Контроль подрядчиков без DPO: какие договорные условия, доказательства и проверки нужны компании
Во многих компаниях нет выделенного Data Protection Officer (DPO) или отдельной privacy-команды, хотя закон требует от юридических лиц назначить ответственного за организацию обработки персональных данных (п. 1 ч. 1 ст. 18.1 152-ФЗ).
При этом подрядчики получают доступ к персональным данным сотрудников, клиентов, пользователей, контрагентов и иных лиц. Ответственность за нарушения при этом не исчезает: если подрядчик действует по поручению оператора, именно оператор должен показать, что он управлял рисками и контролировал обработку.
На практике клиенты и регуляторы редко начинают с вопроса: «Есть ли у вас DPO?». Гораздо чаще они спрашивают: «Как вы контролируете подрядчиков, которым передаете персональные данные?»
Если компания может показать понятную систему отбора, договорного регулирования и регулярного контроля лиц, осуществляющих обработку персональных данных по поручению оператора, отсутствие отдельной DPO-функции само по себе не становится критичной проблемой. Проблемой становится отсутствие доказательств: нет анкеты подрядчика, нет проверки мер защиты, не проверяются субподрядчики, нет порядка уведомления об инцидентах, нет подтверждений исполнения договора.
Для компаний без отдельной privacy-команды минимальная задача — возложить ответственность не только на владельца бизнес-процесса, но и распределить ее между иными подразделениями. Один человек может координировать процесс, но фактические риски почти всегда находятся в нескольких подразделениях одновременно.
Частая ошибка — свести контроль подрядчика к подписанию договора поручения на обработку персональных данных. Документ есть, галочка в чек-листе стоит, но фактический контроль не появляется.
До подписания документов нужно ответить на более важный вопрос: является ли контрагент обработчиком персональных данных вообще.
На практике компании часто автоматически направляют контрагентам соглашения о поручении, не анализируя фактическую роль такого лица в процессе обработки данных. Между тем в российской модели есть две базовые роли: оператор и лицо, осуществляющее обработку персональных данных по поручению оператора.
Обработчик действует в интересах оператора. Он не определяет цели обработки самостоятельно, а помогает оператору достичь уже определенной цели. Обычно это:
аутсорсинговая бухгалтерия;
провайдер технической поддержки;
облачный сервис;
контакт-центр;
подрядчик по организации командировок;
сервис рассылок;
поставщик ИТ-системы, если получает доступ к ПДн для обслуживания.
Если контрагент самостоятельно определяет цели обработки, использует данные в собственных интересах или продолжает обработку после прекращения отношений с заказчиком, он уже не может рассматриваться как обработчик. В такой ситуации отношения строятся по модели «оператор — оператор», а каждая сторона самостоятельно несет обязанности и риски по законодательству о персональных данных.
После определения статуса подрядчика многие компании ограничиваются подписанием соглашения о поручении и считают задачу выполненной. Но на практике именно после подписания договора начинается основная работа по контролю обработчика.
Чаще всего подрядчик выпадает из поля зрения компании:
не запрашиваются подтверждения мер защиты;
не проверяются субподрядчики;
не проводится переоценка рисков;
отсутствует порядок реагирования на инциденты;
не собираются доказательства выполнения договорных обязательств.
В результате при утечке или жалобе субъекта компания не может доказать, что действительно контролировала обработчика и предпринимала разумные меры по управлению рисками.
Короткая карта: кто такой подрядчик в модели ПДн
Ситуация
Роль контрагента
Что нужно компании
Контрагент обрабатывает данные только для цели оператора
Обработчик по поручению
Поручение обработки, требования к защите, контроль исполнения
Контрагент сам определяет цель обработки
Самостоятельный оператор
Правовое основание передачи и проверка законности модели
Контрагент хранит, обслуживает или администрирует систему с ПДн
Обычно обработчик, если действует по заданию оператора
Договорное поручение, меры ИБ, контроль доступа и инцидентов
Контрагент привлекает субподрядчиков
Обработчик с субпроцессорами
Согласование или уведомление о субподрядчиках, проверка цепочки обработки
Контрагент продолжает использовать данные после прекращения договора
Риск модели «оператор — оператор» или нарушения
Проверка цели, основания, срока обработки и условий прекращения
Эта карта не заменяет юридическую квалификацию, но помогает быстро увидеть ключевой вопрос: кто определяет цель обработки персональных данных. Именно от этого зависит, нужен ли договор поручения, какие доказательства собирать и кто будет объясняться при инциденте.
Что должно быть закреплено в договоре
Минимальный набор условий в договоре с обработчиком лучше разделить на несколько блоков. Чем конкретнее они описаны, тем проще компании доказать, что подрядчик не просто получил доступ к данным, а работает в понятных правовых и технических границах.
1. Предмет поручения
В поручении нужно определить:
цели обработки;
категории субъектов;
перечень персональных данных;
действия с персональными данными;
срок обработки.
Без этих условий поручение часто выглядит формальным и не позволяет подтвердить законность обработки. Кроме того, отсутствие обязательных условий, предусмотренных законодательством, может быть расценено как нарушение требований к поручению обработки персональных данных.
Чем детальнее описаны параметры обработки, тем проще оператору контролировать действия подрядчика и определять границы допустимого использования данных. Например, если подрядчик получает данные только для рассылки сервисных уведомлений, он не должен использовать их для маркетинговых коммуникаций, аналитики или собственных целей без отдельного основания.
2. Организационные меры
Подрядчик должен принять меры, предусмотренные законодательством о персональных данных, в частности ст. 18.1 Федерального закона № 152-ФЗ «О персональных данных».
В договоре стоит закрепить, что подрядчик обязан:
назначить ответственного за организацию обработки персональных данных;
утвердить политику обработки персональных данных;
проводить внутренний контроль и аудит;
обучать работников, допущенных к обработке данных;
оценивать риски и возможный вред субъектам персональных данных.
Недостаточно просто написать, что подрядчик обязуется соблюдать законодательство. Такая фраза редко помогает оператору оценить фактический уровень зрелости процессов подрядчика.
Лучше закреплять конкретные организационные мероприятия, которые должны быть реализованы. Тогда оператор сможет запрашивать подтверждающие документы и оценивать исполнение требований в ходе регулярных проверок.
3. Требования к безопасности
В договоре желательно закрепить обязанность подрядчика:
определять угрозы безопасности;
устанавливать уровень защищенности информационных систем;
применять необходимые средства защиты информации;
вести учет носителей данных;
выявлять несанкционированный доступ;
контролировать эффективность мер защиты.
Отдельное внимание нужно уделять техническим мерам защиты. Практика показывает, что серьезные инциденты часто связаны не с отсутствием документов, а с недостатками в организации информационной безопасности: общие учетные записи, неограниченные доступы, отсутствие журналирования, слабый контроль инфраструктуры.
Поэтому полезно предусмотреть не только обязанность внедрять меры защиты, но и обязанность регулярно подтверждать их эффективность. Иначе у оператора остаются только декларативные заверения, которые сложно использовать при клиентском аудите, расследовании инцидента или споре с регулятором.
4. Контроль субподрядчиков
Один из недооцененных рисков связан с привлечением субпроцессоров. Подрядчик может сам пользоваться облачной инфраструктурой, внешней технической поддержкой, сервисами мониторинга, дата-центрами и иными поставщиками.
Если подрядчик передает данные третьим лицам, оператор должен знать:
кто является субподрядчиком;
где осуществляется обработка;
какие данные передаются;
какие меры безопасности внедрены;
кто отвечает за инциденты в цепочке субподрядчиков.
На практике операторы нередко узнают о субподрядчиках уже после инцидента. Особенно часто это происходит при использовании облачных сервисов, когда подрядчик привлекает дополнительных поставщиков инфраструктуры.
Хорошая практика — заранее согласовать перечень субподрядчиков и закрепить обязанность подрядчика проверять их до начала обработки персональных данных. Также стоит включить условие об уведомлении оператора при появлении новых субпроцессоров и существенных изменениях в инфраструктуре.
5. Уведомление об инцидентах
После изменений законодательства скорость реагирования стала критически важной. Если подрядчик узнает об инциденте, оператор должен получить информацию достаточно быстро, чтобы выполнить собственные обязанности по расследованию и уведомлениям.
В качественном соглашении можно установить обязанность подрядчика сообщать об инциденте в течение 12 часов после выявления и предоставлять первичную информацию:
характер нарушения;
категории затронутых данных;
предполагаемый вред субъектам;
затронутые системы;
принятые первичные меры;
контактное лицо со стороны подрядчика.
Результаты внутреннего расследования можно предусмотреть отдельным этапом, например с ограничением срока предоставления до 48 часов. Это договорная модель, которая помогает оператору не ждать, пока подрядчик завершит все внутренние процедуры, и сразу начать собственную оценку риска.
Чем быстрее оператор получает информацию об инциденте, тем больше у него возможностей провести расследование, сохранить доказательства, ограничить ущерб и своевременно взаимодействовать с Роскомнадзором.
Если у вас уже накопились десятки кадровых согласий, но нет уверенности, что основания выбраны правильно и выдержат проверку, лучше это разобрать до визита регулятора.
На практике такие ошибки проще устранить заранее, чем объяснять потом, почему один и тот же процесс закрыт сразу тремя разными документами. В такой ситуации можно оставить заявку на аудит кадровых процессов и оснований обработки персональных данных.
Угрозы, уровень защищенности, доступы, носители, выявление НСД, контроль мер защиты
Снижает риск инцидентов и формальных заверений без фактической защиты
Субподрядчики
Перечень, порядок согласования, уведомление об изменениях, требования к проверке
Помогает контролировать цепочку обработки
Инциденты
Срок первичного уведомления, состав информации, расследование, корректирующие меры
Дает оператору время выполнить собственные обязанности
Завершение договора
Возврат или уничтожение данных, подтверждающие акты, сроки удаления
Закрывает риск обработки после прекращения отношений
Такую таблицу удобно использовать как внутренний минимум для владельца процесса, но и иных подразделений, участвующих в процессе Она не заменяет полноценный договор, но помогает быстро увидеть, где поручение обработки остается декларативным.
Какие доказательства стоит хранить
Даже самые качественные договорные положения бесполезны, если компания не может подтвердить их исполнение. В клиентском аудите, при жалобе субъекта или расследовании инцидента важен не только текст договора, но и доказательства контроля.
Минимальное досье подрядчика должно содержать:
политику обработки персональных данных;
политику информационной безопасности;
сведения о размещении инфраструктуры;
информацию о локализации баз данных;
сведения о субподрядчиках;
сертификаты и результаты аудитов, если они есть;
историю инцидентов и корректирующих мероприятий;
подтверждение обучения работников, допущенных к обработке данных;
ответы на анкеты по ПДн и информационной безопасности;
подтверждение уничтожения или возврата данных после завершения договора.
Особое внимание стоит уделить документам, подтверждающим выполнение требований по запросу заказчика. Именно такие подтверждения обычно запрашиваются в ходе клиентских аудитов.
Большинство крупных заказчиков давно не ограничиваются проверкой наличия договора поручения. В рамках аудита подрядчиков обычно запрашивают документы по информационной безопасности, сведения о локализации баз данных, перечень субподрядчиков, описание процедур реагирования на инциденты, результаты независимых аудитов и подтверждение обучения работников.
Поэтому оператору лучше формировать единое досье подрядчика. Оно позволит быстро подтвердить выполнение требований перед клиентом, регулятором или внутренним комитетом по рискам.
Чек-лист досье подрядчика
Что хранить
Что подтверждает
Подписанное поручение обработки
Правовую модель передачи данных
Анкета подрядчика по ПДн и ИБ
Первичную оценку рисков до передачи данных
Политика обработки ПДн подрядчика
Наличие базовой privacy-документации
Политика ИБ или описание мер защиты
Техническую и организационную готовность
Сведения об инфраструктуре и локализации
Где хранятся и обрабатываются данные
Перечень субподрядчиков
Прозрачность цепочки обработки
Подтверждение обучения сотрудников подрядчика
Контроль человеческого фактора
История инцидентов и корректирующих мер
Реакцию подрядчика на нарушения
Результаты аудитов или сертификаты
Внешнее или внутреннее подтверждение зрелости
Акты уничтожения или возврата данных
Завершение обработки после окончания договора
Такое досье не обязательно должно быть сложной системой. Для компании без DPO достаточно поддерживать реестр подрядчиков, карточку риска и папку подтверждений по каждому контрагенту, который получает доступ к персональным данным.
Как организовать регулярный контроль без DPO
Даже без отдельного DPO компания может внедрить простую риск-ориентированную модель. Но важно не пытаться одинаково глубоко проверять всех подрядчиков.
Подрядчик, который получает один рабочий email для сервисного уведомления, и подрядчик, который администрирует CRM с клиентской базой, создают разный уровень риска. Значит, и глубина проверки должна быть разной.
До заключения договора
На этапе выбора подрядчика нужно оценить:
какие данные будут передаваться;
какие категории субъектов затронуты;
где данные будут храниться;
будет ли доступ к ИСПДн;
будут ли использоваться субподрядчики;
есть ли риск нарушения локализации баз данных;
какие меры защиты уже внедрены;
были ли у подрядчика инциденты.
На этом этапе полезны анкеты по персональным данным и информационной безопасности. Они позволяют выявить риски до начала передачи данных и определить, насколько глубокой должна быть дальнейшая проверка.
Если подрядчик отказывается отвечать на базовые вопросы о защите данных, инфраструктуре, субподрядчиках и инцидентах, это уже риск. Такой отказ означает, что оператору будет сложно доказать разумность выбора контрагента.
Во время действия договора
После подписания договора контроль не заканчивается. Для подрядчиков с существенным доступом к ПДн нужно периодически обновлять сведения:
актуален ли перечень обрабатываемых данных;
не изменились ли цели обработки;
не появились ли новые субподрядчики;
не изменилась инфраструктура;
не переносились ли базы данных;
не было ли инцидентов;
выполняется ли порядок уничтожения или возврата данных.
Периодичность зависит от риска. Критичных подрядчиков можно проверять ежегодно или при существенных изменениях. Низкорисковых реже, но с фиксацией хотя бы базового контроля.
При существенных изменениях
Внеплановая проверка нужна при:
утечке персональных данных;
смене облачного провайдера;
переносе баз данных;
появлении новых субобработчиков;
расширении перечня данных;
изменении цели обработки;
подключении подрядчика к новой системе.
Для подрядчиков, имеющих доступ к значительным объемам персональных данных или критически важным бизнес-процессам, целесообразно проводить периодическую переоценку рисков даже при отсутствии инцидентов.
Карта ответственности: кто что делает без DPO
Роль
Что подтверждает
Руководитель
Утверждает подход к контролю подрядчиков, выделяет ресурсы, принимает решения по высокорисковым контрагентам
Юрист / ответственный за ПДн
Квалифицирует роль контрагента, готовит поручение обработки, проверяет основания передачи, ведет договорную модель
ИТ / ИБ
Оценивает доступы, инфраструктуру, меры защиты, локализацию, журналирование, реагирование на инциденты
Закупки / владелец договора
Не допускает заключение договора без проверки privacy- и ИБ-условий, собирает документы подрядчика
Владелец бизнес-процесса
Объясняет, зачем подрядчик получает данные, какие данные нужны и какие операции выполняются
HR / бухгалтерия / маркетинг
Контролируют подрядчиков в своих процессах: кадровые сервисы, зарплатные и бухгалтерские подрядчики, рассылки, CRM, контакт-центры
Комплаенс / риск-менеджмент, если есть
Поддерживает реестр рисков и периодическую переоценку подрядчиков
Даже если в компании нет DPO, у процесса должен быть владелец. Иначе контроль подрядчиков быстро превращается в набор разрозненных действий: юрист подписал договор, ИТ выдал доступ, бизнес запустил сервис, но никто не видит всю цепочку обработки.
Почему контроль подрядчиков — это не формальность
Многие организации продолжают считать, что если инцидент произошел на стороне подрядчика, ответственность автоматически должна нести именно эта организация. Судебная практика показывает иной подход.
Показательным является дело Министерства труда и социальной защиты РФ. Персональные данные сотрудников и членов их семей оказались в открытом доступе в интернете. Министерство ссылалось на то, что инцидент произошел через инфраструктуру подрядчика и был вызван действиями третьих лиц. Однако Верховный Суд Р Ф указал, что сам по себе факт использования подрядчика не освобождает оператора от ответственности.
Ключевым вопросом является наличие доказательств того, что оператор принял необходимые правовые, организационные и технические меры по защите персональных данных. Поскольку такие доказательства представлены не были, Министерство было привлечено к административной ответственности.
Этот кейс имеет принципиальное значение для практики контроля обработчиков. Наличие соглашения о поручении само по себе не доказывает надлежащий контроль подрядчика.
Оператор должен иметь возможность показать, что он:
проверял подрядчика до начала сотрудничества;
оценивал уровень защищенности его процессов;
предъявлял требования к безопасности;
контролировал исполнение договорных обязательств;
запрашивал подтверждающие документы;
реагировал на возникающие риски.
В противном случае именно оператору придется объяснять регулятору, клиенту и суду, почему данные оказались скомпрометированы и какие меры были приняты до инцидента.
Что проверить прямо сейчас
Минимальная самопроверка контроля подрядчиков может выглядеть так:
Составьте перечень подрядчиков, которые получают доступ к персональным данным.
Определите роль каждого: обработчик по поручению или самостоятельный оператор.
Проверьте, есть ли с обработчиками поручение обработки.
Сверьте поручения с фактической передачей данных.
Запросите у подрядчиков подтверждения организационных и технических мер.
Проверьте, есть ли у подрядчиков субподрядчики.
Уточните, где хранятся данные и соблюдается ли локализация.
Проверьте порядок уведомления об инцидентах.
Соберите досье подрядчика.
Назначьте периодичность повторной проверки.
Эту проверку лучше проводить не только силами юриста. Юрист видит договор, но не всегда видит фактический доступ. ИТ видит системы, но не всегда знает правовую модель. Владелец процесса знает, зачем нужен подрядчик, но может не понимать требований 152-ФЗ. Поэтому контроль подрядчиков должен быть совместной задачей.
Когда компания регулярно передает ПДн подрядчикам, партнерам, сервисам рассылок, колл-центрам или поставщикам ИТ-систем, стоитпроверить модель передачи и документы до того, как вопрос возникнет при проверке, клиентском аудите или после жалобы субъекта.
Как снизить риск
После изменений законодательства и появления крупных штрафов главным риском для оператора становится не отсутствие отдельного документа, а отсутствие доказательств контроля.
Сегодня недостаточно просто заключить соглашение о поручении и получить от подрядчика заверение о соблюдении закона. Оператор должен понимать:
кому передаются данные;
для какой цели;
в каком объеме;
где они хранятся;
какие субподрядчики участвуют;
какие меры защиты применяются;
как подрядчик сообщает об инцидентах;
как данные уничтожаются или возвращаются после завершения договора.
Контроль подрядчиков перестал быть формальной процедурой. Фактически он стал частью системы управления рисками в сфере персональных данных.
Компании, которые заранее переходят от формального документооборота к регулярному и документально подтверждаемому контролю обработчиков, устойчивее проходят клиентские аудиты, расследования инцидентов и взаимодействие с регулятором.
FAQ
1) Нужно ли компании назначать DPO, чтобы контролировать подрядчиков?
Да, необходимо в соответствии с п. 1 ч. 1 ст. 18.1 152-ФЗ, однако многие компании не имеют такого специалиста. Чаще руководители распределяют контроль подрядчиков между юристом, ИТ/ИБ, владельцем процесса и руководителем.
2) Чем обработчик отличается от самостоятельного оператора?
Обработчик действует по поручению оператора и обрабатывает данные для его цели. Самостоятельный оператор сам определяет цели обработки или действует в силу собственных обязанностей. От этой роли зависит, нужен ли договор поручения и кто отвечает за обработку.
3) Достаточно ли подписать договор поручения?
Нет. Договор поручения — только первый уровень контроля. Оператору нужно собирать доказательства исполнения: документы по ИБ, сведения о локализации, список субподрядчиков, подтверждение обучения, результаты аудитов и информацию об инцидентах.
4) Какие условия должны быть в поручении обработки?
В поручении нужно закрепить цели обработки, категории субъектов, перечень данных, действия с данными, срок обработки, требования к защите, обязанность соблюдать конфиденциальность и безопасность, требования по локализации, организационные меры, обязанность предоставлять документы и иную информацию и уведомления об инцидентах.
5) Почему оператор отвечает за нарушения подрядчика?
Если подрядчик действует по поручению оператора, оператор сохраняет ответственность перед субъектом персональных данных. Поэтому важно не только передать данные по договору, но и доказать, что подрядчик был проверен и контролировался. Если подрядчик является иностранным лицом, то и оператор, и иностранное лицо несут ответственность перед субъектом персональных данных.
6) Что хранить в досье подрядчика?
Минимально: договор поручения, анкету подрядчика, политику ПДн, документы по ИБ, сведения об инфраструктуре и локализации, список субподрядчиков, историю инцидентов, результаты аудитов и подтверждение уничтожения или возврата данных.
7) Когда нужно проводить внеплановую проверку подрядчика?
При утечке, смене облачного провайдера, переносе баз данных, появлении новых субпроцессоров, расширении перечня данных, изменении цели обработки или подключении подрядчика к новой системе.
Итог
Несмотря на законодательную обязанность, контроль подрядчиков без DPO возможен, если компания не подменяет его формальным подписанием договора. Устойчивую позицию дают три элемента: правильная квалификация роли подрядчика, конкретное поручение обработки и регулярное досье доказательств.
Если подрядчик получает доступ к персональным данным, оператор должен понимать, что именно передается, зачем, где хранится, кто еще участвует в обработке и как подтверждается защита данных. Без этих ответов риск остается у компании, даже если нарушение фактически произошло на стороне контрагента.
Следующий практический шаг — составить реестр подрядчиков с доступом к ПДн и проверить по каждому: роль, договор, меры защиты, субподрядчики, локализация, инциденты и порядок прекращения обработки.