Алексей Ветров
Эксперт по защите данных IC-TECH
Да, если аутсорсинговая компания получает доступ к персональным данным (сотрудников, клиентов или контрагентов), это нужно отразить в уведомлении.
Как правило, речь идёт о случаях:
бухгалтерский аутсорсинг (обрабатываются данные сотрудников и договоров с физлицами);
кадровое агентство/HR-аутсорсинг (анкеты кандидатов, личные дела);
IT-аутсорсинг или облачный провайдер (доступ к базам ПДн);
колл-центр, маркетинговое агентство (обработка заявок и звонков клиентов).
В уведомлении указывается факт передачи персональных данных третьим лицам (субъектам обработки по поручению).
Как правило, речь идёт о случаях:
бухгалтерский аутсорсинг (обрабатываются данные сотрудников и договоров с физлицами);
кадровое агентство/HR-аутсорсинг (анкеты кандидатов, личные дела);
IT-аутсорсинг или облачный провайдер (доступ к базам ПДн);
колл-центр, маркетинговое агентство (обработка заявок и звонков клиентов).
В уведомлении указывается факт передачи персональных данных третьим лицам (субъектам обработки по поручению).
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3: оператор может поручить обработку ПДн другому лицу только на основании договора.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о наличии или отсутствии передачи данных третьим лицам.
- ФЗ-152, ст. 18.1: оператор обязан контролировать действия лица, которому поручена обработка.
Пример формулировки
«Персональные данные могут передаваться третьим лицам по договорам аутсорсинга (бухгалтерское сопровождение, IT-поддержка) исключительно для целей ведения кадрового и бухгалтерского учёта, обслуживания информационных систем. Передача осуществляется на основании договоров поручения обработки персональных данных.»
Частые ошибки
- Указывать только сотрудников и клиентов, но не фиксировать факт передачи подрядчику.
- Не заключать договор с аутсорсером, где прописаны обязанности по ФЗ-152.
- Записывать аутсорсера как «оператора ПДн» — правильно: он выступает обработчиком по поручению, а оператором остаётся заказчик.
Рекомендации и выводы
- Если аутсорсер получает доступ к ПДн — указывайте передачу данных в уведомлении.
- Обязательно заключайте договор, где прописаны условия обработки и защиты ПДн.
- Внутри компании назначьте ответственного за контроль подрядчиков.
- В уведомлении не обязательно указывать конкретные компании поимённо — достаточно общей формулировки «третьи лица (аутсорсинговые организации) по договорам».
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
