Получить бесплатную предварительную консультацию
Получить бесплатную предварительную консультацию
Передача персональных данных подрядчикам
Многие онлайн-сервисы привлекают сторонние сервисы и компании: курьерские службы для доставки, колл-центры, облачные CRM, сервисы e-mail рассылок и др. При этом происходит передача персональных данных третьим лицам, что допускается законом только при соблюдении ряда условий. Чтобы законно передавать данные подрядчикам, нужно действовать по двум направлениям: документально оформить отношения с ними и проинформировать пользователей.
Договоры с подрядчиками. Согласно 152-ФЗ, если вы привлекаете другого лица к обработке персональных данных (например, пользуетесь сервисом рассылок или зовёте курьера доставить товар), такое лицо может выступать либо оператором, либо «порученным лицом» (обработчиком) на основании договора. В договоре поручения на обработку персональных данных пропишите обязательства подрядчика защищать данные, использовать их строго по вашему заданию и соблюдать конфиденциальность. Пример: заключите с курьерской службой соглашение о неразглашении данных получателей и об использовании их только для доставки. Без договора передача данных считается нарушением, и ответственность за утечку или незаконное использование может лечь на вас как на оператора.
Уведомление пользователей. В Политике конфиденциальности необходимо указать, какие третьи лица получают персональные данные и для чего. Например: «данные передаются курьерской компании ___ для осуществления доставки, сервису ___ для отправки email-уведомлений, хостинг-провайдеру ___ и т.д.». Пользователь должен понимать, что его информацию получат сторонние организации. Если планируется трансграничная передача (например, вы пользуетесь зарубежным сервисом вроде Google Analytics или передаете иные данные на территорию другой страны), об этом тоже сообщите отдельно в политике, предварительно решив вопрос с уведомлением Роскомнадзора о такой передаче.
Обоснование: с 1 июля 2025 года вступили в силу новые поправки в Федеральный закон «О персональных данных», которые запрещают сбор, хранение, обновление, систематизацию и другие операции с персональными данными граждан РФ в базах, расположенных за пределами России
Договоры с подрядчиками. Согласно 152-ФЗ, если вы привлекаете другого лица к обработке персональных данных (например, пользуетесь сервисом рассылок или зовёте курьера доставить товар), такое лицо может выступать либо оператором, либо «порученным лицом» (обработчиком) на основании договора. В договоре поручения на обработку персональных данных пропишите обязательства подрядчика защищать данные, использовать их строго по вашему заданию и соблюдать конфиденциальность. Пример: заключите с курьерской службой соглашение о неразглашении данных получателей и об использовании их только для доставки. Без договора передача данных считается нарушением, и ответственность за утечку или незаконное использование может лечь на вас как на оператора.
Уведомление пользователей. В Политике конфиденциальности необходимо указать, какие третьи лица получают персональные данные и для чего. Например: «данные передаются курьерской компании ___ для осуществления доставки, сервису ___ для отправки email-уведомлений, хостинг-провайдеру ___ и т.д.». Пользователь должен понимать, что его информацию получат сторонние организации. Если планируется трансграничная передача (например, вы пользуетесь зарубежным сервисом вроде Google Analytics или передаете иные данные на территорию другой страны), об этом тоже сообщите отдельно в политике, предварительно решив вопрос с уведомлением Роскомнадзора о такой передаче.
Обоснование: с 1 июля 2025 года вступили в силу новые поправки в Федеральный закон «О персональных данных», которые запрещают сбор, хранение, обновление, систематизацию и другие операции с персональными данными граждан РФ в базах, расположенных за пределами России
Нюанс: трансграничная передача. Передача данных граждан РФ за границу разрешена, но требует направления отдельного уведомления о трансграничной передаче данных. Если страна обеспечивает адекватную защиту (перечень утверждает Роскомнадзор) и если получено письменное согласие субъекта на трансграничную передачу, достаточно уведомить Роскомнадзор. Если страна не обеспечивает адекватную защиту данных (например, США), то в этом случае необходимо дождаться ответа Роскомнадзора (10 дней), а только потом начинать передачу. Штраф за трансграничную передачу без уведомления – для организаций до 100 тыс. руб. Поэтому, если вы, к примеру, используете иностранный сервис рассылки или аналитики, формально нужно подать дополнительное уведомление в РКН. На практике многие этого не делают, что подтверждается результатами профилактических визитов Роскомнадзора.
Штраф за трансграничную передачу без уведомления – для организаций до 100 тыс. руб. Поэтому, если вы, к примеру, используете иностранный сервис рассылки или аналитики, формально нужно подать доп.уведомление в РКН. На практике многие этого не сделали; в ходе профилактического визита РКН обычно рекомендует исправиться. Также не стоит афишировать перед проверяющими использование иностранных сервисов без уведомления – это лишний повод для штрафа.
Обязанность уведомления о начале обработки. Напомним, что любой оператор ПД обязан уведомлять Роскомнадзор при начале обработки, если не подпадает под исключения ст.22 Закона (исключения, например: только для исполнения трудового договора, только для одноразовых пропусков и др.). Большинство коммерческих сайтов подают такое уведомление один раз. Но если вы изначально не указали в уведомлении, что данные передаются третьим лицам или за границу, а потом начали это делать – требование закона таково, что нужно за 10 дней сообщить об изменении сведений в Роскомнадзор. Штраф за непредставление актуальных сведений невелик (до 5 тыс. руб. для юрлица), но несоблюдение может негативно сказаться при проверке.
Включите в свои процессы контроль передачи данных подрядчикам. Заключите необходимые соглашения о конфиденциальности и обработке ПД. В документах для пользователей пропишите всех партнеров, кто получает данные. Это не только требование закона, но и элемент прозрачности бизнеса: клиенты лояльнее относятся к компаниям, которые честно рассказывают, куда пойдут их данные.
Штраф за трансграничную передачу без уведомления – для организаций до 100 тыс. руб. Поэтому, если вы, к примеру, используете иностранный сервис рассылки или аналитики, формально нужно подать доп.уведомление в РКН. На практике многие этого не сделали; в ходе профилактического визита РКН обычно рекомендует исправиться. Также не стоит афишировать перед проверяющими использование иностранных сервисов без уведомления – это лишний повод для штрафа.
Обязанность уведомления о начале обработки. Напомним, что любой оператор ПД обязан уведомлять Роскомнадзор при начале обработки, если не подпадает под исключения ст.22 Закона (исключения, например: только для исполнения трудового договора, только для одноразовых пропусков и др.). Большинство коммерческих сайтов подают такое уведомление один раз. Но если вы изначально не указали в уведомлении, что данные передаются третьим лицам или за границу, а потом начали это делать – требование закона таково, что нужно за 10 дней сообщить об изменении сведений в Роскомнадзор. Штраф за непредставление актуальных сведений невелик (до 5 тыс. руб. для юрлица), но несоблюдение может негативно сказаться при проверке.
Включите в свои процессы контроль передачи данных подрядчикам. Заключите необходимые соглашения о конфиденциальности и обработке ПД. В документах для пользователей пропишите всех партнеров, кто получает данные. Это не только требование закона, но и элемент прозрачности бизнеса: клиенты лояльнее относятся к компаниям, которые честно рассказывают, куда пойдут их данные.