Нужно ли показывать Роскомнадзору договоры с подрядчиками

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, при проверке Роскомнадзора организация должна быть готова предоставить информацию о договорах с подрядчиками, если они связаны с обработкой персональных данных. Инспекторы оценивают, каким образом организация контролирует передачу данных третьим лицам и соблюдение ими требований 152-ФЗ. В договорах должны быть прописаны обязанности подрядчиков по защите персональных данных, ответственность за нарушения, порядок использования и хранения информации, а также условия прекращения обработки. Даже если подрядчик не обрабатывает данные напрямую, но имеет доступ к информационным системам, Роскомнадзор может запросить договор или приложение к нему, подтверждающее соблюдение мер безопасности. Наличие корректных договоров демонстрирует добросовестность организации и снижает риск наложения штрафов за передачу данных третьим лицам без должного контроля.

Обоснование по законодательству

— Федеральный закон №152-ФЗ «О персональных данных» — ст. 19 (права субъектов данных), ст. 24 (обеспечение мер по защите персональных данных при передаче третьим лицам).
— Приказ Роскомнадзора от 1 июня 2017 г. №136 — регламентирует требования к пакетам документов и проверочным материалам, включая договора с подрядчиками.
— Методические рекомендации Роскомнадзора по проверке соблюдения 152-ФЗ при работе с третьими лицами.

Типичные ошибки организаций

— Не включают обязательные пункты о защите персональных данных в договоры с подрядчиками.
— Сотрудничают с подрядчиками без контроля их мер безопасности и соблюдения законодательства.
— Не фиксируют передачи данных в договорах или приложениях, что делает невозможным доказать добросовестность при проверке.

Практические особенности

Роскомнадзор особенно внимательно проверяет договоры с IT-подрядчиками, облачными сервисами, маркетинговыми агентствами и другими организациями, которые имеют доступ к персональным данным. Важно, чтобы договоры включали пункты о конфиденциальности, ограничении целей обработки, ответственности за утечку или нарушение закона, а также требования по возврату или уничтожению данных по окончании сотрудничества. При подготовке к проверке полезно систематизировать все договора с подрядчиками и иметь их в доступном для инспекторов виде.

Рекомендации и выводы

1. Проверьте все договора с подрядчиками, имеющими доступ к персональным данным.

2. Убедитесь, что в договорах прописаны обязанности по защите данных, ответственность и меры безопасности.

3. Подготовьте копии договоров для предоставления инспекторам при проверке.

4. Организуйте контроль соблюдения подрядчиками требований 152-ФЗ на практике.

5. Использование услуги ICTech «Разработка комплекта документов по защите персональных данных 152-ФЗ для организаций» позволит подготовить корректные договора и приложения, обеспечивая соответствие законодательству и минимизацию рисков штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге