Какие документы подтверждают законность передачи ПДн подрядчику?

Передача персональных данных подрядчику (например, бухгалтерии на аутсорсе, маркетинговому агентству, охранной фирме) — это всегда зона риска. Чтобы такая передача была законной, оператор обязан документально подтвердить основания и порядок обработки.

Ключевые документы, которые подтверждают законность передачи:

1. Согласия субъектов ПДн — если передача подрядчику не вытекает из закона или договора напрямую, необходимо отдельное согласие с указанием третьего лица, которому данные передаются.
2. Договор с подрядчиком — должен содержать:
   • цели обработки и конкретный перечень передаваемых данных;
   • обязанности подрядчика соблюдать ФЗ-152;
   • меры по защите ПДн (ссылки на ст. 19 ФЗ-152);
   • ответственность за нарушения.
3. Перечень обрабатываемых ПДн — где отражено, что определённые категории данных могут передаваться подрядчикам.
4. Приказ о передаче ПДн подрядчику (или распоряжение) — внутренний документ, фиксирующий решение оператора.
5. Журнал передачи ПДн — подтверждает факт передачи и её законность.
6. Политика обработки ПДн — должна содержать упоминание о возможности передачи данных третьим лицам.

Обоснование по законодательству

• Ст. 6 ФЗ-152, ч. 1, п. 3, 5, 6 — допускают обработку и передачу данных для исполнения договора, исполнения закона, осуществления правосудия и иных целей без отдельного согласия.
• Ст. 9 ФЗ-152 — согласие обязательно, если передача не подпадает под исключения.
• Ст. 18.1 ФЗ-152 — обязывает оператора закреплять порядок передачи ПДн в локальных актах.
• Ст. 19 ФЗ-152 — требует организационных и технических мер защиты при передаче.

Практика Роскомнадзора

В одном случае компания передавала данные клиентов подрядчику для маркетинга без согласия и без договора — РКН квалифицировал это как незаконную обработку. В другой организации был оформлен договор с подрядчиком с чётким перечнем данных и обязанностями по ФЗ-152, плюс согласия клиентов — нарушений не выявили.

Что важно учитывать

• Если подрядчик сам становится оператором (например, маркетинговое агентство), согласие субъектов обязательно.
• Если подрядчик обрабатывает данные по поручению (например, бухгалтерия), важно, чтобы в договоре был прописан режим обработки и защита ПДн.
• Передача должна фиксироваться в документах: журналы, приказы, перечни.

Рекомендации и выводы

Да, для законной передачи ПДн подрядчику необходим комплект документов: согласия (если требуются), договор с условиями по ФЗ-152, внутренние приказы и журналы. Чтобы избежать претензий Роскомнадзора:

1. Всегда прописывайте в договорах с подрядчиками условия обработки и защиты ПДн.
2. Получайте согласия субъектов, если подрядчик не действует как ваш уполномоченный обработчик.
3. Ведите журналы передачи и храните приказы для проверки.

Компания ICTech поможет вашей организации подготовить все документы для законной передачи ПДн подрядчику — от форм согласий до специальных условий в договорах. Это снизит риски нарушений и обеспечит прозрачность работы с данными.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге