Если подрядчик нарушает закон, заказчик всё равно может оказаться крайним. В российском IT-регуляторике формальный договор не снимает ответственности — особенно когда речь идёт о защите информации. Владельцы данных и операторы персональных данных не могут просто переложить всё на исполнителя. Регулятор смотрит на реальный контроль и возможность влиять на процессы. Даже если в договоре прописаны все обязательства подрядчика, отсутствие должного надзора с вашей стороны станет вашей проблемой. Это несправедливо, но так работает система. https://seberd.ru/4846
Почему «мой подрядчик» — не щит от ответственности
Распространённое заблуждение: заключил договор, прописал в нём требования по 152-ФЗ или 187-ФЗ, и вся ответственность за их соблюдение ложится на исполнителя. На практике регулятор (Роскомнадзор, ФСТЭК) при проверке в первую очередь смотрит на оператора — то есть на вас, заказчика. Вы остаётесь владельцем информационных ресурсов и персональных данных. Подрядчик — лишь ваш инструмент. Если инструмент используется незаконно, вопрос о том, кто им управлял.
Ключевой критерий — возможность реального контроля. Имели ли вы доступ к системам подрядчика? Проводили ли аудит его процессов? Могли ли вы дать указание исправить нарушение? Если ответ «нет», это не освобождает от ответственности, а, наоборот, становится отягчающим обстоятельством. Это трактуется как халатность и неисполнение обязанностей по обеспечению безопасности.
Что говорит закон: формальное и фактическое
152-ФЗ «О персональных данных» прямо возлагает обязанности на оператора. Статья 18.1 обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты данных. Привлечение третьего лица (подрядчика) не снимает этой обязанности — оператор должен обеспечить, чтобы подрядчик также соблюдал требования закона.
Аналогично, в сфере защиты критической информационной инфраструктуры (КИИ) и гостайны, регулируемой ФСТЭК, ответственность за допуск подрядчика и контроль за его работой лежит на владельце объекта КИИ. Договор не заменяет собой систему допуска и надзора.
Судебная практика подтверждает этот подход. Есть прецеденты, когда штрафы за утечку данных выписывались заказчику, даже если непосредственным исполнителем работ был сторонний разработчик или хостинг-провайдер. Аргумент суда: оператор не обеспечил должный контроль за обработкой.
Разработка и хостинг сайта с формой обратной связи
Вы наняли студию для создания корпоративного сайта. Студия разместила сайт на своём или арендованном сервере, на сайте есть форма для заявок, собирающая ФИО и телефоны. Вы не спрашивали, где физически расположены серверы, как защищены данные, соответствует ли хостинг требованиям 152-ФЗ для хранения персональных данных россиян. В случае утечки или проверки Роскомнадзора вопросы будут к вам. Вы не можете сослаться на незнание.
Аутсорсинг технической поддержки и администрирования
Вашу инфраструктуру обслуживает сторонняя компания. У её сотрудников есть полный доступ к серверам, базам данных, журналам. Если администратор со стороны подрядчика совершит ошибку, приведшую к инциденту безопасности, или намеренно скопирует данные, отвечать за нарушение режима конфиденциальности будет ваша организация. Вы доверили доступ, но не организовали надлежащий учёт и контроль действий привилегированных пользователей.
Внедрение CRM-системы
Подрядчик внедряет облачную или локальную CRM. В процессе настройки он может некорректно определить права доступа, оставить тестовые учётные записи с простыми паролями или не настроить шифрование каналов связи. Фактически система оказывается уязвимой. Проверка ФСТЭК или Роскомнадзора выявит эти недочёты, и предписание с штрафом получите вы, а не внедренческая компания.
Как построить отношения с подрядчиком, чтобы не отвечать за его ошибки
Полностью снять с себя ответственность нельзя, но её можно грамотно распределить и минимизировать риски. Вот практические шаги.
- Детальный договор, это только начало. Включите в договор не просто отсылку к 152-ФЗ, а конкретный перечень организационных и технических мер, которые подрядчик обязуется выполнять. Пропишите его обязанность предоставлять отчёты о проведённых мероприятиях по безопасности.
- Проверка компетенций и инфраструктуры. Запросите у подрядчика документы: свидетельство ФСТЭК о соответствии его СЗИ, аттестат соответствия требованиям по безопасности информации (если работа связана с КИИ или ГИС), заключение по модели угроз для используемых им облачных сервисов. Не верьте на слово.
- Право на аудит. Закрепите в договоре ваше право проводить или инициировать независимый аудит безопасности систем подрядчика, связанных с выполнением вашего заказа. Это мощный рычаг контроля.
- Регламент инцидентов. Чётко пропишите порядок действий при инциденте информационной безопасности: сроки уведомления, форму отчёта, обязанности по взаимодействию с регулятором. Это поможет действовать согласованно, если проблема всё же возникнет.
- Ответственность по договору. Установите в договоре соразмерные штрафные санкции для подрядчика на случай нарушений, которые привели к штрафам от регулятора для вас. Это создаст финансовый стимул для него соблюдать требования.
Что делать, если нарушение уже выявлено
Если вы обнаружили, что подрядчик работает с нарушениями, алгоритм должен быть жёстким и быстрым.
- Фиксация. Задокументируйте нарушение: скриншоты, логи, письменные запросы и ответы. Всё это понадобится как для внутреннего разбирательства, так и потенциально для регулятора.
- Официальное предписание. Направьте подрядчику официальное письмо с требованием устранить нарушение в конкретный срок. Укажите ссылки на пункты договора и нормы закона.
- Приостановка работ и доступов. Если нарушение критично (например, утечка данных), немедленно приостановите работы и отзовите все доступы подрядчика к вашим системам и данным.
- Внутреннее расследование и отчётность. Оцените масштаб инцидента. Если затронуты персональные данные, возможно, вы обязаны уведомить Роскомнадзор в соответствии со ст. 22 152-ФЗ. Демонстрация активных действий по пресечению и расследованию смягчит позицию регулятора.
- Расторжение договора и взыскание убытков. В случае грубых или неустранимых нарушений инициируйте расторжение договора и готовьтесь к взысканию понесённых убытков (включая возможные штрафы) через суд.
Вывод: управление риском, а не его перекладывание
В российском правовом поле, особенно в регулируемых отраслях, заказчик не может оставаться пассивным наблюдателем. Работа с подрядчиком, это активный процесс управления рисками. Ваша задача — выстроить такую систему контроля и договорных отношений, где у подрядчика не будет ни возможности, ни желания работать с нарушениями. Ответственность останется общей, но бремя доказывания своей добросовестности перед регулятором вы сможете снять, предъявив документы о проведённых проверках, аудитах и предписаниях. В конечном счёте, «мой подрядчик нарушал» — не оправдание, а показатель того, что ваша система управления безопасностью дала сбой.