Контрагент под контролем: как не потерять персональные данные из-за подрядчика

13.01.2023
24/07/25
Б-152
Контрагент под контролем: как не потерять персональные данные из-за подрядчика
Передача персональных данных подрядчику — обычная практика для бизнеса. Маркетинг, рекрутинг, бухгалтерия, техническая поддержка, обслуживание сайта — всё это давно делегируется внешним исполнителям. Однако далеко не все компании осознают, что, доверяя данные контрагенту, они не передают с ними ответственность.
Напротив, по статье 6 закона № 152-ФЗ именно оператор, то есть лицо, определяющее цели и средства обработки, отвечает за всё, что происходит с персональными данными, даже если они физически «лежат» у подрядчика. Роскомнадзор давно закрепил эту позицию на практике: инцидент у внешнего исполнителя — это нарушение со стороны заказчика.
В условиях, когда взаимодействие с подрядчиками становится неотъемлемой частью бизнеса, компании должны научиться управлять рисками на этом стыке. Это требует не только формального подхода, но и выстраивания системы: от выбора исполнителя до фиксации условий обработки и постоянного мониторинга.

Почему подрядчик — это зона риска

Подрядчик в контуре обработки персональных данных всегда представляет потенциальную угрозу. Не потому, что он обязательно нарушитель, а потому что контроль над его действиями у оператора затруднен. Риски возрастают в моменты, когда данные передаются за пределы внутренней инфраструктуры компании: формально бизнес по-прежнему отвечает за их безопасность, но фактически теряет над ними контроль.
Причины таких рисков многослойны. Во-первых, это слабый уровень зрелости ИБ-процессов у самого подрядчика, особенно если речь идёт о малом бизнесе или фрилансерах.
Во-вторых, оператор часто ограничивается устной договоренностью или шаблонным договором, не учитывающим требования 152-ФЗ.
В-третьих, нет механизма обратной связи: оператор не знает, как именно работает подрядчик, где хранятся данные, кто к ним имеет доступ и каким образом они уничтожаются.
Показательно, что большинство серьезных инцидентов последних лет так или иначе связаны с внешними исполнителями. И вот почему:
1. Незащищенные файлы и каналы передачи
Часто подрядчик получает от заказчика массив персональных данных, например, клиентскую базу или список сотрудников, и работает с ним в наиболее привычной и, увы, наименее безопасной форме.
Таблица Excel с персональной информацией пересылается по электронной почте, сохраняется на рабочем столе без пароля, отправляется по запросу в мессенджере. В таких случаях ни о каком шифровании, журналировании доступа или ограничении прав речь не идёт.
Но самое опасное — оператор зачастую даже не задаёт вопросов: где будет храниться база? Кто получит к ней доступ? Какие меры защиты будут применяться?
Если сотрудник подрядчика уволился, а копия базы осталась у него, данные уходят в неконтролируемую зону. При этом никакого акта передачи, шифрования или уничтожения нет — а значит, виновным снова становится оператор.
Когда речь идёт о технических подрядчиках — например, ИТ-поддержке или интеграторах — особенно распространена практика копирования данных на внешний диск или флешку «для удобства». Операторы не видят в этом угрозы, пока один из таких носителей не оказывается утерянным, украденным или скопированным без ведома заказчика.
2. Использование съёмных носителей и удобных решений
Многие подрядчики используют зарубежные облачные сервисы: от CRM и систем аналитики до облаков хранения и рассылок. Чаще всего без уведомления заказчика и без соблюдения требований о локализации данных.
Так, при использовании Google Analytics или Amazon CloudWatch персональные данные могут автоматически попадать на сервера, расположенные за границей. Даже если эти данные логируются как часть технической информации (например, IP-адрес, e-mail или номер телефона), оператор обязан это учитывать и предотвращать нарушение закона о локализации. Если же контроль отсутствует, юридические и финансовые последствия будут именно для оператора.
3. Нарушения локализации в облачных системах
Во всех этих примерах суть одна: оператор передал данные, но не сформулировал условия и границы работы с ними. Подрядчик действует по своему усмотрению — не потому что он злоумышленник, а потому что ему никто не объяснил правила. И когда случается утечка, именно оператор остаётся один на один с регулятором.
По закону 152‑ФЗ, привлечение третьих лиц к обработке возможно только в рамках поручения и при соблюдении всех требований: технических, организационных и правовых. Подрядчик в этом случае не самостоятельный игрок, а продолжение оператора. И если контроль ослаблен, вся система становится уязвимой.
Ещё один часто упускаемый риск — доступ подрядчика к общей корпоративной среде: почтовым ящикам, файлам в облаке, чатам, в которых содержатся документы с ПДн. Например, служба поддержки сайта может иметь полный доступ к почте support@company.ru, где хранятся обращения клиентов, договоры, резюме. Если при этом доступ не ограничен, журналирование не ведётся, а процедура смены паролей отсутствует — оператор теряет контроль, а регулятор — основания считать такую обработку законной.
4. Неограниченный доступ к корпоративной информации

Три критические ошибки в работе с подрядчиками

Даже крупные компании нередко наступают на одни и те же грабли, не осознавая, что это прямой путь к штрафам и утечкам.
1. Отсутствие договора с обработчиком
На практике это значит, что подрядчик получает данные «по устному согласию» или через договор, в котором вообще не прописана тема персональных данных. Нет описания целей, перечня разрешённых действий, требований к защите, обязательств по уничтожению данных после окончания работ.
Роскомнадзор квалифицирует такую ситуацию как обработку без основания, а значит, с нарушением закона.
Чтобы этого избежать, рекомендуется:
  • провести анкетирование подрядчика (в том числе по шаблонам из пакета Privacy Audit);
  • запросить регламенты, политику, приказы о назначении ответственных;
  • выяснить, где находятся дата-центры и кто имеет доступ к данным;
  • проверить, собирает ли подрядчик согласия у субъектов ПДн (если данные не просто передаются, но и генерируются исполнителем).
Без такой проверки невозможно достоверно установить, соблюдаются ли требования закона.
Компании выбирают подрядчика по цене или портфолио, но не проверяют, есть ли у него внутренняя политика по защите ПДн, кто отвечает за обработку, где хранятся данные. Часто подрядчик даже не знает, что он обрабатывает персональные данные. Он просто «делает сайт» или «обзванивает клиентов».
2. Отсутствие предварительной проверки
Согласие на обработку персональных данных должно быть оформлено не только на сам факт сбора и хранения, но и на возможную передачу третьим лицам. В противном случае это нарушение статьи 9 закона № 152-ФЗ.
Например, если пользователь оставляет заявку на сайте, а данные затем передаются в рекламное агентство или СRM, но в согласии об этом не сказано, передача будет считаться неправомерной. То же касается сотрудников, чьи данные загружаются в внешние кадровые системы.
3. Ошибки в согласии субъектов

Как наладить работу с подрядчиком

Безопасное и законное взаимодействие с подрядчиком возможно только тогда, когда оно построено как управляемый и повторяемый процесс. Это не разовая проверка перед заключением договора и не просто подписание шаблона DPA, а комплексная система, охватывающая всю цепочку: от отбора исполнителя до завершения контракта. Такой подход снижает риски, усиливает защиту данных и становится реальным доказательством добросовестности оператора перед регулятором.
В договоре с подрядчиком важно закрепить:
  • Цели и характер обработки. Подрядчик не должен сам определять, зачем и как обрабатывать данные. Это исключительная прерогатива оператора. Если цели не прописаны, регулятор сочтет, что обработка происходит вне контроля.
  • Конкретный перечень разрешенных действий. Например: сбор, запись, систематизация, хранение, уничтожение. Если в договоре написано «оказывает маркетинговые услуги», но не указано, что подрядчик будет использовать персональные данные для email-рассылок, формально обработка данных может быть признана необоснованной.
  • Сроки хранения и порядок уничтожения. Подрядчик должен не только завершить работу, но и корректно удалить все копии ПДн после её окончания. Это должно быть зафиксировано в договоре: с точной датой, способом удаления, обязанностью предоставить акт.
  • Требования к защите и конфиденциальности. Пропишите, какие меры информационной безопасности обязательны: VPN, шифрование, контроль доступа, ведение логов, запрет на копирование данных. Укажите обязанность подрядчика обеспечить обучение своих сотрудников и назначить ответственного.
  • Прямой запрет на передачу данных третьим лицам. Даже если подрядчик привлекает субподрядчиков, это должно происходить только с письменного согласия оператора и при тех же гарантиях конфиденциальности.
Прежде всего, необходимо признать подрядчика обработчиком персональных данных в юридическом смысле. Это означает, что отношения должны быть оформлены не просто как оказание услуг, а как обработка данных по поручению оператора.
1. Формализуйте поручение на обработку
Нельзя передавать данные до того, как убедитесь, что подрядчик готов к законной обработке. Эта оценка должна включать как юридические, так и технические аспекты.
Без этих шагов оператор не сможет доказать, что передача данных была осознанной и контролируемой.
2. Проведите предварительную оценку подрядчика
Такой договор  не просто формальность, а опора в случае инцидента. При проверке Роскомнадзор запросит копию и будет оценивать, насколько подробно в нём описаны все условия обработки.
3. Установите контроль во время работы
Контроль за обработчиком не прекращается после подписания договора. Напротив, именно в процессе исполнения могут возникать новые риски: подключение новых сотрудников, смена инструментов, расширение доступа.
Что важно предусмотреть:
  • Анкетирование. Существует множество шаблонов, включая чек-листы B‑152, которые позволяют быстро понять, ведет ли подрядчик учёт ПДн, есть ли у него политика, знает ли он вообще о законе 152-ФЗ.
  • Анализ документов. Запросите копию приказа о назначении ответственного, политику по защите ПДн, внутренние регламенты, модель угроз (если подрядчик использует ИСПДн). Эти документы показывают уровень зрелости исполнителя.
  • Оценка соответствия требованиям по локализации. Убедитесь, что подрядчик использует дата-центры, расположенные на территории РФ, либо надежно локализует все копии ПДн. Если используются иностранные сервисы, нужен отдельный правовой анализ.
  • Юридическая проверка согласий. Если подрядчик сам собирает ПДн (например, принимает анкеты с сайта), он должен иметь действующие согласия от субъектов. Их отсутствие — серьёзное нарушение.
  • Информирование о любых инцидентах. В договоре должен быть прописан срок, в течение которого подрядчик обязан уведомить оператора о произошедшей утечке, сбое, несанкционированном доступе. Чем быстрее вы узнаете, тем выше шанс защититься.
  • Периодические проверки. Раз в полгода или год оператор вправе затребовать отчёт о соблюдении условий, провести внутреннюю проверку, запросить аудит. Даже одно письмо с контрольными вопросами будет доказательством вашей осмотрительности.
  • Участие в проверках. В случае жалобы или официального запроса от Роскомнадзора, оператор может быть обязан предоставить информацию об обработке. Подрядчик должен быть готов взаимодействовать с регулятором — в рамках поручения и с соблюдением всех процедур.

Что грозит за ошибки: санкции в 2025 году

Законодатель в 2025 году сделал шаг к ужесточению ответственности за инциденты с персональными данными. И если раньше штрафы были относительно невелики, то сегодня речь идёт о многомиллионных санкциях даже за первое нарушение.
Важно понимать: если персональные данные утекли у подрядчика, это не освобождает оператора от ответственности. Более того, если в договоре не было условий обработки, а контроль отсутствовал, то штраф будет максимальным.
  • Утечка более 100 000 записей — штраф до 15 миллионов рублей (ч.14 ст. 13.11 КоАП РФ).
  • Утечка биометрических данных — до 20 миллионов рублей (ч.17).
  • Повторное нарушение — оборотный штраф до 3% годовой выручки, но не менее 20 миллионов (ч.15 и ч.18)
  • Утечка спецкатегорий — штраф до 15 миллионов рублей (ч. 16)

Вывод

В современном правовом и технологическом контексте подрядчик — это не просто внешний исполнитель. Это часть вашей системы обработки персональных данных, продолжение вашей инфраструктуры и, по сути, представитель компании в глазах закона. Если подрядчик работает с базами клиентов, собирает анкеты сотрудников или обслуживает системы, где хранятся ПДн, — он участвует в процессе, за который вы несете полную юридическую ответственность.
Поэтому подход к работе с подрядчиками должен быть не формальным, а стратегическим. Отношения с каждым исполнителем необходимо не только грамотно оформлять, но и регулярно пересматривать: технологии меняются, бизнес-процессы усложняются, а требования регулятора становятся всё более жёсткими.
Информационная безопасность и правовая чистота сегодня начинаются не с серверов, а с людей, которым вы доверяете данные. И если подрядчик является частью вашей команды, он должен работать по тем же правилам, что и вы.
Всё это больше не относится к категории «желательно». В 2025 году контроль за передачей данных третьим лицам стал обязательным элементом системы законной обработки ПДн. Его отсутствие — не просто риск, а прямой путь к штрафам, проверкам и, в случае утечек, к публичным скандалам.
Что поможет выстроить надежную систему?
  • Реестр подрядчиков. Необходимо вести внутренний список всех внешних организаций и индивидуальных специалистов, которые получают доступ к персональным данным. В реестре должно быть отражено, какие данные передаются, на каком основании, в каких целях, по каким договорам, кто ответственен за контроль.
  • Стандартизированные договоры с DPA-блоком. Каждый договор с подрядчиком, получающим доступ к ПДн, должен включать блок о поручении на обработку. Это не «страховка от штрафа», а юридический инструмент, с помощью которого вы ограничиваете права подрядчика, устанавливаете правила обработки и документально фиксируете свою позицию как оператора.
  • Шаблоны оценки и чек-листы. Повторяемость и системность — ключ к снижению рисков. Готовые опросники, формы оценки зрелости, контрольные листы по локализации, каналам передачи и срокам хранения позволяют быстро и последовательно оценивать любого исполнителя, без «ручного сбора» информации каждый раз.
  • Внешняя экспертиза. Не стоит недооценивать роль сторонних специалистов. Подключение внешнего DPO, юриста по персональным данным или консалтинговой компании — это возможность взглянуть на работу с подрядчиком со стороны, обнаружить слепые зоны и избежать необратимых последствий.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме