Контрагент под контролем: как не потерять персональные данные из-за подрядчика

Передавая ПДн (персональные данные) подрядчику, например, для маркетинга или поддержки сайта, компания остаётся за них ответственной в соответствии с законом 152-ФЗ. Даже если утечка произойдёт у исполнителя, штрафы получит заказчик. Как выстраивать систему контроля, чтобы минимизировать риски, объяснила руководитель направления информационной безопасности компании Б-152 Екатерина Витенбург.

Почему подрядчик — это слабое звено в системе защиты персональных данных

За последний год доля кибератак на крупные компании через их подрядчиков достигла 15%. Дело в том, что система защиты у малого и среднего бизнеса обычно слабее.

Допустим, организация обратилась к IT-интегратору. Если будут скомпрометированы его пароли, то злоумышленники получат доступ ко всем его клиентам. Банальный пример – взломали аккаунт сотрудника подрядчика, узнали логины и пароли для доступа к сети заказчика и так проникли в конечную цель.

Но кроме кибератак возможна случайная или намеренная передача конфиденциальной информации сотрудниками подрядчика.

• В Китае сотрудники маркетинговой компании украл данные 96 клиентов, включая Alibaba и Baidu, и заработали на этом $4 млн.
• В США сотрудница подрядчика АНБ распечатала и передала СМИ секретный доклад.
• В Миссури администратор по ошибке отправил медицинские данные 20 тыс. детей не тем адресатам.
• У провайдера услуг по выпуску банковских карт в США произошла утечка данных 10 тыс. клиентов из-за ошибки в настройках сервера, которую допустили специалисты обслуживающей организации.

Риск утечки повышается, если компании пишут стандартные формулировки или вообще не включают пункт о защите ПДн. А нужно не только юридически корректно оформлять документы, но ещё интересоваться процессом обработки на стороне подрядчиков – где данные хранятся, как используются, у кого есть к ним доступ, как именно их уничтожают.

4 красных флага, которые говорят о низком уровне информационной защиты контрагента

Большинство проблем вытекают из отсутствия чётких правил обработки данных со стороны подрядчика. Поэтому проверьте, не совершает ли ваш бизнес-партнёр типичных ошибок, которые становятся лазейками для киберпреступников.

1. Отправляют файлы или сообщения с ПДн через электронную почту или мессенджеры, хранят информацию на устройствах или в системах без пароля.
2. Пользуются съёмными носителями. Файлы с флэшки легко скопировать, а ещё её можно потерять или отдать. Особую опасность представляют бывшие сотрудники подрядчика, у которых могут остаться данные на личных устройствах и накопителях.
3. Хранят ПДн на зарубежных облачных сервисах, что нарушает требования закона о локализации данных.
4. Не закрывают доступ к ПДн сотрудникам, которым для работы он не нужен. Чем больше людей могут посмотреть и скопировать информацию, тем выше вероятность утечки.

Как выстроить безопасную работу с подрядчиками

Ответственность подрядчика полностью зависит от договора и NDA. Поэтому чётко прописывайте правила обработки ПДн.

• Цели и способы обработки.
• Конкретные действия с данными.
• Сроки хранения и порядок удаления.
• Подробные требования к защите и чёткие критерии их подтверждения, возможность получить подтверждения выполнения.
• Запрет на передачу третьим лицам без уведомления.
• Обязательство немедленного уведомления об инцидентах.

До передачи данных проведите комплексную проверку подрядчика. Попросите заполнить анкету с вопросами по защите ПДн, чтобы исключить красные флаги. Проанализируйте внутренние документы контрагента и убедитесь, что они написаны не для галочки. А если подрядчик собирает ПДн для вашей компании самостоятельно, убедитесь, что он берёт согласия субъектов и они грамотно оформлены.

Заказчик имеет право требовать у подрядчика провести внутренний аудит или предоставить отчёт о соблюдении условий защиты ПДн. А в случае проверки Роскомнадзора – запросить сведения о процессе их обработки.

Как доказать вину подрядчика в утечке персональных данных

Подрядчик несёт ответственность за утечку ПДн в порядке регресса, после проведения тщательного расследования. Если есть зрелая инфраструктура для информационной безопасности, то при наличии логов от средств защиты, в том числе dlp, доказать причастность контрагента проще.

Подобная судебная практика уже сформирована. Например, в 2024 году IT-компания разрабатывала для банка модуль «Заявка на кредит». Работы были приняты и оплачены, однако после запуска модуля произошла утечка персональных данных заёмщиков. Ответчик указывал на то, что у банка не было претензий на момент сдачи проекта, а безопасность данных — обязанность самого банка согласно его внутренним положениям, тем более его сотрудники имели доступ к серверу. Банк же доказал, что утечка произошла из-за конкретных неправомерных действий сотрудника подрядчика, а именно директора по техническим вопросам. Он создал журнальный файл с ПДн для отладки и разместил его в открытом доступе в интернете без какой-либо защиты, а после завершения работ не удалил его и не уведомил об этом заказчика. То есть его действия не предусмотрены договором и техническим заданием. Суд поддержал банк и удовлетворил иск полностью.

Компенсация финансовых убытков зависит от условий договора и предоставленных доказательств, а возместить репутационные убытки, увы, через суд не получится. Доказать невиновность организации в утечке ПДн или причастность контрагента поможет только независимая экспертиза по результатам расследования инцидента или форензики.

Для этого компании стоит установить сам факт утечки и причинённый вред, поэтому нужно прикрепить к материалам предписание регулятора, протокол, постановление о назначении штрафа. Но самое главное – подчеркнуть причинно-следственную связь между действиями подрядчика и утечкой. Соответственно, важно понимать, как произошла утечка, какие действия или бездействия к ней привели, отражены ли они в договоре или стали самодеятельностью. Аргументами в пользу заказчика могут стать сам договор, техническое задание, акты сдачи-приёмки работ, результаты внутренних проверок и т.д. Тем более по ГК РФ (ст. 748), если работы выполнены ненадлежащим образом, подрядчик не может ссылаться на недостаточный контроль со стороны заказчика.

Чем рискует бизнес: штрафы за утечку персональных данных в 2025 году

С 30 мая 2025 года штрафы за нарушения, связанные с ПДн, кратно выросли.

• Утечка более 100 тыс. записей – до 15 млн рублей.
• Компрометация биометрии – до 20 млн рублей.
• Утечка специальных категорий ПДн – до 15 млн рублей.
• Повторные нарушения – до 3% годовой выручки, но не менее 20 млн рублей.

Если утечка произошла у подрядчика, ответственность всё равно несёт оператор ПДн, то есть заказчик. При отсутствии в договоре чётких условий обработки данных и контроля, штрафы будут применены в максимальном размере.

Чек-лист для бизнеса: что можно сделать для предотвращения утечек самостоятельно и уже сейчас

Откажитесь от формальностей при работе с подрядчиками в пользу стратегического подхода.

1. Заведите реестр подрядчиков, у которых есть доступ к ПДн. Указывайте, какие данные вы им передаёте, какие для этого есть основания, в каких документах зафиксированы условия передачи и обработки ПДн и кто назначен ответственным за безопасность ПДн в рамках сотрудничества.
2. Разработайте дополнительный DPA-блок с поручением на обработку ПДн, который будете включать в договоры с подрядчиками. Так вы установите правила обработки и зафиксируете свою позицию как оператора ПДн. Подпишите дополнительные соглашения с текущими подрядчиками.
3. Подготовьте анкеты и чек-листы для проверки зрелости ИБ контрагентов. В них должны быть вопросы месту физического хранения ПДн, каналам передачи, срокам хранения.

Проведите внутренний аудит или внешнюю экспертизу, чтобы выявить проблемные участки и избежать штрафов в случае инцидентов, которые произошли по вине других организаций.