Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
10 подписчиков

Делегировать — не значит забыть: как договор с фрилансером превращает вас в соучастника утечки базы

2
3 мин
Владельцы бизнеса часто живут в иллюзии: «Я нанял маркетолога-фрилансера, дал ему доступ к CRM, он сам отвечает за сохранность базы». Но с точки зрения закона (152-ФЗ), как только вы передали стороннему лицу данные клиентов, вы стали Оператором, который поручил обработку данных третьему лицу. И если ваш подрядчик «сольет» базу или потеряет ноутбук с доступом, отвечать перед Роскомнадзором будете вы. Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, как правильно оформлять работу с подрядчиками, чтобы не стать соучастником нарушения безопасности данных. Большинство предпринимателей передают доступ к базе (CRM, рекламным кабинетам, спискам email-адресов) на основании простого гражданско-правового договора (ГПХ) или даже без него — просто «по дружбе». Чтобы спать спокойно, каждый ваш подрядчик, имеющий доступ к ПДн (бухгалтер, маркетолог, IT-специалист, служба доставки), должен работать по правилам: В договоре с подрядчиком должен появиться отдельный раздел, где четко прописано: Нико
Оглавление

Владельцы бизнеса часто живут в иллюзии: «Я нанял маркетолога-фрилансера, дал ему доступ к CRM, он сам отвечает за сохранность базы». Но с точки зрения закона (152-ФЗ), как только вы передали стороннему лицу данные клиентов, вы стали Оператором, который поручил обработку данных третьему лицу. И если ваш подрядчик «сольет» базу или потеряет ноутбук с доступом, отвечать перед Роскомнадзором будете вы.

Меня зовут Дмитрий, я IT-юрист, и сегодня мы разберем, как правильно оформлять работу с подрядчиками, чтобы не стать соучастником нарушения безопасности данных.

В чем главная ошибка бизнеса?

Большинство предпринимателей передают доступ к базе (CRM, рекламным кабинетам, спискам email-адресов) на основании простого гражданско-правового договора (ГПХ) или даже без него — просто «по дружбе».

Почему это опасно:

  1. Отсутствие поручения: Статья 6 (ч. 3) ФЗ-152 прямо требует: если вы поручаете обработку данных кому-то другому, это должно быть зафиксировано договором.
  2. Проблема ответственности: Отсутствие специальных условий о персональных данных существенно осложняет привлечение подрядчика к ответственности и взыскание убытков.
  3. Роскомнадзор не примет оправданий: На вопрос «Почему база оказалась у третьих лиц?» ответ «Это был фрилансер, я не знал» не работает. Это называется «необеспечение безопасности обработки данных».

Как сделать делегирование легальным (Чек-лист)

Чтобы спать спокойно, каждый ваш подрядчик, имеющий доступ к ПДн (бухгалтер, маркетолог, IT-специалист, служба доставки), должен работать по правилам:

1. Включите в договор пункт «Поручение на обработку ПДн»

В договоре с подрядчиком должен появиться отдельный раздел, где четко прописано:

  • Цель обработки данных (например, «для проведения рекламной кампании»).
  • Перечень действий, которые подрядчик имеет право совершать (хранение, систематизация).
  • Обязанность подрядчика соблюдать конфиденциальность и обеспечивать безопасность данных.

2. Разграничьте уровни доступа

Никогда не давайте администраторский доступ к «боевой» базе, если специалисту нужны только аналитические отчеты.

  • Пример: Маркетологу не нужен полный доступ к паспортным данным в CRM, ему достаточно видеть историю заказов и ID клиента.

3. Проверьте, как подрядчик обеспечивает безопасность данных

Перед передачей доступа к персональным данным убедитесь, что подрядчик соблюдает базовые меры информационной безопасности: использует защищенные устройства, надежные пароли, двухфакторную аутентификацию (при наличии такой возможности) и не передает доступы третьим лицам. Формально подписанный договор не поможет, если база клиентов хранится на личном ноутбуке без пароля или учетная запись подрядчика была скомпрометирована.

4. Используйте NDA (Соглашение о неразглашении)

Поручение на обработку — это требование закона, а NDA — это ваша дополнительная страховка. В NDA можно прописать конкретные штрафы за разглашение базы. Это дисциплинирует подрядчиков лучше любого закона.

Что делать, если подрядчик уже работает «без бумаг»?

Ситуация классическая: фрилансер уже месяц работает, база у него в доступе, а бумаг нет.

  • Не паникуйте, но исправляйте: Подпишите Дополнительное соглашение к действующему договору, в котором пропишите все пункты про персональные данные (Поручение на обработку).
  • Зафиксируйте дату: Это покажет регулятору, что вы контролируете процессы и привели их в соответствие закону.

Чек-лист безопасности при работе с аутсорсом:

  • Доступ: Есть ли у подрядчика доступ к данным, которые ему не нужны для работы? (Если да — уберите).
  • Поручение: Есть ли в договоре пункт про обработку ПДн? (Если нет — подпишите допник).
  • История: Если фрилансер уходит, отозван ли у него доступ ко всем сервисам? (Самая частая причина «сливов» — бывшие подрядчики с доступом к паролям).

Заключение

Делегирование — это круто для роста бизнеса, но оно должно быть «оцифровано» юридически. Вы не можете делегировать ответственность за сохранность данных клиентов — она всегда остается на вас, как на владельце базы. Поэтому ваш договор с подрядчиком — это не просто формальность, это ваш главный щит в суде и при проверке регулятора.

P.S. Не уверены, правильно ли оформлены ваши договоры с маркетологами, бухгалтерами или IT-подрядчиками? Присылайте описание того, как у вас выстроена работа с аутсорсом, на kartashovdmitriyi@yandex.ru — я проверю ваши договоры на «дыры», через которые может утечь база, и помогу составить юридически грамотные соглашения.