Маркетологам — для рекламы.
Бухгалтерии — для расчётов.
IT-подрядчикам — для поддержки сервисов.
CRM, облакам, аналитике — «потому что без этого нельзя».

И почти всегда звучит один и тот же аргумент:

«Мы передали данные подрядчику — значит, дальше это уже не наша ответственность».

С точки зрения закона — это одно из самых опасных заблуждений.

В этой статье разберём, почему передача персональных данных подрядчикам не снимает ответственность с бизнеса, какие ошибки допускаются чаще всего и где компании сами создают себе серьёзные риски.

Логика понятна и кажется здравой:

• подрядчик — отдельная компания
• у него свои договоры и специалисты
• он «профессионал»
• значит, пусть он и отвечает

Но законодательство о персональных данных устроено иначе.

Логика понятна и кажется здравой:

• подрядчик — отдельная компания
• у него свои договоры и специалисты
• он «профессионал»
• значит, пусть он и отвечает

Но законодательство о персональных данных устроено иначе.

Передача — это не только «отдали базу целиком».

К передаче персональных данных третьим лицам относится, например:

• передача заявок маркетинговому агентству
• доступ бухгалтера к данным сотрудников
• использование CRM или облачного сервиса
• аналитические платформы
• хостинг и серверы
• call-центры и службы поддержки

Даже если данные не «переезжают», а просто становятся доступными — это уже передача.

Очень частая ситуация:

• договор с подрядчиком есть
• но он никак не регулирует работу с персональными данными

В результате:

• не определены роли сторон
• не описаны обязанности подрядчика
• не зафиксированы меры защиты
• не урегулирована ответственность

Формальный договор не защищает бизнес, если в нём нет логики обработки данных.

Когда бизнес не устанавливает правила:

• подрядчик сам решает, как хранить данные
• кто имеет доступ
• как долго данные используются
• куда они могут передаваться дальше

При утечке или жалобе бизнесу будет сложно доказать, что он контролировал обработку персональных данных.

Очень часто:

• клиент или сотрудник не знает
• что его данные передаются подрядчику
• и кому именно

Отсутствие прозрачности — отдельное нарушение, которое:

• легко выявляется
• сложно оправдывается
• напрямую влияет на ответственность оператора

Типичная ситуация:

• сервис подключили «как у всех»
• никто не анализировал, какие данные туда уходят
• документы не обновлялись

В результате:

• фактическая передача есть
• юридического оформления — нет
• политика конфиденциальности устарела
• Это системная проблема для персональных данных в бизнесе.

Фразы вроде:

«Это крупная компания»
«У них точно всё по закону»

не имеют юридического значения.

Если происходит:

• утечка
• жалоба
• проверка

регулятор в первую очередь задаёт вопросы оператору, а не подрядчику.

При проверках анализируют:

• кому передаются данные
• на каком основании
• отражено ли это в документах
• ограничены ли цели обработки
• обеспечен ли контроль

Если бизнес не может это объяснить — риски возрастают в разы.

Рабочая модель включает:

• чёткое определение ролей (кто оператор, кто обработчик)
• договорное регулирование обработки данных
• ограничение целей и объёма передачи
• контроль доступа и сроков хранения
• информирование субъектов данных

Это не усложняет работу с подрядчиками, но существенно снижает юридические риски.

Потому что здесь сходятся сразу несколько факторов:

• данные выходят за пределы компании
• контроль ослабевает
• документы часто формальные
• бизнес теряет прозрачность процессов

Именно поэтому утечки и проверки часто начинаются с подрядчиков

Передача персональных данных подрядчикам не освобождает бизнес от ответственности. Оператором остаётся компания, которая решила, зачем и как данные используются.

Иллюзия «мы передали — значит, не отвечаем» — одна из самых опасных в сфере персональных данных.

Только системный и осознанный подход к передаче данных позволяет бизнесу:

• работать с подрядчиками безопасно
• не бояться проверок
• защищать репутацию и клиентов