SaaS и ИСПДн: где граница ответственности оператора и обработчика

⚖️ Используете SaaS? Вы всё равно несёте ответственность за данные — но не за всё подряд

Компания — оператор ПДн. Использует CRM, облако, аутсорсинговую бухгалтерию. Вопрос: нужно ли считать каждый SaaS-сервис своей информационной системой персональных данных (ИСПДн), писать модели угроз и акты?

Короткие ответы:

📌 Включать SaaS в реестр ИСПДн — да. Не формальность, а фиксация зоны ответственности: цели обработки, объём данных, ссылка на договор с провайдером.

📌 Определять уровень защищённости — да. Иначе нечем обосновать требования к SaaS-провайдеру и нечего у него потребовать.

📌 Составлять акт определения УЗ как для собственной ИСПДн — нет. Вы пользователь сервиса, не его владелец. Владелец ИСПДн — обработчик.

📌 Писать модель угроз — частично. В своей части: риски на стороне оператора (доступ к учётным записям, права пользователей, защита рабочих мест).

⚠️ Если SaaS-провайдер отказывается подписывать поручение на обработку ПДн — это красный флаг. При утечке штраф получит оператор, а не провайдер.

Рабочая модель на практике:

— зафиксировать сервис в перечне систем

— понять уровень защищённости передаваемых данных

— предъявить провайдеру требования и получить подтверждение их соблюдения

— подписать поручение на обработку

— заранее договориться о порядке действий при утечке

SaaS не снимает с оператора ответственности — он только перераспределяет её часть на обработчика. Но только если это правильно оформлено.