Передача персональных данных подрядчику (например, бухгалтерии на аутсорсе, маркетинговому агентству, охранной фирме) — это всегда зона риска. Чтобы такая передача была законной, оператор обязан документально подтвердить основания и порядок обработки.
Ключевые документы, которые подтверждают законность передачи:
- Согласия субъектов ПДн — если передача подрядчику не вытекает из закона или договора напрямую, необходимо отдельное согласие с указанием третьего лица, которому данные передаются.
- Договор с подрядчиком — должен содержать:
- цели обработки и конкретный перечень передаваемых данных;
- обязанности подрядчика соблюдать ФЗ-152;
- меры по защите ПДн (ссылки на ст. 19 ФЗ-152);
- ответственность за нарушения.
- Перечень обрабатываемых ПДн — где отражено, что определённые категории данных могут передаваться подрядчикам.
- Приказ о передаче ПДн подрядчику (или распоряжение) — внутренний документ, фиксирующий решение оператора.
- Журнал передачи ПДн — подтверждает факт передачи и её законность.
- Политика обработки ПДн — должна содержать упоминание о возможности передачи данных третьим лицам.
Обоснование по законодательству
- Ст. 6 ФЗ-152, ч. 1, п. 3, 5, 6 — допускают обработку и передачу данных для исполнения договора, исполнения закона, осуществления правосудия и иных целей без отдельного согласия.
- Ст. 9 ФЗ-152 — согласие обязательно, если передача не подпадает под исключения.
- Ст. 18.1 ФЗ-152 — обязывает оператора закреплять порядок передачи ПДн в локальных актах.
- Ст. 19 ФЗ-152 — требует организационных и технических мер защиты при передаче.
Практика Роскомнадзора
В одном случае компания передавала данные клиентов подрядчику для маркетинга без согласия и без договора — РКН квалифицировал это как незаконную обработку. В другой организации был оформлен договор с подрядчиком с чётким перечнем данных и обязанностями по ФЗ-152, плюс согласия клиентов — нарушений не выявили.
Что важно учитывать
- Если подрядчик сам становится оператором (например, маркетинговое агентство), согласие субъектов обязательно.
- Если подрядчик обрабатывает данные по поручению (например, бухгалтерия), важно, чтобы в договоре был прописан режим обработки и защита ПДн.
- Передача должна фиксироваться в документах: журналы, приказы, перечни.
Рекомендации и выводы
Да, для законной передачи ПДн подрядчику необходим комплект документов: согласия (если требуются), договор с условиями по ФЗ-152, внутренние приказы и журналы. Чтобы избежать претензий Роскомнадзора:
- Всегда прописывайте в договорах с подрядчиками условия обработки и защиты ПДн.
- Получайте согласия субъектов, если подрядчик не действует как ваш уполномоченный обработчик.
- Ведите журналы передачи и храните приказы для проверки.
Компания ICTech поможет вашей организации подготовить все документы для законной передачи ПДн подрядчику — от форм согласий до специальных условий в договорах. Это снизит риски нарушений и обеспечит прозрачность работы с данными.
