❎ 5 незаметных, но критичных ошибок в договоре с подрядчиком (и как их избежать)
Договор подписан, подрядчик приступил к работе, и все выглядит штатно. Но при утечке данных, жалобе или запросе Роскомнадзора именно вы окажетесь в фокусе внимания. Почему?
Потому что в договоре не прописано, что подрядчик обрабатывает ПДн. А значит — отсутствие возможности требовать от обработчика соблюдение требований 152-ФЗ 🚮
Рассмотрим 5 ключевых ошибок, которые регулярно выявляются при анализе клиентских договоров:
➡️ Нет упоминания о передаче персональных данных
Подрядчик получает доступ к базе или собирает ПДн, но в договоре об этом ни слова. Формально никакой передачи нет. На практике же вы рискуете штрафом за «несанкционированную передачу».
Что делать: прямо укажите, что передаются ПДн, в каком объеме, с какими целями и на каком основании
➡️ Не определены роли: оператор и обработчик
Если в договоре не закреплены роли сторон, к ответственности могут быть привлечены обе стороны как самостоятельные операторы
Что делать: зафиксируйте, кто является оператором, а кто обработчиком. Это определяет обязанности по 152-ФЗ и защищает вас в случае инцидента
➡️ Не установлена обязанность обработчика соблюдать конфиденциальность ПДн и иные требования 152-ФЗ
Фразы «в рамках закона» или «в соответствии с действующим законодательством» юридически ничтожны без конкретики
Что делать: пропишите явное обязательство подрядчика соблюдать требования Федерального закона № 152-ФЗ и иных применимых актов (включая ст. 7, ч. 5 ст. 18, ст. 18.1 и 19 152-ФЗ). Обращаем внимание, что ссылок на нормы законодательства в поручении недостаточно — необходимо обязать обработчика соблюдать конкретные требования, которые возложены на оператора в силу закона
➡️ Не зафиксирована обязанность обработчика предоставлять документы по запросу
Обязанности на обработчика возложены, но не проработан механизм проверки их выполнения
Что делать: дополните договор условием об обязанности обработчика предоставлять вам по запросу информацию и документы, подтверждающие выполнение возложенных на него требований (например, информацию о применяемых средствах защиты информации)
➡️ Нет обязанности сообщать об инцидентах
База «утекла», а вы узнаёте об этом через неделю. Тем временем идет срок уведомления РКН, и окно для реагирования упущено. Ответственным за утечку перед третьими лицами по-прежнему остаетесь вы
Что делать: зафиксируйте обязанность подрядчика уведомить вас об инциденте не позднее 12 часов с момента выявления инцидента, чтобы обеспечить себе время на подготовку уведомления РКН об утечке
✅ Проверьте свои договоры. А если не уверены, то пришлите нам, поможем разобраться!
#Защити_бизнес
😎
