Передача персональных данных при смене подрядчика — это юридически и организационно значимый процесс, который нужно зафиксировать документально, чтобы подтвердить законность действий оператора и соблюдение требований ФЗ-152.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3 — оператор вправе поручить обработку ПДн другому лицу только при условии, что в договоре закреплены обязанности по защите данных.
- ФЗ-152, ст. 19 — оператор обязан принимать организационные и технические меры по предотвращению неправомерного доступа к ПДн, в том числе при их передаче.
- Постановление Правительства РФ № 687 от 15.09.2008 — предписывает оператору обеспечивать контроль за действиями подрядчиков.
Какие документы нужны при передаче ПДн новому подрядчику
- Акт передачи ПДн — фиксирует состав переданных данных, дату, стороны передачи, количество и носители (бумажные или электронные).
- Договор или допсоглашение с новым подрядчиком — с обязательным включением условий о защите и порядке обработки ПДн.
- Акт уничтожения данных у прежнего подрядчика (если хранение им данных больше не требуется).
- Журнал передачи ПДн — запись о факте передачи (для внутреннего контроля).
- Протокол проверки нового подрядчика (опционально) — подтверждает, что новый исполнитель способен обеспечить защиту данных.
Практика и позиция Роскомнадзора
Роскомнадзор в своих разъяснениях подчёркивает, что при смене подрядчика особенно важно подтвердить два факта:
- данные были переданы по акту, с указанием объёма и состава информации;
- предыдущий подрядчик уничтожил копии данных.
В проверках часто выявляют, что оператор расторг договор с одним подрядчиком и заключил с другим, но акта уничтожения у первого нет. Это считается нарушением, так как остаётся риск сохранения ПДн в чужой системе.
Что важно учитывать компаниям
- Передача ПДн должна оформляться так же строго, как и передача материальных ценностей.
- Недостаточно только договора с новым подрядчиком — нужен полный документальный след: акт передачи, подтверждение уничтожения у прежнего исполнителя.
- Если данные передаются в электронном виде, рекомендуется дополнительно оформлять протокол шифрования или защищённого канала передачи.
Рекомендации и выводы
Документирование передачи ПДн при смене подрядчика должно включать акт передачи, договор с новым исполнителем и акт уничтожения у старого. Это минимальный набор, который позволит компании доказать законность обработки данных и избежать претензий надзорных органов.
