Аутсорсинг и персональные данные: как работать легально и без рисков
Автор: Петухов Олег Анатольевич, эксперт по информационной безопасности, руководитель юридической компании ЛЕГАС
Сайт: legascom.ru
Email: petukhov@legascom.ru
Аутсорсинг бизнес- и ИТ-процессов помогает компаниям экономить бюджет, привлекать узкую экспертизу и фокусироваться на ключевых задачах. Но при работе с персональными данными (ПДн) такой подход несёт серьёзные юридические риски: от многомиллионных оборотных штрафов до блокировок ресурсов и исков. Юридическая компания ЛЕГАС разбирает, как выстроить аутсорсинг в рамках закона и минимизировать угрозы.
В чём главная ошибка при аутсорсинге ПДн
Компании нередко путают два разных правовых режима: передачу ПДн и поручение обработки ПДн. От этой квалификации зависят ответственность, документооборот и последствия при утечке.
Поручение обработки ПДн: заказчик (оператор) поручает подрядчику выполнять действия с данными в своих интересах и по своим целям. Подрядчик не становится самостоятельным оператором. Основа - договор поручения, где чётко прописаны цели, перечень данных, операции и требования к защите. Ответственность перед субъектом ПДн несёт оператор, а подрядчик отвечает перед оператором.
Передача ПДн: данные передаются другому самостоятельному оператору, который сам определяет цели и способы обработки. Здесь обязательно отдельное, явное и информированное согласие субъекта ПДн с указанием получателя и целей. Обе стороны - самостоятельные операторы, каждый отвечает за свои процессы.
На практике большинство аутсорсинговых сценариев (бухгалтерия, кадры, ИТ-инфраструктура, кол-центр) - это именно поручение обработки, а не передача. Ошибка в квалификации (например, передача данных хостинг-провайдеру без договора поручения) квалифицируется как нарушение и может считаться утечкой.
Когда провайдер тоже обрабатывает ПДн
Важно учитывать, что под обработкой понимается в том числе хранение. Если подрядчик (включая хостинг или IaaS/PaaS/SaaS-провайдера) хранит базы с ПДн на своих мощностях, он фактически обрабатывает данные. Поэтому даже «технические» подрядчики должны быть включены в контур регулирования: с ними заключают соглашение о поручении обработки ПДн.
Трансграничная передача: что обязательно учесть
Если аутсорсинг предполагает передачу данных за рубеж, оператору нужно:
оценить уровень защиты ПДн в стране получателя (ч. 5 ст. 12 ФЗ-152);
запросить у иностранного контрагента подтверждение мер безопасности;
уведомить Роскомнадзор о намерении осуществлять трансграничную передачу и дождаться ответа;
обеспечить локализацию ПДн при сборе (ч. 5 ст. 18 ФЗ-152).
Передача в страны, не обеспечивающие адекватную защиту ПДн, запрещена до получения положительного ответа Роскомнадзора.
Практический чек-лист для оператора ПДн
Чтобы легализовать аутсорсинг процессов, оператору следует выполнить следующие шаги:
Определить контекст процесса: цели обработки, перечень ПДн, список операций с данными (п. 3 ст. 3 ФЗ-152), наличие трансграничной передачи.
Оформить соглашение о поручении обработки ПДн, где обязательно зафиксировать:
цели и перечень ПДн;
перечень действий с ПДн;
обязанности подрядчика: локализация, защита, подтверждение принятых мер (ч. 3 ст. 6 ФЗ-152), уведомление об утечках (ч. 3.1 ст. 21 ФЗ-152) с указанием жёстких сроков (чтобы оператор успел уведомить Роскомнадзор в 24 часа).
Собрать корректные согласия субъектов ПДн на поручение обработки их данных. Если подрядчик может перепоручить обработку субобработчику, это должно быть прямо указано в согласии и договоре.
Поддерживать актуальность правовых оснований при смене подрядчиков или появлении новых процессов.
Контролировать исполнение: проверять, как подрядчик реализует меры защиты и соблюдает сроки уведомлений.
Утечка данных: кто и когда уведомляет
При утечке ПДн действует чёткий порядок:
если утечка произошла у подрядчика (обработчика), он обязан немедленно уведомить оператора;
уведомление в Роскомнадзор направляет оператор вне зависимости от того, на чьей стороне произошла утечка;
общий срок уведомления регулятора - 24 часа, срок отчёта по результатам внутреннего расследования - 72 часа.
Поэтому в договоре с подрядчиком важно заранее зафиксировать максимально допустимое время, в течение которого он должен сообщить об инциденте.
Ключевые выводы для бизнеса
Аутсорсинг процессов с ПДн почти всегда оформляется как поручение обработки, а не как передача данных.
Даже «технические» поставщики услуг (хостинг, IaaS, PaaS, SaaS) обрабатывают ПДн, если хранят данные клиентов - с ними тоже нужен договор поручения.
Ответственность за действия подрядчика и за утечки несёт оператор ПДн.
Трансграничная передача требует отдельной процедуры согласования с Роскомнадзором.
Согласие субъекта ПДн и договор с подрядчиком - базовые документы, без которых модель аутсорсинга юридически уязвима.
Юридическая компания ЛЕГАС подчёркивает: грамотная юридическая упаковка аутсорсинга - это не формальность, а реальный инструмент защиты от штрафов, проверок и репутационных потерь.
