Считается ли аутсорсер оператором персональных данных

Оператор персональных — этот тот, кто собирает и обрабатывает ПД. Это не только компании или органы власти. Если ИП, самозанятый, физлицо без статуса используют личные данные других граждан не для личных целей — они операторы ПД и должны выполнять требования закона.

Оператор самостоятельно составляет перечень ПД, которые он собирает от людей, и с которыми работает. И он же делит их по категориям, чтобы определить требования к защите.

Аутсорсеры — это тоже операторы ПД, если собирают и обрабатывают данные своих работников, исполнителей по договорам ГПХ, клиентов-физлиц, представителей контрагентов и т.д. А значит, на них распространяются все обязанности операторов ПД: уведомлять РКН об обработке, иметь политику обработки ПД, сообщать об утечках, защищать ПД и т.д.

Кроме того, аутсорсеры могут обрабатывать персональные данные по поручению своих клиентов. Например, бухгалтер по договору ГПХ оформляет документы для вычетов работнику заказчика или рекрутер занимается подбором персонала на вакансии. Роскомнадзор рассматривает аутсорсеров как операторов ПД — имейте это ввиду.

До начала обработки персональных данных оператор должен направить уведомление в Роскомнадзор, форма и порядок — на официальном сайте РКН. На основании уведомления Роскомнадзор включит оператора в реестр. В уведомлении обязательно отразите сведения об обработке персональных данных по поручению заказчиков, если оно есть:

добавьте законную цель обработки — например, выполнение условий договора на оказание таких-то услуг;

для каждой цели укажите в соответствующих полях категории и перечень обрабатываемых ПД, субъектов ПД, правовое основание (например, согласие), перечень действий и способы обработки.

Обязанности по защите персональных данных и ответственность аутсорсера устанавливают договором с оператором (ч. 3 ст. 6 закона № 152-ФЗ). Подробнее об этом — в следующем разделе.