Где заканчивается ответственность оператора и начинается ответственность подрядчика

⚖️ Передали данные подрядчику — ответственность не ушла вместе с ними

Это одно из самых распространённых заблуждений: «мы данные не храним, их хранит наш CRM-провайдер / колл-центр / аналитическое агентство — значит, и отвечают они». По 152-ФЗ это не так.

Если вы передаёте данные третьей стороне для обработки в ваших интересах — эта сторона называется поручителем (ст. 6 152-ФЗ). Вы остаётесь оператором и несёте ответственность перед субъектом данных за всё, что происходит с его данными у подрядчика.

💡 Что это означает на практике:

— С поручителем нужно заключить отдельный договор, где прописаны: цели обработки, перечень данных, обязанность соблюдать 152-ФЗ и уничтожить данные после окончания работ

— Если подрядчик допустил утечку — РКН придёт к вам, а не к нему

— Пункт «мы не несём ответственности за действия третьих лиц» в договоре с клиентом вас не защитит

Перед тем как передать базу подрядчику, проверьте три вещи: есть ли с ним договор-поручение, где физически находятся его серверы (требование локализации распространяется и на него), и что происходит с данными после окончания контракта.