Алексей Ветров
Эксперт по защите данных IC-TECH
Когда оператор передаёт персональные данные подрядчику, в договор включается специальный раздел или отдельное приложение. Такой документ позволяет конкретизировать условия передачи и обработки ПДн, что снижает риски и демонстрирует соблюдение требований ФЗ-152.
Обоснование по законодательству
- ФЗ-152, ст. 6 — обработка ПДн допускается только с согласия субъекта или на ином законном основании.
- ФЗ-152, ст. 19, ч. 3 — оператор обязан предусмотреть в договоре с подрядчиком обязанности по соблюдению конфиденциальности и обеспечению безопасности ПДн.
- ФЗ-152, ст. 18.1 — оператор должен организовать внутренний контроль за передачей ПДн.
Что должно содержать приложение
- Перечень передаваемых данных — например, ФИО, паспортные данные, адрес, телефон.
- Цели обработки подрядчиком — выполнение услуг, сопровождение, бухгалтерия, ИТ-поддержка.
- Правовое основание передачи — согласие субъекта или указание на закон/договор.
- Порядок и форма передачи — на бумажных носителях, по защищённым каналам связи.
- Обязанности подрядчика — хранить данные, не передавать третьим лицам, соблюдать режим конфиденциальности.
- Сроки обработки — срок оказания услуг или конкретный период хранения.
- Меры защиты — ссылки на использование средств защиты, организационные и технические меры.
- Ответственность — последствия утечки, штрафные санкции, порядок возмещения ущерба.
Практика проверок Роскомнадзора
При проверках Роскомнадзор часто указывает, что формулировки в договорах должны быть конкретными. Общая фраза «подрядчик обязуется соблюдать закон о ПДн» признаётся недостаточной. Проверяющие требуют видеть полный перечень передаваемых данных и чётко прописанные цели их обработки. В ряде случаев организации штрафовали за то, что приложение к договору отсутствовало, хотя фактически данные передавались подрядчику.
Рекомендации и выводы
Приложение к договору о передаче ПДн лучше оформлять отдельным документом, чтобы:
- можно было актуализировать перечень данных без переписывания всего договора;
- в одном месте фиксировались цели, объём и сроки обработки;
- подрядчик был обязан соблюдать конкретные меры защиты.
Компания ICTech поможет вашей организации подготовить правильные приложения к договорам, включающие все необходимые реквизиты, чтобы минимизировать риски и исключить претензии регулятора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
