Если вы передали бухгалтерию, колл-центр, CRM или облако подрядчику, оператором вы быть не перестали.
Вы просто обрабатываете персональные данные через другое лицо. А значит, меняется фактическая схема обработки: кто участвует, где лежат данные, как они защищаются и кто за что отвечает.
Аутсорс не упрощает картину. Он делает ее сложнее. И именно поэтому такую обработку нужно описывать подробнее, а не прятать.
Если коротко:
➡️ аутсорс нужно учитывать в уведомлении в Роскомнадзор, если он влияет на способы обработки, места хранения, меры защиты или трансграничность
➡️ в локальных документах аутсорс обязан быть отражен, иначе документы расходятся с реальностью
➡️ на проверке смотрят на оператора, а не на подрядчика
Где компании чаще всего ошибаются и как корректно описывать аутсорс в уведомлении и ЛНА, мы разобрали в инфографике выше.
На практике проблемы возникают не из-за самого аутсорса, а из-за расхождений между уведомлением, документами и фактическими потоками данных. И помните: если есть сомнения, совпадает ли ваша схема обработки с тем, что описано на бумаге, лучше проверить это заранее, а не в момент запроса от регулятора.
