Алексей Ветров
Эксперт по защите данных IC-TECH
Если вы привлекаете сторонние компании или сервисы, которые получают доступ к персональным данным ваших клиентов/сотрудников по договору, то их нужно указать в уведомлении.
Примеры таких лиц:
провайдер хостинга (если база клиентов хранится на сервере);
дата-центр;
облачные CRM (amoCRM, Bitrix24, 1С-облако);
колл-центры или аутсорсинговые компании, работающие с базой клиентов;
бухгалтерские фирмы, которые ведут кадровый/бухгалтерский учёт и получают данные работников.
Если вы не привлекаете сторонних обработчиков (всё делаете сами), в этом поле можно указать: «Не привлекаются».
Примеры таких лиц:
провайдер хостинга (если база клиентов хранится на сервере);
дата-центр;
облачные CRM (amoCRM, Bitrix24, 1С-облако);
колл-центры или аутсорсинговые компании, работающие с базой клиентов;
бухгалтерские фирмы, которые ведут кадровый/бухгалтерский учёт и получают данные работников.
Если вы не привлекаете сторонних обработчиков (всё делаете сами), в этом поле можно указать: «Не привлекаются».
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3: обработка ПДн может быть поручена другому лицу на основании договора.
- ФЗ-152, ст. 18.1: оператор обязан включить в договор условия обеспечения конфиденциальности и безопасности ПДн.
- ФЗ-152, ст. 22, ч. 3: уведомление должно содержать сведения о лицах, осуществляющих обработку по поручению.
Как заполнять поле
- Если используете сторонние сервисы:
- укажите наименование компании и её роль.
- пример: «ООО „Битрикс24“ — предоставление облачной CRM; ООО „Selectel“ — дата-центр, хранение данных на серверах в РФ».
- Если сторонние обработчики есть, но их много (например, несколько дата-центров):
- можно указать обобщённо: «организации, предоставляющие услуги по хранению данных (дата-центры на территории РФ)» и перечислить основных.
- Если никого нет:
- пишите: «Не привлекаются».
Пример формулировки
- «ООО „Альфа-Бухгалтерия“ (ведение кадрового и бухгалтерского учёта); ООО „Selectel“ (дата-центр, хранение базы данных на территории РФ)».
- «Третьи лица для обработки персональных данных по договору не привлекаются».
Пример ситуации
Компания использует облачную CRM и хостинг в дата-центре. В уведомлении указала: «ООО „Битрикс24“, ООО „Selectel“». Проверка прошла без замечаний.
Другая компания оставила поле пустым, хотя работала через внешний колл-центр. Роскомнадзор обязал внести изменения, так как сведения были недостоверными.
Рекомендации и выводы
- Если данные обрабатывают подрядчики — обязательно укажите их.
- В договорах с ними пропишите: порядок обработки, меры безопасности, обязательство соблюдать конфиденциальность.
- Если всё обрабатывается силами компании/ИП — смело пишите «Не привлекаются».
- Нельзя оставлять поле пустым — Роскомнадзор вернёт уведомление.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
