Контрагент под контролем: как не потерять персональные данные из-за подрядчика

24/07/25

Б-152

Контрагент под контролем: как не потерять персональные данные из-за подрядчика

Передача персональных данных подрядчику — обычная практика для бизнеса. Маркетинг, рекрутинг, бухгалтерия, техническая поддержка, обслуживание сайта — всё это давно делегируется внешним исполнителям. Однако далеко не все компании осознают, что, доверяя данные контрагенту, они не передают с ними ответственность.

Напротив, по статье 6 закона № 152-ФЗ именно оператор, то есть лицо, определяющее цели и средства обработки, отвечает за всё, что происходит с персональными данными, даже если они физически «лежат» у подрядчика. Роскомнадзор давно закрепил эту позицию на практике: инцидент у внешнего исполнителя — это нарушение со стороны заказчика.

В условиях, когда взаимодействие с подрядчиками становится неотъемлемой частью бизнеса, компании должны научиться управлять рисками на этом стыке. Это требует не только формального подхода, но и выстраивания системы: от выбора исполнителя до фиксации условий обработки и постоянного мониторинга.

Подрядчик в контуре обработки персональных данных всегда представляет потенциальную угрозу. Не потому, что он обязательно нарушитель, а потому что контроль над его действиями у оператора затруднен. Риски возрастают в моменты, когда данные передаются за пределы внутренней инфраструктуры компании: формально бизнес по-прежнему отвечает за их безопасность, но фактически теряет над ними контроль.

Причины таких рисков многослойны. Во-первых, это слабый уровень зрелости ИБ-процессов у самого подрядчика, особенно если речь идёт о малом бизнесе или фрилансерах.

Во-вторых, оператор часто ограничивается устной договоренностью или шаблонным договором, не учитывающим требования 152-ФЗ.

В-третьих, нет механизма обратной связи: оператор не знает, как именно работает подрядчик, где хранятся данные, кто к ним имеет доступ и каким образом они уничтожаются.

Показательно, что большинство серьезных инцидентов последних лет так или иначе связаны с внешними исполнителями. И вот почему:

Часто подрядчик получает от заказчика массив персональных данных, например, клиентскую базу или список сотрудников, и работает с ним в наиболее привычной и, увы, наименее безопасной форме.

Таблица Excel с персональной информацией пересылается по электронной почте, сохраняется на рабочем столе без пароля, отправляется по запросу в мессенджере. В таких случаях ни о каком шифровании, журналировании доступа или ограничении прав речь не идёт.

Но самое опасное — оператор зачастую даже не задаёт вопросов: где будет храниться база? Кто получит к ней доступ? Какие меры защиты будут применяться?

Если сотрудник подрядчика уволился, а копия базы осталась у него, данные уходят в неконтролируемую зону. При этом никакого акта передачи, шифрования или уничтожения нет — а значит, виновным снова становится оператор.

Когда речь идёт о технических подрядчиках — например, ИТ-поддержке или интеграторах — особенно распространена практика копирования данных на внешний диск или флешку «для удобства». Операторы не видят в этом угрозы, пока один из таких носителей не оказывается утерянным, украденным или скопированным без ведома заказчика.

2. Использование съёмных носителей и удобных решений

Многие подрядчики используют зарубежные облачные сервисы: от CRM и систем аналитики до облаков хранения и рассылок. Чаще всего без уведомления заказчика и без соблюдения требований о локализации данных.

Так, при использовании Google Analytics или Amazon CloudWatch персональные данные могут автоматически попадать на сервера, расположенные за границей. Даже если эти данные логируются как часть технической информации (например, IP-адрес, e-mail или номер телефона), оператор обязан это учитывать и предотвращать нарушение закона о локализации. Если же контроль отсутствует, юридические и финансовые последствия будут именно для оператора.

Во всех этих примерах суть одна: оператор передал данные, но не сформулировал условия и границы работы с ними. Подрядчик действует по своему усмотрению — не потому что он злоумышленник, а потому что ему никто не объяснил правила. И когда случается утечка, именно оператор остаётся один на один с регулятором.

По закону 152‑ФЗ, привлечение третьих лиц к обработке возможно только в рамках поручения и при соблюдении всех требований: технических, организационных и правовых. Подрядчик в этом случае не самостоятельный игрок, а продолжение оператора. И если контроль ослаблен, вся система становится уязвимой.

Ещё один часто упускаемый риск — доступ подрядчика к общей корпоративной среде: почтовым ящикам, файлам в облаке, чатам, в которых содержатся документы с ПДн. Например, служба поддержки сайта может иметь полный доступ к почте support@company.ru, где хранятся обращения клиентов, договоры, резюме. Если при этом доступ не ограничен, журналирование не ведётся, а процедура смены паролей отсутствует — оператор теряет контроль, а регулятор — основания считать такую обработку законной.

Даже крупные компании нередко наступают на одни и те же грабли, не осознавая, что это прямой путь к штрафам и утечкам.

На практике это значит, что подрядчик получает данные «по устному согласию» или через договор, в котором вообще не прописана тема персональных данных. Нет описания целей, перечня разрешённых действий, требований к защите, обязательств по уничтожению данных после окончания работ.

Роскомнадзор квалифицирует такую ситуацию как обработку без основания, а значит, с нарушением закона.

Без такой проверки невозможно достоверно установить, соблюдаются ли требования закона.

Компании выбирают подрядчика по цене или портфолио, но не проверяют, есть ли у него внутренняя политика по защите ПДн, кто отвечает за обработку, где хранятся данные. Часто подрядчик даже не знает, что он обрабатывает персональные данные. Он просто «делает сайт» или «обзванивает клиентов».

Согласие на обработку персональных данных должно быть оформлено не только на сам факт сбора и хранения, но и на возможную передачу третьим лицам. В противном случае это нарушение статьи 9 закона № 152-ФЗ.

Например, если пользователь оставляет заявку на сайте, а данные затем передаются в рекламное агентство или СRM, но в согласии об этом не сказано, передача будет считаться неправомерной. То же касается сотрудников, чьи данные загружаются в внешние кадровые системы.

Безопасное и законное взаимодействие с подрядчиком возможно только тогда, когда оно построено как управляемый и повторяемый процесс. Это не разовая проверка перед заключением договора и не просто подписание шаблона DPA, а комплексная система, охватывающая всю цепочку: от отбора исполнителя до завершения контракта. Такой подход снижает риски, усиливает защиту данных и становится реальным доказательством добросовестности оператора перед регулятором.

Прежде всего, необходимо признать подрядчика обработчиком персональных данных в юридическом смысле. Это означает, что отношения должны быть оформлены не просто как оказание услуг, а как обработка данных по поручению оператора.

Нельзя передавать данные до того, как убедитесь, что подрядчик готов к законной обработке. Эта оценка должна включать как юридические, так и технические аспекты.

Без этих шагов оператор не сможет доказать, что передача данных была осознанной и контролируемой.

Такой договор  не просто формальность, а опора в случае инцидента. При проверке Роскомнадзор запросит копию и будет оценивать, насколько подробно в нём описаны все условия обработки.

Контроль за обработчиком не прекращается после подписания договора. Напротив, именно в процессе исполнения могут возникать новые риски: подключение новых сотрудников, смена инструментов, расширение доступа.

Законодатель в 2025 году сделал шаг к ужесточению ответственности за инциденты с персональными данными. И если раньше штрафы были относительно невелики, то сегодня речь идёт о многомиллионных санкциях даже за первое нарушение.

Важно понимать: если персональные данные утекли у подрядчика, это не освобождает оператора от ответственности. Более того, если в договоре не было условий обработки, а контроль отсутствовал, то штраф будет максимальным.

В современном правовом и технологическом контексте подрядчик — это не просто внешний исполнитель. Это часть вашей системы обработки персональных данных, продолжение вашей инфраструктуры и, по сути, представитель компании в глазах закона. Если подрядчик работает с базами клиентов, собирает анкеты сотрудников или обслуживает системы, где хранятся ПДн, — он участвует в процессе, за который вы несете полную юридическую ответственность.

Поэтому подход к работе с подрядчиками должен быть не формальным, а стратегическим. Отношения с каждым исполнителем необходимо не только грамотно оформлять, но и регулярно пересматривать: технологии меняются, бизнес-процессы усложняются, а требования регулятора становятся всё более жёсткими.

Информационная безопасность и правовая чистота сегодня начинаются не с серверов, а с людей, которым вы доверяете данные. И если подрядчик является частью вашей команды, он должен работать по тем же правилам, что и вы.

Всё это больше не относится к категории «желательно». В 2025 году контроль за передачей данных третьим лицам стал обязательным элементом системы законной обработки ПДн. Его отсутствие — не просто риск, а прямой путь к штрафам, проверкам и, в случае утечек, к публичным скандалам.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

реклама

бизнес

юридические вопросы

маркетинг

Материалы по теме