Передача персональных данных подрядчикам: почему ответственность всё равно остаётся на бизнесе
В какой-то момент почти любой бизнес передаёт персональные данные третьим лицам.

Обновлено: 2026 год
Содержание
Маркетологам — для рекламы.
Бухгалтерии — для расчётов.
IT-подрядчикам — для поддержки сервисов.
CRM, облакам, аналитике — «потому что без этого нельзя».

И почти всегда звучит один и тот же аргумент:

«Мы передали данные подрядчику — значит, дальше это уже не наша ответственность».

С точки зрения закона — это одно из самых опасных заблуждений.

В этой статье разберём, почему передача персональных данных подрядчикам не снимает ответственность с бизнеса, какие ошибки допускаются чаще всего и где компании сами создают себе серьёзные риски.
Почему бизнесу кажется, что ответственность можно «передать»
Логика понятна и кажется здравой:

  • подрядчик — отдельная компания
  • у него свои договоры и специалисты
  • он «профессионал»
  • значит, пусть он и отвечает

Но законодательство о персональных данных устроено иначе.
Кто несёт ответственность при передаче персональных данных
Логика понятна и кажется здравой:

  • подрядчик — отдельная компания
  • у него свои договоры и специалисты
  • он «профессионал»
  • значит, пусть он и отвечает

Но законодательство о персональных данных устроено иначе.
Что считается передачей персональных данных подрядчикам
Передача — это не только «отдали базу целиком».

К передаче персональных данных третьим лицам относится, например:

  • передача заявок маркетинговому агентству
  • доступ бухгалтера к данным сотрудников
  • использование CRM или облачного сервиса
  • аналитические платформы
  • хостинг и серверы
  • call-центры и службы поддержки

Даже если данные не «переезжают», а просто становятся доступными — это уже передача.
Ошибка №1. «У нас есть договор — значит, всё законно»
Очень частая ситуация:

  • договор с подрядчиком есть
  • но он никак не регулирует работу с персональными данными

В результате:

  • не определены роли сторон
  • не описаны обязанности подрядчика
  • не зафиксированы меры защиты
  • не урегулирована ответственность

Формальный договор не защищает бизнес, если в нём нет логики обработки данных.
Ошибка №2. Подрядчик обрабатывает данные «как ему удобно»
Когда бизнес не устанавливает правила:

  • подрядчик сам решает, как хранить данные
  • кто имеет доступ
  • как долго данные используются
  • куда они могут передаваться дальше

При утечке или жалобе бизнесу будет сложно доказать, что он контролировал обработку персональных данных.
Ошибка №3. Отсутствие информирования субъекта данных
Очень часто:

  • клиент или сотрудник не знает
  • что его данные передаются подрядчику
  • и кому именно

Отсутствие прозрачности — отдельное нарушение, которое:

  • легко выявляется
  • сложно оправдывается
  • напрямую влияет на ответственность оператора
Ошибка №4. Использование подрядчиков «по умолчанию»
Типичная ситуация:

  • сервис подключили «как у всех»
  • никто не анализировал, какие данные туда уходят
  • документы не обновлялись

В результате:

  • фактическая передача есть
  • юридического оформления — нет
  • политика конфиденциальности устарела
  • Это системная проблема для персональных данных в бизнесе.
Ошибка №5. Надежда на репутацию подрядчика
Фразы вроде:

«Это крупная компания»
«У них точно всё по закону»

не имеют юридического значения.

Если происходит:

  • утечка
  • жалоба
  • проверка

регулятор в первую очередь задаёт вопросы оператору, а не подрядчику.
Что именно проверяют при передаче данных подрядчикам
При проверках анализируют:

  • кому передаются данные
  • на каком основании
  • отражено ли это в документах
  • ограничены ли цели обработки
  • обеспечен ли контроль

Если бизнес не может это объяснить — риски возрастают в разы.
Как должна быть выстроена безопасная передача персональных данных
Рабочая модель включает:

  • чёткое определение ролей (кто оператор, кто обработчик)
  • договорное регулирование обработки данных
  • ограничение целей и объёма передачи
  • контроль доступа и сроков хранения
  • информирование субъектов данных

Это не усложняет работу с подрядчиками, но существенно снижает юридические риски.
Почему передача данных — один из самых опасных участков
Потому что здесь сходятся сразу несколько факторов:

  • данные выходят за пределы компании
  • контроль ослабевает
  • документы часто формальные
  • бизнес теряет прозрачность процессов

Именно поэтому утечки и проверки часто начинаются с подрядчиков
Вывод
Передача персональных данных подрядчикам не освобождает бизнес от ответственности. Оператором остаётся компания, которая решила, зачем и как данные используются.

Иллюзия «мы передали — значит, не отвечаем» — одна из самых опасных в сфере персональных данных.

Только системный и осознанный подход к передаче данных позволяет бизнесу:

  • работать с подрядчиками безопасно
  • не бояться проверок
  • защищать репутацию и клиентов