы являетесь Оператором, а подрядчик — Лицом, осуществляющим обработку по поручению (Обработчиком или Процессором). Простого договора оказания услуг здесь недостаточно. Поручение обработки персональных данных — это обязательный элемент правовой конструкции, отсутствие которого грозит штрафами и утечками, за которые отвечать будете именно вы.

Положения части 3 статьи 6 Федерального закона № 152-ФЗ устанавливают жесткие требования к договору между Оператором и Обработчиком. Если вы передаете базу данных курьерской службе без специальной оговорки или отдельного соглашения (DPA — Data Processing Agreement), вы совершаете незаконную передачу данных. Более того, Оператор несет ответственность перед субъектом данных за действия Обработчика, как за свои собственные.

Существенные условия Договора поручения

Соглашение о поручении обработки должно содержать конкретный набор условий, без которых оно считается недействительным:

  • Цель обработки. Подрядчик не имеет права использовать данные в своих интересах (например, ваш колл-центр не может слать свою рекламу по вашей базе).
  • Перечень действий. Что именно подрядчик может делать: только хранить, или изменять, или уничтожать?
  • Обязанность соблюдать конфиденциальность. Это база.
  • Требования к защите (ст. 19). Оператор обязан прописать, какие меры безопасности (шифрование, пароли) должен применять подрядчик.
  • Обязанность по запросам. Подрядчик должен помогать Оператору отвечать на запросы граждан (например, удалить данные по требованию).

Распределение ответственности: Оператор vs Обработчик

Это самый тонкий момент. По закону перед гражданином (субъектом) отвечает Оператор.
То есть, если курьерская служба потеряла флешку с данными ваших клиентов:
1. Клиент подает в суд на вас.
2. Роскомнадзор штрафует вас.
3. Вы платите, а потом пытаетесь взыскать убытки с курьерской службы (регресс).

Чтобы регресс сработал, договор поручения обработки персональных данных должен содержать четкие условия о возмещении убытков и штрафов, возникших по вине Обработчика. Если договор типовой и ответственность подрядчика в нем ограничена (например, 10 000 рублей), вы понесете колоссальные потери.

Иностранные подрядчики (Cloud & SaaS)

Если вы используете зарубежные сервисы (Mailchimp, AWS, Google), они выступают Обработчиками.
Здесь возникают сложности:

  1. Иностранные компании работают по своим офертам (DPA), которые составлены по GDPR или законам США, а не по 152-ФЗ.
  2. Требование локализации: если иностранный процессор хранит данные только за рубежом, ответственность за нарушение локализации ложится на вас.

Мы анализируем оферты вендоров и помогаем выстроить легальную схему работы, при необходимости подписывая дополнительные соглашения (Amendment) или меняя архитектуру потоков данных.

Правильно составленное Поручение — это ваш щит. Оно превращает бесконтрольную передачу информации в управляемый процесс с понятными зонами ответственности и финансовыми гарантиями.

VFS Consulting Юридические решения нового поколения
Поручение обработки персональных данных: договор с подрядчиком
+7 (495) 266-06-93
  • Юридическая помощь в решении проблемных ситуаций
  • Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов

    Получить консультацию

    Кейсы из практики

    it

    Ответственность при утечке в колл-центре на аутсорсе

    Интернет-магазин передал базу клиентов в колл-центр для обзвона. По вине сотрудника колл-центра база утекла в сеть. Роскомнадзор предъявил претензии магазину (Оператору). Благодаря тому, что ранее мы составили детальный договор поручения обработки, в котором была зафиксирована обязанность Обработчика соблюдать меры безопасности и полная материальная ответственность, клиент смог перевыставить штрафы и убытки подрядчику в порядке регресса.

    Результат

    Убытки полностью компенсированы подрядчиком, репутация магазина защищена.

    it

    Настройка отношений с облачным провайдером HR-сервиса

    Крупный холдинг переходил на использование SaaS-решения для кадрового учета. Вендор предлагал стандартную оферту, которая не учитывала требования ст. 18.1 152-ФЗ в части локализации и обязанности уничтожения данных по запросу Оператора. Мы провели переговоры и добились подписания дополнительного соглашения о поручении обработки данных (DPA), включив туда жесткие SLA по удалению данных уволенных сотрудников.

    Результат

    Риски нарушения законодательства устранены, процесс автоматизации HR запущен.

    Часто задаваемые вопросы

    Ответы юриста о передаче данных на аутсорсинг.

    Нужно ли получать согласие субъекта на поручение обработки?
    Да, в согласии на обработку, которое вы берете у клиента или сотрудника, должно быть прямо указано, что вы имеете право поручать обработку третьим лицам. Желательно указывать категории этих лиц (банк, курьер, IT-провайдер).
    Несет ли Обработчик ответственность напрямую перед Роскомнадзором?
    С 1 сентября 2022 года в закон внесены изменения: иностранные обработчики несут ответственность напрямую. Российские обработчики отвечают перед Оператором, но за нарушение требований безопасности (ст. 19) могут быть привлечены и регулятором.
    Как проверить, соблюдает ли подрядчик меры безопасности?
    Оператор имеет право (и обязанность) контролировать Обработчика. В договоре мы прописываем право на аудит: вы можете запросить документы или провести проверку систем безопасности подрядчика. Без этого вы действуете на свой страх и риск.

    Консультация юриста

    Заполните форму, и наш эксперт свяжется с вами для бесплатной консультации





      Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности