Популярность аутсорсинга технологических и бизнес-процессов в России продолжает расти, что неудивительно: этот подход дает компаниям реальные преимущества. Он позволяет оптимизировать бюджет, гибко управляя затратами на инфраструктуру и персонал, получить доступ к узкоспециализированной экспертизе без долгосрочных инвестиций и сконцентрировать внутренние ресурсы на ключевых, профильных задачах, повышая общую эффективность бизнеса.
Автор: Дарья Грунтович, руководитель группы по защите ПДн Angara Security
Однако в погоне за операционной эффективностью критически важно не упустить из виду правовые рамки, особенно в сфере обработки персональных данных. Российское законодательство в этой области активно развивается, а санкции за его нарушение ужесточаются. Яркий пример – введенные в последние годы оборотные штрафы, размер которых может исчисляться миллионами рублей и напрямую зависеть от масштаба утечки. Помимо финансовых потерь, компании рискуют столкнуться с блокировками интернет-ресурсов, репутационным ущербом, проверками Роскомнадзора и исками от граждан.
Ключевой вызов при аутсорсинге: любой процесс, переданный внешнему исполнителю (контрагенту), с высокой вероятностью связан с обработкой ПДн клиентов, сотрудников или партнеров. Согласно разъяснениям регулятора и практике применения закона, неправомерная передача данных третьему лицу (например, без надлежаще оформленного согласия субъекта ПДн) может быть квалифицирована как утечка со всеми вытекающими последствиями. Поэтому построение безопасной и легальной модели работы с подрядчиками – не просто формальность, а необходимое условие для защиты бизнеса. Первый и фундаментальный шаг на этом пути – четкое понимание правовой природы взаимодействия. Крайне важно различать передачу ПДн и поручение обработки ПДн.
В случае поручения обработки компания-оператор (заказчик) поручает конкретному подрядчику выполнить определенные действия с персональными данными от ее имени и в ее интересах. Оператор остается полноправным владельцем процесса и несет основную ответственность. Правовым основанием здесь служит договор, в котором детально прописываются перечень действий с данными, цели обработки, обязательство исполнителя соблюдать конфиденциальность и требования к безопасности. Исполнитель в этой модели не становится самостоятельным оператором и работает строго в рамках полученных инструкций.
При передаче ПДн компания-оператор передает данные другому самостоятельному оператору, который будет определять цели и способы их обработки для своих собственных задач. Для такой передачи требуется отдельное, явное, информированное и заранее полученное согласие субъекта ПДн, где указаны конкретный получатель и цели. В этом случае получатель данных становится самостоятельным оператором и несет полную ответственность за их дальнейшую обработку.
Практический вывод для бизнеса заключается в том, что в подавляющем большинстве случаев аутсорсинг процессов (ИТ-обслуживание, расчет зарплаты, кол-центр) подразумевает именно поручение обработки, а не передачу данных. Ошибка в квалификации отношений, например передача данных хостинг-провайдеру без договора поручения, создает серьезные правовые риски и может быть расценена как нарушение. Таким образом, легализация аутсорсинга начинается с выбора правильной правовой модели и ее документального закрепления. Это основа, на которой затем выстраивается вся система контроля и обеспечения безопасности данных на стороне подрядчика.
Передача ПДн vs поручение обработки ПДн
В зависимости от особенностей процесса, для реализации которого привлекаются третьи лица, взаимоотношения между компанией и ее контрагентами могут быть выстроены по двум форматам (см. рис. 1):
- в рамках получения услуг (например, при организации зарплатных проектов, внешнего обучения персонала, деловых поездок) в большинстве случаев предполагается передача ПДн компанией контрагенту;
- при аутсорсинге процессов (бухгалтерский аутсорсинг, юридический аутсорсинг, аутсорсинг кадровых процессов, аутсорсинг ИТ-инфраструктуры: аренда выделенного сервера, сотрудничество по модели услуг IaaS, PaaS, SaaS) чаще всего компания поручает обработку ПДн контрагенту.
Примечание: В данном случае необходимо, в частности, иметь в виду, что при аутсорсинге ИТ-инфраструктуры провайдеры осуществляют хранение баз данных с ПДн своих клиентов на своих вычислительных мощностях. А с учетом того, что под обработкой ПДн понимается в том числе и их хранение, контрагенты, часто сами того не подозревая, осуществляют обработку ПДн. В связи с этим вопросы поручения обработки ПДн следует урегулировать и с провайдерами ИТ-мощностей.
При привлечении контрагентов компании необходимо:
- предусмотреть защиту ПДн как при их передаче, так и при поручении их обработки;
- урегулировать с субъектами ПДн вопросы передачи их ПДн третьим лицам (в том числе в рамках поручения и перепоручения обработки их ПДн), обеспечив необходимые правовые основания для такой передачи;
- урегулировать вопросы трансграничной передачи ПДн (в том числе поручения обработки ПДн иностранному лицу);
- а также выполнить требования о локализации на территории РФ БД с ПДн, используемых при их сборе.
При формате взаимодействия, предполагающем передачу ПДн компанией контрагенту (при получении услуг), обе стороны являются самостоятельными операторами ПДн, поскольку:
- и компания (оператор), и контрагент (оператор) преследуют собственный интерес (то есть самостоятельно определяют цели обработки ПДн в рамках процесса);
- делегирование полномочий компании на ее контрагента в рассматриваемом процессе не предусматривается;
- после прекращения данного взаимоотношения у обеих компаний сохраняется интерес в обработке рассматриваемых ПДн.
Защиту ПДн на своей стороне компания и контрагент выстраивают самостоятельно, в соответствии с требованиями законодательства к деятельности операторов ПДн. Ответственность за обработку и защиту ПДн перед субъектом несут оба оператора. В случае утечки ПДн уведомление в Роскомнадзор об утечке ПДн направляет тот оператор, у которого она произошла.
Формат взаимодействия, предполагающий поручение обработки ПДн компанией контрагенту (при аутсорсинге процессов), имеет ряд существенных отличий и в том числе накладывает определенные ограничения и дополнительную ответственность как на контрагента, так и на компанию. В данном случае компания является оператором ПДн, а ее контрагент – лицом, осуществляющим обработку ПДн по поручению оператора (для краткости далее используется неофициальный термин «обработчик»), поскольку:
- цели обработки ПДн определяет компания (оператор);
- компания (оператор) и контрагент (обработчик) действуют в интересах компании (оператора);
- компания осуществляет делегирование своих функций и полномочий на контрагента, предполагающее поручение обработки ПДн компанией контрагенту;
- после прекращения данного взаимоотношения интерес в обработке рассматриваемых ПДн у контрагента не сохраняется.
Обработчик выстраивает защиту ПДн на своей стороне в соответствии с требованиями оператора, то есть оператор фактически контролирует процесс обработки ПДн у обработчика. Ответственность за обработку и защиту ПДн в рамках процесса, отданного на аутсорсинг, оператор несет перед субъектом ПДн, обработчик – перед оператором (если он является российским юридическим или физическим лицом) или перед оператором и субъектом ПДн (если он является иностранным юридическим или физическим лицом).
В случае утечки ПДн на стороне обработчика он уведомляет о ней оператора. Уведомление в Роскомнадзор об утечке ПДн направляет оператор вне зависимости от того, на чьей стороне она произошла. При этом в связи с тем, что по требованиям законодательства общий срок уведомления Роскомнадзора об утечке и о результатах внутреннего расследования составляет 24 и 72 часа соответственно, сроки уведомления оператора обработчиком следует заблаговременно зафиксировать, например, в соглашении о поручении обработки.
Таким образом, формат поручения обработки ПДн накладывает на оператора ПДн дополнительные обязанности по контролю процесса обработки и защиты ПДн на стороне обработчика, а также ответственность за его действия.
Основные отличия передачи ПДн от поручения обработки ПДн, предусмотренные федеральным законом от 27.07.2006 № 152-ФЗ "О персональных данных" представлены в табл. 1 (выделено жирным шрифтом).
Что делать оператору ПДн при передаче процесса на аутсорсинг
Поскольку аутсорсинг процессов чаще всего предполагает именно поручение обработки ПДн контрагенту, далее более подробно рассмотрен именно такой способ взаимодействия. Чтобы обеспечить соответствие требованиям законодательства о ПДн при передаче процессов на аутсорсинг, компании как оператору ПДн необходимо выполнить следующие действия:
1. Определить контекст процесса, передаваемого на аутсорсинг, а именно:
- цели обработки ПДн в рамках процесса;
- перечень ПДн, обработка которых поручается контрагенту;
- перечень поручаемых контрагенту действий (операций) с ПДн (в соответствии с п. 3 ст. 3 ФЗ-152);
- предполагается ли в рамках процесса трансграничная передача.
2. При осуществлении трансграничной передачи в рамках рассматриваемого процесса:
- выполнить оценку (ч. 5 ст. 12 ФЗ-152) правового регулирования в области ПДн иностранного государства, в котором осуществляет деятельность рассматриваемый контрагент;
- выполнить оценку (ч. 5 ст. 12 ФЗ-152) соблюдения контрагентом мер по обеспечению конфиденциальности и защиты ПДн – что не всегда является тривиальной задачей. Часто компании сталкиваются с непониманием со стороны иностранных контрагентов, которые неохотно предоставляют информацию, необходимую для оценки, либо не предоставляют ее вовсе;
- уведомить Роскомнадзор о намерении осуществлять трансграничную передачу ПДн и дождаться ответа (ст. 12 ФЗ-152). При этом следует учитывать, что в случае, если государство, в которое предполагается осуществлять трансграничную передачу, не входит в перечень иностранных государств, обеспечивающих адекватную защиту ПДн, такую передачу ПДн нельзя осуществлять до получения положительного ответа Роскомнадзора;
- учесть необходимость обеспечить выполнение требования по локализации ПДн (ч. 5 ст. 18 ФЗ-152) при сборе ПДн в базы данных, находящиеся на территории Российской Федерации.
3. Оформить с контрагентами соглашение о поручении обработки ПДн, которое в обязательном порядке должно содержать:
- цели обработки ПДн в рамках процесса;
- перечень ПДн, обработка которых поручается контрагенту;
- перечень поручаемых контрагенту действий (операций) с ПДн (в соответствии с п. 3 ст. 3 ФЗ-152);
- обязанности контрагента как обработчика. К таким обязанностям относятся:
- обеспечение локализации ПДн при сборе (ч. 5 ст. 18 ФЗ-152);
- выполнение обязанностей оператора ПДн в соответствии с ФЗ-152 (18.1 ФЗ-152);
- подтверждение компании (оператору) принятия мер для исполнения требований поручения (ч. 3 ст. 6 ФЗ-152);
- защита ПДн в соответствии с ФЗ-152 (ст. 19 ФЗ-152) и в соответствии с требованиями компании (оператора);
- уведомление компании (оператора) об утечках ПДн (ч. 3.1 ст. 21 ФЗ-152). В том числе важно обозначить предельно допустимое время, в течение которого обработчик обязан будет уведомить оператора, чтобы тот успел уведомить регулятора.
4. Обеспечить корректные правовые основания для поручения обработки ПДн субъектов (ст. 6 ФЗ-152).
В том числе осуществить сбор согласий субъектов ПДн на поручение обработки их ПДн обработчику в рамках аутсорсинга процессов. Если предполагается, что обработчик будет осуществлять перепоручение обработки ПДн субобработчику, данную особенность также необходимо урегулировать как в согласии субъекта, так и в соглашении о поручении обработки ПДн с контрагентом. При этом в зависимости от особенностей процесса, передаваемого на аутсорсинг, согласие на передачу может быть оформлено как в любом виде, позволяющем подтвердить факт его получения, так и с соблюдением требований ч. 4 ст. 9 ФЗ-152 (письменная форма согласия).
5. При появлении новых процессов аутсорсинга или при смене подрядных организаций в уже отданных на аутсорсинг процессах поддерживать актуальность правовых оснований для поручения обработки ПДн, в том числе полученных оператором согласий субъектов ПДн.
Таким образом, пользуясь преимуществами аутсорсинга процессов, операторам следует:
- тщательно выбирать контрагентов и оценивать возможные риски, связанные с их привлечением;
- урегулировать вопросы трансграничной передачи с Роскомнадзором (при ее наличии);
- закрепить обязанности обработчика в договоре поручения обработки ПДн;
- обеспечить корректные правовые основания для поручения обработки ПДн субъектов, в том числе осуществить сбор согласий субъектов ПДн на поручение обработки их ПДн обработчику в рамках аутсорсинга процессов;
- всегда помнить, что ответственность за действия обработчика, в том числе при утечках ПДн, несут именно операторы.