Алексей Ветров
Эксперт по защите данных IC-TECH
В уведомлении в Роскомнадзор не нужно указывать конкретные названия субподрядчиков.
Но обязательно нужно отразить сам факт, что персональные данные могут передаваться третьим лицам — в том числе субподрядчикам, работающим по поручению.
Таким образом, оператор (ваша компания) остаётся ответственным лицом, а подрядчики и субподрядчики выступают как обработчики ПДн по поручению оператора.
Но обязательно нужно отразить сам факт, что персональные данные могут передаваться третьим лицам — в том числе субподрядчикам, работающим по поручению.
Таким образом, оператор (ваша компания) остаётся ответственным лицом, а подрядчики и субподрядчики выступают как обработчики ПДн по поручению оператора.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3: оператор вправе поручить обработку другому лицу только на основании договора.
- ФЗ-152, ст. 18.1: оператор обязан контролировать действия лица, которому поручена обработка.
- ФЗ-152, ст. 22: уведомление должно содержать сведения о факте передачи данных третьим лицам, но не требует указывать их список поимённо.
Как правильно указать в уведомлении
Вместо перечисления подрядчиков по названиям используйте формулировки:
- «Персональные данные могут передаваться третьим лицам по договорам оказания услуг (курьерские службы, бухгалтерские и IT-компании, аутсорсинговые организации) исключительно для целей исполнения договоров и выполнения обязанностей по закону.»
- «Обработка может поручаться третьим лицам на основании заключённых договоров в соответствии с ФЗ-152.»
Пример из практики
Интернет-магазин использует колл-центр для обработки заявок и курьерскую службу для доставки. В уведомлении указали:
«Передача ПДн осуществляется третьим лицам (курьерские службы, аутсорсинговые организации) исключительно для исполнения договоров с клиентами.»
Роскомнадзор принял такую формулировку — названия компаний указывать не потребовали.
Частые ошибки
- Перечислять подрядчиков по именам (каждый раз при смене придётся обновлять уведомление).
- Не указывать передачу данных вообще (Роскомнадзор расценивает это как недостоверные сведения).
- Писать «не передаются третьим лицам», хотя фактически используются бухгалтеры/курьеры.
Рекомендации и выводы
- Конкретные названия субподрядчиков в уведомление включать не нужно.
- Достаточно общей формулировки о передаче третьим лицам по договорам.
- С каждым субподрядчиком заключите договор о поручении обработки ПДн (ст. 6 ФЗ-152).
- Внутренне назначьте ответственного за контроль подрядчиков.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
