Передача персональных данных подрядчику всегда несёт риски для оператора, поэтому её необходимо документально оформить. Закон требует, чтобы оператор (ваша компания) контролировал действия подрядчика и обеспечивал законность обработки. Для этого используются специальные договоры и локальные акты.
Какие документы оформляются
- Договор поручения на обработку ПДн или отдельное соглашение — основной документ, которым оператор поручает подрядчику обработку данных. В нём фиксируются цели, перечень данных, действия с ними и обязанности подрядчика по защите информации.
- Обязательства подрядчика о конфиденциальности — закрепляют персональную ответственность за несанкционированное раскрытие или использование данных.
- Перечень передаваемых ПДн — приложение к договору или отдельный документ, где конкретизируется, какие именно категории данных передаются (ФИО, телефоны, паспортные данные и т. д.).
- Внутренний приказ о передаче ПДн — фиксирует решение руководителя о предоставлении подрядчику доступа или передачи данных.
- Журнал или акт передачи ПДн — подтверждает сам факт передачи информации (особенно для бумажных документов или физических носителей).
Обоснование по законодательству
- Ст. 6 ФЗ-152 — обработка допускается только в целях, заранее определённых оператором.
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры по обеспечению выполнения подрядчиком требований к обработке и защите ПДн.
- Ст. 19 ФЗ-152 — меры по обеспечению безопасности должны соблюдаться всеми лицами, участвующими в обработке ПДн.
- Ст. 21 ФЗ-152 — оператор несёт ответственность за действия третьих лиц, обрабатывающих данные по его поручению.
Практика проверок Роскомнадзора
Роскомнадзор часто проверяет договоры с подрядчиками. Например, в одной компании договор с подрядчиком содержал только общую фразу «подрядчик вправе обрабатывать данные», без указания целей и мер защиты. Проверка признала это нарушением и выдала предписание заключить корректный договор поручения. В других случаях при отсутствии актов или журналов передачи РКН указывал, что компания не может подтвердить законность обработки.
Что важно учитывать компаниям
- Договор должен содержать все обязательные условия: цели, состав ПДн, действия подрядчика, меры защиты, порядок возврата или уничтожения данных.
- Подрядчик обязан соблюдать те же требования, что и оператор.
- Важно иметь доказательства передачи: акт, журнал, электронные логи.
- Ответственность подрядчика должна быть закреплена в договоре (штрафы, возмещение ущерба).
Рекомендации и выводы
Да, при передаче ПДн подрядчику нужны специальные документы. В минимальный комплект входят: договор поручения, обязательства о конфиденциальности, перечень данных и акты передачи. Без них оператор рискует быть признанным нарушителем, даже если утечка произошла у подрядчика.
Компания ICTech подготовит для вашей организации все необходимые документы для работы с подрядчиками: договоры, приложения, приказы и журналы. Это позволит законно передавать ПДн и исключить претензии Роскомнадзора.
