Компании-операторы почти всегда работают с подрядчиками. Но такие третьи лица могут быть либо обработчиками, либо самостоятельными операторами.
Разграничение зависит не от названия стороны в договоре и не от технической роли исполнителя, а от того, кто определяет цель обработки, объем и категории ПДн, допустимые операции, срок хранения, порядок удаления, условия доступа и общие правила использования данных.
Если подрядчик действует в рамках ваших целей обработки ПДн, с ним необходимо заключить поручение на обработку ПДн — ч. 3 ст. 6 152-ФЗ.
Требований к форме нет: поручение может быть разделом договора или приложением к нему.
Что должно содержаться в поручении?
➡️ перечень ПДн;
➡️ перечень действий с ПДн;
➡️ цели обработки;
➡️ обязанность соблюдать конфиденциальность и безопасность данных при их обработке;
➡️ требования к защите обрабатываемых данных в соответствии со ст. 19 Закона 152-ФЗ;
➡️ обязанность по запросу оператора представлять документы и иную информацию, подтверждающие принятие необходимых мер и соблюдение требований закона, а также обязанность уведомлять оператора об инцидентах с утечкой данных.
На практике также целесообразно закреплять условия возможности или запрета привлечения субподрядчиков (субобработчиков), сроки и порядок возврата либо уничтожения данных, порядок реагирования на запросы субъектов и регулятора.
ЧЕМ ГРОЗИТ ОТСУТСТВИЕ ПОРУЧЕНИЯ?
Негативные последствия для подрядчика:
Во-первых, обработчик, действующий по поручению, не обязан получать согласие субъекта на обработку ПДн (ч. 4 ст. 6 152-ФЗ), поскольку правовое основание обработки обеспечивает оператор. При отсутствии поручения подрядчику придется самостоятельно обосновывать наличие такого основания.
Во-вторых, при наличии поручения оператор отвечает перед субъектом ПДн за действия подрядчика-обработчика, а подрядчик — перед оператором. Отсутствие поручения приводит к возложению административных штрафов на подрядчика, если нарушение произошло на его стороне. С учетом роста штрафов с мая 2025 года это уже существенный риск.
Негативные последствия для оператора:
Отсутствие поручения означает потерю контроля за действиями подрядчика: какие технические и организационные меры безопасности он применяет, будут ли ПДн уничтожены после достижения цели обработки, какие действия с ПДн он вправе совершать и будет ли привлекать иных лиц.
Четко установленные условия поручения не позволяют подрядчику использовать ПДн в своих целях, расширять перечень операций по своему усмотрению, хранить данные дольше установленного срока или передавать их иным лицам вне пределов поручения и согласованных условий.
КАКИЕ ВАРИАНТЫ, ЕСЛИ ПОДРЯДЧИК НЕ ХОЧЕТ ЗАКЛЮЧАТЬ ПОРУЧЕНИЕ?
✔️Вариант 1: Добиваться подписания поручения и не передавать ПДн до подписания. Это наиболее безопасный вариант, хотя он может затянуть согласование договора.
✔️Вариант 2: Признать подрядчика вторым самостоятельным оператором. Стороны свободны в заключении договора (ст. 421 ГК РФ), и РКН не вправе трактовать условия заключенного договора, переквалифицировать отношения, выстроенные между оператором и подрядчиком. Однако модель «оператор – оператор» может быть рискованна для обеих сторон.
✔️Вариант 3: Отказаться от взаимодействия с подрядчиком и выбрать контрагента, который согласен на заключение поручения.
ЧЕК-ЛИСТ по взаимодействию с подрядчиком:
➡️ Роль подрядчика. Оцените, действительно ли подрядчик самостоятельно определяет цели обработки ПДн или действует в ваших целях. Если второй вариант, то с ним необходимо подписать поручение.
➡️ Корректное поручение – оружие и щит оператора. Поручение должно включать обязательные условия, установленные ч.3 ст.6 152-ФЗ. Кроме того, то, насколько проработанным будет поручение, влияет в дальнейшем на ваши возможности управления действиями подрядчика и защитой собственных интересов.
➡️ Альтернативные варианты. Если подрядчик отказывается подписывать поручение, вы можете либо продолжать настаивать на заключении документа, либо переквалифицировать отношения на модель «оператор – оператор».
➡️ Незаменимых нет. Если подрядчик не готов ни на один из предложенных альтернативных вариантов, возможно, стоит рассмотреть других контрагентов.
Отказ подрядчика подписывать поручение на обработку означает, что оператор лишается ключевого механизма контроля за обработкой данных.
В такой ситуации правомерным и безопасным для оператора является не продолжение передачи персональных данных на доверии, а выбор наиболее подходящего варианта взаимодействия с таким третьим лицом или отказ от сотрудничества с ним вовсе.
