Информационная безопасность крупных компаний: аутсорсеры как критическое звено риска утечек данных в РФ.

В эпоху цифровизации и глобализации бизнес-процессов крупные российские компании все активнее привлекают аутсорсеров для обработки колоссальных массивов данных, включая персональные данные (ПДн) и коммерческую тайну (КТ). Отметим также, что целью привлечения аутсорсера к сотрудничеству может не являться непосредственно обработка ПДн, это могут быть совершенно отдельные функции. Вместе с тем для их осуществления явно или неявно для сторон взаимодействия могут передаваться ПДн. Передача таких данных третьим лицам создает серьезные уязвимости и является одной из ключевых причин масштабных утечек информации.

С введением в силу с 30.05.2025 новой редакции статьи 13.11 КоАП РФ размеры штрафов за нарушения в сфере обработки ПДн и количество составов правонарушений в этой области значительно увеличились. Руководители крупных компаний отдают себе отчет, что безответственное отношение к обработке ПДн чревато очень серьезными последствиями, вплоть до разорения и прекращения деятельности компании. Отдельная сфера рисков — отношения с контрагентами, регламенты которых в указанной сфере и их соблюдение находятся вне контроля другой стороны.

Ситуация в РФ: реалии и статистика

По данным аналитических агентств, значительная доля утечек ПДн и КТ в России происходит по вине или попустительству контрагентов — аутсорсинговых компаний (IT-поддержка, call-центры, бухгалтерские услуги, облачные сервисы, разработка ПО и т.п.). Причины разнообразны: недостаточный уровень систем безопасности у подрядчика, злонамеренные действия его сотрудников, слабый контроль со стороны заказчика, использование небезопасных каналов передачи данных, человеческий фактор.

— Ужесточение регулирования обращения охраняемых законом данных. Государство активно увеличивает меры ответственности и степень контроля за нарушениями в сфере ПДн и КТ. Роскомнадзор (РКН) проводит плановые и внеплановые проверки операторов ПДн, а ФСБ и МВД расследуют утечки КТ. Участились случаи блокировки ресурсов, публикующих утекшие данные, возбуждаются уголовные дела по соответствующей статье.

— Фокус на импортозамещение. Санкционное давление подталкивает компании к переходу на отечественные ИТ-решения и сервисы. Однако процесс импортозамещения часто происходит в сжатые сроки, что может приводить к выбору незрелых решений или аутсорсеров с недостаточной экспертизой в сфере безопасности, что увеличивает риски.

Юридические и организационные риски при работе с аутсорсерами

Юридические риски

  1. Административная ответственность оператора ПДн или обладателя КТ:

— штрафы по ст. 13.11 КоАП РФ в сфере обработки ПДн (практически неограниченные предельные абсолютные величины, т.к. в том числе введены штрафы в проценте от оборота компании);

— штрафы по ст. 13.14 КоАП РФ в сфере оборота информации с ограниченным доступом;

— штрафы за невыполнение предписаний РКН, ФСТЭК, ФСБ.

  1. Гражданско-правовая ответственность за нарушения в сфере обращения ПДн и КТ. Сюда можно отнести убытки в доказанном размере, а также возмещение морального вреда в пользу физических лиц.
  2. Уголовная ответственность. Особо отметим, что она может наступить как для сотрудников аутсорсера, так и для сотрудников компании-заказчика, допустивших халатность.

Бизнес-риски

  1. Репутационные потери. Ущерб имиджу компании, потеря доверия клиентов и партнеров.
  2. Утечка КТ к конкурентам, срыв сделок, снижение конкурентоспособности.

Организационные риски

  1. Потеря контроля. Физическая и административная отдаленность аутсорсера затрудняет реальный контроль за обработкой данных и соблюдением мер безопасности.
  2. Человеческий фактор на стороне аутсорсера. Риски, связанные с персоналом: недостаточная подготовка, злой умысел, нелояльность.
  3. Недостаточный уровень информационной безопасности аутсорсера. Отсутствие у необходимых политик, регламентов и процедур, а также технических средств защиты, систем управления инцидентами, подготовки сотрудников.

Основы ответственности

Необходимо понимать важнейший принцип, сформулированный в части 5 статьи 6 Закона «О персональных данных», а именно: в случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор.

Таким образом, законодатель не оставил пространства для маневров по переводу ответственности на «компанию-громоотвод», как это все еще возможно сделать в иных областях.

Тем не менее универсальной рекомендацией для компании, передающей ПДн или КТ аутсорсеру, будет следующая. Необходимо в договоре четко и детально оговорить основания ответственности последнего перед компанией, а также размеры такой ответственности или способ их определения.

Рекомендации по минимизации рисков

  1. Тщательный выбор аутсорсера (Due Diligence).
  2. Юридически грамотный и содержательный договор с аутсорсером. Эта тема обширна, требует индивидуального подхода и должна отрабатываться во взаимодействии компании с квалифицированными юристами.
  3. Организационные и технические меры контроля.

Выводы

Передача персональных данных и коммерческой тайны аутсорсерам — неотъемлемая часть современного бизнеса в РФ, но она несет в себе значительные юридические и репутационные риски. Ключевая проблема — делегирование функций без делегирования ответственности. А также опосредованный и слабый контроль за деятельностью контрагента в обозначенной сфере.

Минимизация этих рисков требует системного подхода: от тщательного выбора надежного партнера с подтвержденным уровнем применяемых мер безопасности до разработки юридически проработанных договоров с жесткими условиями конфиденциальности, ответственности и контроля. Инвестиции в аудит аутсорсеров, внедрение эффективных организационных мер контроля и постоянный мониторинг их деятельности — не статья расходов, а необходимое условие выживания и устойчивости бизнеса в условиях ужесточающегося законодательства и растущих киберугроз. В российской правовой среде игнорирование рисков, связанных с аутсорсерами, может привести не только к многомиллионным штрафам, но и к уголовному преследованию и необратимой потере доверия рынка или вовсе утрате бизнеса.

М. Стригалева Генеральный директор аудиторской компании

BLCONS GROUP Санкт-Петербург

А.В. Веселов Аудитор,к. э. н.


Статья: Ключевая проблема — делегирование функций без делегирования ответственности (Стригалева М.) («Трудовое право», 2025, N 8)

<<<Назад