Как проверить подрядчиков и SaaS-сервисы на 152-ФЗ
Подрядчик или SaaS-сервис становится частью риска по 152-ФЗ, если получает заявки, клиентскую базу, записи звонков, адреса доставки, историю заказов или данные из личного кабинета. Владелец сайта не может просто сказать: «это хранится у сервиса, значит это не наша зона».
Проверка подрядчиков нужна до подключения виджета, CRM, рассылки, коллтрекинга или облачного хранилища. После подключения исправлять договоры и доступы обычно дороже.
Кого нужно проверять
- CRM и сервисы заявок;
- онлайн-чаты и обратные звонки;
- email-рассылки и SMS-провайдеры;
- сервисы аналитики и сквозной аналитики;
- подрядчики по разработке и поддержке сайта;
- облачные хранилища и таск-трекеры с клиентскими данными;
- логистика, оплата, бронирование и коллтрекинг.
Что спросить у сервиса
| Вопрос | Зачем |
|---|---|
| Где физически хранятся данные | оценить локализацию и трансграничность |
| Кто имеет доступ к данным | понять роли и подрядчиков |
| Есть ли договор обработки ПДн | закрепить поручение и меры |
| Как удалить данные | закрыть срок хранения и отзыв |
| Есть ли журналы и 2FA | оценить технический минимум |
Что должно быть в договоре
В договоре или приложении нужно описать цель обработки, категории данных, действия с данными, меры защиты, порядок удаления, ответственность, запрет лишней передачи и условия привлечения субподрядчиков.
Если подрядчик получает доступ к CRM или админке, отдельным пунктом стоит описать выдачу и отзыв доступов. После окончания работ доступ должен закрываться, а не жить годами.
Красные флаги
- сервис не отвечает, где хранит данные;
- нет договора или DPA по обработке ПДн;
- нельзя удалить данные пользователя;
- поддержка просит прислать базу клиентов в мессенджер;
- все сотрудники подрядчика работают под одним аккаунтом;
- сервис ставит сторонние трекеры без понятного списка.
Коротко
Если сервис российский, его всё равно нужно проверять?
Да. Российская юрисдикция не отменяет вопросы доступа, договора, сроков хранения, удаления и технических мер.
Нужен ли договор с каждым виджетом?
Если виджет получает или обрабатывает ПДн, условия обработки нужно закрепить. Формат зависит от сервиса: договор, оферта, приложение или DPA.
Практический следующий шаг
Проверьте, куда сайт отправляет заявки
Бесплатный пре-скан покажет внешние формы и виджеты. Полный аудит 152-ФЗ за 700 ₽ помогает собрать список сервисов для проверки.