Цифровой мир диктует свои условия. Сейчас сложно представить себе компанию, которая не использует облачные сервисы для хранения документов, кадровых и бухгалтерских сервисов, CRM на сторонних серверах и т.д. Аренда IT-мощностей стала стандартом как для малого, так и для крупного бизнеса. Однако эта практика ведет к ключевому последствию: персональные данные работников, клиентов и контрагентов – физических лиц оказываются где-то там, в облаках, на серверах провайдеров.

Главное заблуждение: "Провайдер и ответит". 

Мало кто задумывается, а что будет, если пресловутая утечка данных произойдет на стороне поставщика таких услуг. Точнее, большинству кажется, что отвечать за нее будет провайдер. Утечка то по его вине…

Нет. Штраф за утечку будет платить оператор персональных данных, т.е. ваша компания. По закону тот факт, что вы арендовали облако или купили цифровую услугу не снимает с вашей компании статуса оператора. Закон определяет оператора как лицо, которое устанавливает цели обработки персональных данных, их объем, способы обработки, правовые основания и т.д.

Если при этом вы используете не свои инструменты, а арендованные, все равно вы решаете, что именно обрабатывать, да и обрабатывать ли вообще. И перед субъектами персональных данных, Роскомнадзором и законом вы и будете отвечать.

Типичные ошибки

1.Формальный подход к вопросу проверки поставщика услуги. Не уточнили при заключении договора, какие именно средства безопасности он применяет.

2. Некорректный договор с провайдером. Не разграничили в договоре четко ответственность за данные, а также сам факт вероятности доступа поставщика к данным, которые будут загружены в его систему.

3.Бездействие ответственного лица. У вас ведь приказом назначен ответственный за организацию обработки персональных данных, как того требует закон? Вот это его прямая обязанность – проверять поставщиков цифровых услуг.

Прецедент Верховного Суда: урок для всех

В конце января Верховный Суд РФ вынес постановление (постановление ВС РФ от 21.01.2026 № 5-АД25-119-К2), которое в очередной раз доказывает ответственность оператора за то, какого поставщика он нанимает. Что примечательно, штраф за нерадивого провайдера получил Минтруд РФ. Утечка данных сотрудников Министерства и их родственников произошла еще в ноябре 2023 года. Так что, штраф Минтруд заплатит не по новым частям ст. 13.11 КоАП, где суммы доходят до десятков миллионов рублей, а по старой версии ч. 1 ст. 13.11 КоАП, где максимальная сумма 100000 рублей.

Сейчас так просто уже не отделаться, т.к. штрафы по утечкам гораздо выше. И ошибка при выборе цифрового провайдера становится гораздо дороже.

Как минимизировать риски? Экспертные шаги:

1. Тщательно оценивайте провайдера: Запрашивайте и анализируйте документы, подтверждающие их соответствие требованиям 152-ФЗ.
2. Детализируйте договор: Внесите в соглашение пункты, полностью регулирующие обработку ПДн.
3. Регулярно проводите внутренний аудит: Убедитесь, что процессы соответствуют законодательству.
4. Обучите ответственного сотрудника: Он должен глубоко разбираться в теме, а не просто числиться в приказе.

Если ваш ответственный не до конца понимает, что именно и как проверять в документах, приходите к нам на услугу аудит документов и процессов по персональным данным.

Мы поможем:

• Проверить существующие договоры с провайдерами на соответствие законодательству.
• Выявить слабые места в ваших процессах обработки ПДн.
• Разработать четкий чек-лист для оценки будущих подрядчиков.
• Избежать многомиллионных штрафов и защитить репутацию вашего бизнеса.