Найти в Дзене
Б-152: защита персональных данных
41 подписчик

ПОДРЯДЧИКИ И ПДН

3
2 мин
ПОДРЯДЧИКИ И ПДН Кто за что отвечает, и как это оформить? 📄 Не так давно мы выпустили информативный пост про утечку через подрядчика с опросом: «А как у вас с ними обстоят дела?» ⬛️ Большинство признались: работа с ними не выстроена, кто и за что отвечает — непонятно, но многим захотелось в этом разобраться. Как же навести порядок? Давайте выяснять... Мы выделили ключевые моменты и хотим рассказать, что с ними делать: ➡️ Оператор ≠ обработчик Это не вопрос, кто владеет базой. По 152-ФЗ оператор тот, кто определяет цели и способы обработки. Обработчик лишь исполняет указания. 👉 Если вы передаете подрядчику данные, но именно вы решаете, зачем и как их обрабатывать, вы остаетесь оператором. А значит, отвечаете за обеспечение безопасности персональных данных ➡️ Передача ПДн подрядчику ≠ освобождение от ответственности Ссылаться на то, что «это слил подрядчик», не выйдет. 👉 Даже при работе с IT-аутсорсом, облаком или бухгалтерией вы обязаны контролировать, как подрядчик обращаетс

ПОДРЯДЧИКИ И ПДН

Кто за что отвечает, и как это оформить? 📄

Не так давно мы выпустили информативный пост про утечку через подрядчика с опросом: «А как у вас с ними обстоят дела?» ⬛️

Большинство признались: работа с ними не выстроена, кто и за что отвечает — непонятно, но многим захотелось в этом разобраться. Как же навести порядок? Давайте выяснять...

Мы выделили ключевые моменты и хотим рассказать, что с ними делать:

➡️ Оператор ≠ обработчик

Это не вопрос, кто владеет базой. По 152-ФЗ оператор тот, кто определяет цели и способы обработки. Обработчик лишь исполняет указания.

👉 Если вы передаете подрядчику данные, но именно вы решаете, зачем и как их обрабатывать, вы остаетесь оператором. А значит, отвечаете за обеспечение безопасности персональных данных

➡️ Передача ПДн подрядчику ≠ освобождение от ответственности

Ссылаться на то, что «это слил подрядчик», не выйдет.

👉 Даже при работе с IT-аутсорсом, облаком или бухгалтерией вы обязаны контролировать, как подрядчик обращается с данными

➡️ Один договор не спасет

Даже если в договоре есть пункт «обязуется соблюдать 152-ФЗ», этого мало.

👉 Нужно оформлять отдельное поручение на обработку ПДн, включать конкретные условия: цель, перечень данных, меры защиты, порядок возврата или уничтожения. А также инструкции и регламенты

➡️ Ответственные и уполномоченные — это не одно и то же

Внутри компании есть ответственные лица, они действуют от вашего имени. Внешние подрядчики являются уполномоченными обработчиками.

👉 Для первых нужен приказ, должностные инструкции, обучение. Для вторых — договор с поручением, проверка ИБ-мер, акты и контроль

➡️ Назначить недостаточно. Нужен контроль

Если вы назначили ответственного или наняли подрядчика, это еще не система.

👉 Проверьте:

— есть ли журнал инструктажей?

— подписаны ли обязательства о конфиденциальности?

— проводится ли аудит доступа к ПДн?

➡️ Ошибки в ролях = дыры в защите и штрафы

Пример из практики: IT-подрядчик слил базу, оператор сказал «это не мы», но все равно получил штраф.

👉 Если вы не разграничили роли документально, контролирующий орган сочтет, что ответственности никто не несет, но наказание все равно будет

А полный разбор о том, как выстроить систему ролей и разграничить ответственность, читайте в нашей новой статье «Контрагент под контролем: как не потерять персональные данные из-за подрядчика» 👆

Если же вы пока просто «взяли на подряд сисадмина и забыли», пора пересмотреть подход. А если непонятно с чего начать или опасаетесь штрафов, приходите, подскажем 💙

😎