Добавить в корзинуПозвонить
Найти в Дзене
Б-152: защита персональных данных
40 подписчиков

❎ 5 незаметных, но критичных ошибок в договоре с подрядчиком (и как их избежать

1
2 мин
❎ 5 незаметных, но критичных ошибок в договоре с подрядчиком (и как их избежать) Договор подписан, подрядчик приступил к работе, и все выглядит штатно. Но при утечке данных, жалобе или запросе Роскомнадзора именно вы окажетесь в фокусе внимания. Почему? Потому что в договоре не прописано, что подрядчик обрабатывает ПДн. А значит — отсутствие возможности требовать от обработчика соблюдение требований 152-ФЗ 🚮 Рассмотрим 5 ключевых ошибок, которые регулярно выявляются при анализе клиентских договоров: ➡️ Нет упоминания о передаче персональных данных Подрядчик получает доступ к базе или собирает ПДн, но в договоре об этом ни слова. Формально никакой передачи нет. На практике же вы рискуете штрафом за «несанкционированную передачу». Что делать: прямо укажите, что передаются ПДн, в каком объеме, с какими целями и на каком основании ➡️ Не определены роли: оператор и обработчик Если в договоре не закреплены роли сторон, к ответственности могут быть привлечены обе стороны как самостояте

❎ 5 незаметных, но критичных ошибок в договоре с подрядчиком (и как их избежать)

Договор подписан, подрядчик приступил к работе, и все выглядит штатно. Но при утечке данных, жалобе или запросе Роскомнадзора именно вы окажетесь в фокусе внимания. Почему?

Потому что в договоре не прописано, что подрядчик обрабатывает ПДн. А значит — отсутствие возможности требовать от обработчика соблюдение требований 152-ФЗ 🚮

Рассмотрим 5 ключевых ошибок, которые регулярно выявляются при анализе клиентских договоров:

➡️ Нет упоминания о передаче персональных данных

Подрядчик получает доступ к базе или собирает ПДн, но в договоре об этом ни слова. Формально никакой передачи нет. На практике же вы рискуете штрафом за «несанкционированную передачу».

Что делать: прямо укажите, что передаются ПДн, в каком объеме, с какими целями и на каком основании

➡️ Не определены роли: оператор и обработчик

Если в договоре не закреплены роли сторон, к ответственности могут быть привлечены обе стороны как самостоятельные операторы

Что делать: зафиксируйте, кто является оператором, а кто обработчиком. Это определяет обязанности по 152-ФЗ и защищает вас в случае инцидента

➡️ Не установлена обязанность обработчика соблюдать конфиденциальность ПДн и иные требования 152-ФЗ

Фразы «в рамках закона» или «в соответствии с действующим законодательством» юридически ничтожны без конкретики

Что делать: пропишите явное обязательство подрядчика соблюдать требования Федерального закона № 152-ФЗ и иных применимых актов (включая ст. 7, ч. 5 ст. 18, ст. 18.1 и 19 152-ФЗ). Обращаем внимание, что ссылок на нормы законодательства в поручении недостаточно — необходимо обязать обработчика соблюдать конкретные требования, которые возложены на оператора в силу закона

➡️ Не зафиксирована обязанность обработчика предоставлять документы по запросу

Обязанности на обработчика возложены, но не проработан механизм проверки их выполнения

Что делать: дополните договор условием об обязанности обработчика предоставлять вам по запросу информацию и документы, подтверждающие выполнение возложенных на него требований (например, информацию о применяемых средствах защиты информации)

➡️ Нет обязанности сообщать об инцидентах

База «утекла», а вы узнаёте об этом через неделю. Тем временем идет срок уведомления РКН, и окно для реагирования упущено. Ответственным за утечку перед третьими лицами по-прежнему остаетесь вы

Что делать: зафиксируйте обязанность подрядчика уведомить вас об инциденте не позднее 12 часов с момента выявления инцидента, чтобы обеспечить себе время на подготовку уведомления РКН об утечке

✅ Проверьте свои договоры. А если не уверены, то пришлите нам, поможем разобраться!

#Защити_бизнес

😎

-2
-3
-4
-5
-6
-7