Алексей Ветров
Эксперт по защите данных IC-TECH
Передача персональных данных по договору аутсорсинга отражается в уведомлении в разделе «лица, осуществляющие обработку персональных данных по поручению оператора». При этом оператором всегда остаётся сама организация или ИП, потому что именно они определяют цели и состав данных. Подрядчик (аутсорсер) указывается как лицо, которому поручена обработка по договору.
Обоснование по законодательству
- Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку другому лицу на основании договора.
- Ст. 22 ФЗ-152: в уведомлении должны быть указаны сведения о лицах, осуществляющих обработку по поручению.
- Ст. 18.1 ФЗ-152: оператор отвечает за организацию обработки и выбор подрядчика, обязующегося обеспечивать безопасность данных.
Как правильно указать в уведомлении
В соответствующем разделе можно написать, например:
«ООО «Бухгалтерия-Аутсорс», ИНН ХХХХХХХХХ, оказывающее услуги по ведению бухгалтерского учёта, в рамках договора об оказании услуг от 01.01.2025 № 5».
Или:
«ООО «ИТ-Сервис», ИНН ХХХХХХХХХ, оказывающее услуги по сопровождению и администрированию серверов оператора».
Если подрядчик использует серверы за пределами РФ, это дополнительно указывается в пункте о трансграничной передаче.
Рекомендации и выводы
Указывать подрядчиков в уведомлении необходимо. При этом сам договор с аутсорсером должен содержать отдельный раздел о защите ПДн: цели, перечень передаваемых данных, меры безопасности, порядок уничтожения данных после окончания договора. Это позволит соблюсти требования закона и снять вопросы у Роскомнадзора.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
