Алексей Ветров
Эксперт по защите данных IC-TECH
Передача персональных данных подрядчику допустима только при наличии законных оснований и документального подтверждения согласования такой передачи. Это необходимо, чтобы продемонстрировать, что оператор контролирует процесс обработки ПДн даже у сторонних лиц.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 1 — обработка ПДн возможна только с согласия субъекта или при наличии иных законных оснований.
- ФЗ-152, ст. 18.1, ч. 3 — оператор обязан обеспечивать внутренний контроль за соблюдением требований по передаче ПДн.
- ФЗ-152, ст. 19, ч. 3 — при поручении обработки ПДн подрядчику должен быть заключён договор, в котором определяются условия обеспечения конфиденциальности и безопасности данных.
- ГК РФ, ст. 421 и ст. 432 — договоры должны заключаться в письменной форме и содержать существенные условия, если от этого зависит правомерность передачи информации.
Документы, которые подтверждают согласование передачи
- Согласие субъекта ПДн — если передача подрядчику не предусмотрена законом или договором, требуется отдельное согласие субъекта.
- Договор с подрядчиком — обязательно должен содержать раздел о порядке обработки ПДн, включая обязанности по их защите.
- Приложение или дополнительное соглашение к договору — конкретизирует виды данных, порядок передачи, меры защиты.
- Приказ или распоряжение руководителя — внутренний документ, подтверждающий согласование передачи данных подрядчику.
- Акт передачи ПДн — фиксирует факт передачи конкретных данных подрядчику.
- Реестр подрядчиков по обработке ПДн — внутренний документ, где отражаются все организации, которым передаются данные.
Практика проверок Роскомнадзора
Роскомнадзор регулярно указывает, что простого заключения договора с подрядчиком недостаточно. Важно, чтобы в договоре было прописано, какие именно данные передаются, цели и меры защиты. На практике выявлялись случаи, когда компании ограничивались общими фразами вроде «подрядчик обязуется соблюдать законодательство о ПДн», и это признавалось нарушением.
Рекомендации и выводы
Для того чтобы передача ПДн подрядчику была признана законной, компания должна иметь:
- согласие субъекта (если оно требуется);
- договор или соглашение с подрядчиком с чётким описанием условий обработки;
- внутренний приказ или распоряжение о согласовании передачи;
- акт передачи и реестр подрядчиков.
Компания ICTech разработает для вас полный комплект документов для законной передачи ПДн подрядчикам: согласия, договорные формулировки, акты и внутренние приказы. Это позволит избежать претензий регулятора и обеспечить прозрачность взаимодействия с внешними организациями.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
