Обоснование по законодательству
- Ст. 6 ФЗ-152: обработка допускается на основании договора, заключённого с оператором.
- Ст. 18.1 ФЗ-152: оператор обязан обеспечить выполнение подрядчиком требований по защите ПДн.
- Ст. 22 ФЗ-152: в уведомлении отражаются сведения о лицах, обрабатывающих ПДн по поручению оператора.
Пример заполнения уведомления
Цели обработки: остаются те же, что и у самого оператора (например, «ведение бухгалтерского и налогового учёта», «подготовка, заключение и исполнение гражданско-правового договора»).
Категории субъектов: клиенты, сотрудники.
Перечень данных: ФИО, телефон, e-mail, адрес доставки, реквизиты договора, бухгалтерские данные.
Лица, обрабатывающие ПДн по поручению:
– «аутсорсинговая бухгалтерская компания (по договору)»;
– «хостинг-провайдер (по договору)»;
– «CRM-провайдер (по договору)».
Место хранения: серверы подрядчика (РФ или за рубежом — при зарубежных серверах обязательно указывается трансграничная передача).
Рекомендации и выводы
При работе с подрядчиками оператор несёт ответственность за ПДн так же, как и сам. Поэтому нужно не только указать подрядчиков в уведомлении, но и заключить с ними договор с условиями о защите данных. Роскомнадзор проверяет именно это: есть ли договоры, прописан ли порядок обработки и меры защиты.
