Подрядчик дорабатывает 1С — а вы оформили передачу данных сотрудников?

Ситуация из практики

Компания решила доработать 1С - автоматизировать расчёт премий, подключить новый отчёт, перенести данные из старой базы, в общем все, что угодно. Привлекли для этой работы подрядчика. Заключили договор на IT-услуги, дали доступ к базе, специалист начал работать. В базе - ФИО, паспортные данные, адреса, зарплаты, ИНН и СНИЛС сотрудников. По сути - полный набор персональных данных.

И вот вопрос: а вы оформили передачу этих данных подрядчику, как полагается?
Задаю я этот вопрос не просто так, а потому что по закону есть довольно серьезная ответственность за передачу ПДн третьему лицу без надлежащего оформления:

• Нет поручения - обработка ПДн без законного основания. Штраф для юридических лиц от 150 000 до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

• Нет согласия работников - обработка без надлежащего письменного согласия. Штраф для юридических лиц от 300 000 до 700 000 рублей (ч. 2 ст. 13.11 КоАП РФ).

• Утечка через подрядчика - от 3 млн до 15 млн рублей в зависимости от масштаба (ч. 12–14 ст. 13.11 КоАП РФ). При повторной утечке - оборотные штрафы от 1 до 3% годовой выручки, минимум 20 млн рублей (ч. 15 ст. 13.11).

• Нарушение ст. 88 ТК - дополнительно по ст. 5.27 КоАП РФ (нарушение трудового законодательства) - до 50 000 рублей на юрлицо.

Обратите внимание: штрафы могут быть назначены одновременно. За одну ситуацию - и за отсутствие поручения, и за отсутствие согласия.

Предлагаю разобраться, что нужно сделать, чтобы при проверке РКН или трудовой инспекции не возникло неприятных сюрпризов. Для простоты понимания ограничимся только юридической стороной вопроса - техническую защиту оставим за скобками.

Главное: два закона - два документа

Когда вы привлекаете подрядчика к работе с базой 1С, в которой есть данные сотрудников, одновременно «включаются» два закона, и каждый требует свой документ:

152-ФЗ требует оформить поручение на обработку ПДн - договор (или раздел в договоре) с набором обязательных условий (ч. 3 ст. 6 152-ФЗ).

Трудовой кодекс требует получить письменное согласие каждого работника на передачу его ПДн третьей стороне (ст. 88 ТК РФ).

[Источник: ст. 6 ч. 3 Федерального закона от 27.07.2006 № 152-ФЗ, https://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/]

[Источник: ст. 88 ТК РФ, https://www.consultant.ru/document/cons_doc_LAW_34683/693c16ad10f7f494a958cb007737bd678c221d4c/]

Один закон без другого - неполная защита. Многие компании оформляют поручение по 152-ФЗ, но забывают про согласие по ТК. Или наоборот. А нужно и то, и другое.

Дальше разберём: кто есть кто в этой схеме, что прописать в каждом документе и как это выглядит в реальных сценариях.

Мини-база: ключевые понятия

Оператор и обработчик по поручению

Оператор - лицо, которое самостоятельно определяет цели и средства обработки персональных данных (п. 2 ст. 3 152-ФЗ). Это ваша компания-работодатель. Именно вы решаете, зачем и как обрабатывать данные сотрудников.

Обработчик по поручению - лицо, которое действует строго в рамках задания оператора: не определяет самостоятельно, какие данные обрабатывать и для чего. Подрядчик по доработке 1С - классический обработчик по поручению. Он работает с данными не для себя, а для выполнения вашей задачи.

Обратите внимание: обработчик по поручению не обязан самостоятельно получать согласие субъектов ПДн (ч. 4 ст. 6 152-ФЗ). Эта обязанность лежит на операторе - то есть на вас.

Что считается «обработкой» при доработке 1С

Обработка персональных данных - это любое действие с ними: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, удаление, уничтожение (ст. 3 152-ФЗ). Если подрядчик видит реальные данные сотрудников в базе - это уже обработка. Даже если он «просто смотрит» на записи, чтобы понять структуру данных. Просмотр = извлечение = обработка.

Документ 1: поручение на обработку ПДн

Что это и зачем

Поручение - это договор (или раздел в основном договоре), в котором оператор формально передаёт обработчику право работать с определёнными персональными данными в определённых целях. Без него передача ПДн подрядчику - нарушение.

Обязательные условия

С 1 сентября 2022 года (в ред. Федерального закона от 14.07.2022 № 266-ФЗ) требования к содержанию поручения стали существенно детальнее. Вот что обязательно должно быть (ч. 3 ст. 6 152-ФЗ):

1. Перечень персональных данных, которые будут обрабатываться (ФИО, паспорт, адрес, зарплата и т.д.).

2. Перечень действий (операций) с данными - что именно подрядчик будет делать (просмотр, модификация, тестирование, миграция).

3. Цели обработки - зачем (доработка отчётов, миграция данных, настройка модуля).

4. Обязанность соблюдать конфиденциальность персональных данных.

5. Обязанность обеспечивать безопасность ПДн при их обработке.

6. Требования к защите ПДн в соответствии со ст. 19 152-ФЗ, включая уведомление оператора об инцидентах.

7. Обязанность по запросу оператора предоставлять документы, подтверждающие соблюдение требований.

8. Требования, предусмотренные ч. 5 ст. 18 и ст. 18.1 152-ФЗ.

Поручение может быть отдельным приложением к договору или частью основного договора на IT-услуги. Главное - чтобы все обязательные условия были прописаны явно, а не «подразумевались». Без них договор нельзя считать полноценным поручением по смыслу закона.

Кто за что отвечает

Оператор отвечает перед субъектом (перед работником) за действия обработчика. Обработчик отвечает перед оператором (ч. 5 ст. 6 152-ФЗ).

На практике: если подрядчик допустил утечку данных ваших сотрудников - штраф получите вы. Потом вы сможете взыскать ущерб с подрядчика по договору, если там это предусмотрено. Но перед регулятором и субъектами отвечаете вы.

С 2022 года у оператора также появилась обязанность контролировать, как обработчик соблюдает требования. Нельзя просто «отдать и забыть» - нужен механизм проверки.

Документ 2: письменное согласие работников (ст. 88 ТК)

Почему поручения по 152-ФЗ недостаточно

Вот где начинается юридический «перекрёсток». Часть 3 ст. 6 152-ФЗ говорит: оператор вправе поручить обработку другому лицу «с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом».

А ст. 88 ТК - это и есть тот самый «иной федеральный закон». Он устанавливает более жёсткое требование для передачи ПДн работников: согласие должно быть письменным.

Почему это важно? По 152-ФЗ в ряде случаев можно обойтись без согласия - например, если обработка необходима для исполнения договора (п. 5 ч. 1 ст. 6) или для выполнения обязанностей по закону (п. 2 ч. 1 ст. 6). Но ст. 88 ТК - специальная норма для трудовых отношений, и она прямо запрещает передачу ПДн работника третьим лицам без письменного согласия.

Что должно быть в согласии

• Наименование и реквизиты подрядчика (кому передаются данные).

• Перечень передаваемых ПДн (только то, к чему подрядчик реально получит доступ).

• Цель передачи (доработка информационной системы 1С).

• Срок действия согласия.

• Порядок отзыва.

Обратите внимание: с 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено отдельным документом - его нельзя включать в трудовой договор, в пользовательское соглашение или другой документ (ч. 1 ст. 9 152-ФЗ в ред. от 08.08.2024 № 233-ФЗ).

Два сценария на практике

Теперь посмотрим, как это выглядит в реальной жизни - и какие ошибки допускают чаще всего.

Сценарий 1: Подрядчик подключается удалённо к рабочей базе 1С:ЗУП

Что происходит: Специалист подрядчика получает логин-пароль и заходит в вашу рабочую базу через удаленный рабочий стол, веб-интерфейс или тонкий клиент. Видит реальные ФИО, зарплаты, паспортные данные.

Какие документы нужны: Оба - поручение на обработку (со всеми обязательными условиями) + письменное согласие работников.

Где обычно ошибаются: «У нас же договор на IT-услуги - этого достаточно». Нет. Обычный договор на услуги - не поручение на обработку ПДн. В нём нет обязательных условий по ч. 3 ст. 6. А согласие работников по ст. 88 ТК чаще всего просто не оформляют - забывают, что это отдельное требование.

Сценарий 2: Подрядчик получает копию базы для разработки

Что происходит: Вы выгружаете копию базы и передаёте подрядчику (на флешке, через облако, по FTP). Подрядчик разворачивает базу на своём сервере и работает с ней.

Какие документы нужны: Оба + дополнительно в поручении - обязанность подрядчика уничтожить копию базы после завершения работ и подтвердить уничтожение документально (акт уничтожения).

Где обычно ошибаются: Подрядчик забрал копию на флешке, а потом никто не проконтролировал удаление. Копия осталась на личном ноутбуке специалиста, «где-то в облаке». Если данные утекут - штраф получит оператор, потому что именно он обязан контролировать обработчика.

Можно ли обойтись без согласия работников?

Это самый частый вопрос. Рассмотрим варианты.

Вариант 1: Работа на обезличенных данных (безопасный)

Самый чистый путь. Вы создаёте тестовую базу, в которой все реальные ПДн заменены на вымышленные. Структура данных сохраняется, подрядчик работает с «фантомами». Если нет ПДн, то нет вопросов ни по 152-ФЗ, ни по ст. 88 ТК.

Минус: не всегда технически возможно. При миграции данных, проверке расчётов зарплаты на реальных цифрах обезличивание не подойдёт.

Вариант 2: Обоснование через другие основания 152-ФЗ (рискованный)

В теории можно попробовать обосновать передачу данных подрядчику через:

• п. 5 ч. 1 ст. 6 - обработка необходима для исполнения договора с субъектом ПДн. Логика: трудовой договор → для его исполнения нужна работающая 1С → для этого нужен подрядчик. Но это натяжка: трудовой договор не предусматривает напрямую доработку информационных систем, и работник не является стороной договора с подрядчиком.

• п. 2 ч. 1 ст. 6 - обработка необходима для выполнения обязанностей, возложенных на оператора законом. Но ТК не обязывает работодателя привлекать подрядчика для доработки 1С - это ваше добровольное решение.

Вариант очень спорный и это рискованно. Даже если подобрать основание по 152-ФЗ, ст. 88 ТК продолжает требовать письменное согласие. При проверке трудовой инспекции или жалобе сотрудника отсутствие согласия - готовый состав нарушения.

Поэтому оптимальным действием часто становится подписание согласий заранее. Да, это дополнительная бумага. Но она закрывает вопрос и по 152-ФЗ, и по ТК одновременно. Содержание согласия - см. раздел «Документ 2» выше.

Резюмируем пошаговый алгоритм

Шаг 1. Определите, может ли подрядчик работать на тестовых/обезличенных данных. Если да - ни поручение, ни согласие не нужны, и на этом можно остановиться.

Шаг 2. Если подрядчик будет видеть реальные ПДн - включите в договор поручение на обработку со всеми обязательными условиями (см. раздел «Документ 1»).

Шаг 3. Получите письменные согласия работников отдельным документом с указанием конкретного подрядчика (см. раздел «Документ 2»).

Шаг 4. Если подрядчик получает копию базы - пропишите в поручении обязанность уничтожить копию после завершения работ и запланируйте получение акта уничтожения.

Шаг 5. Предусмотрите в договоре право на проверку соблюдения требований подрядчиком.

В заключение

Тема подрядчиков и 1С - частный случай более широкой задачи: как правильно работать с обработчиками по поручению. Те же принципы применимы к бухгалтерии на аутсорсе, кадровому агентству, колл-центру и любому другому внешнему исполнителю, который получает доступ к данным ваших сотрудников или клиентов.

Если тема для вас актуальна и сами не можете справиться с оформлением согласно закона, можете написать мне в личку.

Если просто хотите узнавать больше про 152-ФЗ и держать руку на пульсе, можно подписаться на мой телеграм-канал или канал в MAX