Алексей Ветров
Эксперт по защите данных IC-TECH
Организация, которая привлекает подрядчиков для уничтожения носителей с персональными данными, обязана контролировать их работу и документировать этот процесс. Это требование связано с обязанностью оператора обеспечивать безопасность ПДн на всех этапах обработки, включая утилизацию.
Обоснование по законодательству
- ФЗ-152, ст. 6 и 19 — оператор отвечает за законность обработки ПДн, в том числе при привлечении третьих лиц.
- ФЗ-152, ст. 18.1 — оператор обязан принимать необходимые правовые и организационные меры защиты ПДн.
- ГОСТ Р 57580.1-2017 — предусматривает контроль подрядчиков, участвующих в процессах обработки и уничтожения данных.
Какие документы оформляются
- Договор с подрядчиком — должен содержать условия об уничтожении носителей, порядке отчётности и ответственности.
- Акт проверки подрядчика — фиксирует факт проведения контроля: дата, проверяемая организация, предмет проверки (условия хранения, методы уничтожения, наличие лицензий).
- Отчёт о проверке — более развёрнутый документ, включающий выводы, замечания и рекомендации.
- Фото- или видеоматериалы (при необходимости) — как подтверждение факта уничтожения.
- Акт приёмки оказанных услуг — подтверждает, что подрядчик выполнил уничтожение носителей в полном объёме.
Что фиксировать в акте проверки
- наименование подрядчика и его реквизиты;
- наличие лицензий и сертификатов на утилизацию носителей;
- описание процесса уничтожения (механическое разрушение, демагнетизация, программное удаление и др.);
- соблюдение требований безопасности и конфиденциальности;
- подписи проверяющих и представителя подрядчика.
Практика проверок Роскомнадзора
В ряде случаев надзорные органы выявляли нарушения у компаний, которые передавали носители на уничтожение, но не могли подтвердить факт контроля подрядчика. При этом наличие актов проверок и отчётов о выполнении работ признаётся достаточным подтверждением исполнения требований ФЗ-152.
Вывод
Проверку подрядчиков по уничтожению носителей нужно фиксировать документально. Минимальный набор — договор, акт проверки, акт приёмки услуг. Это позволит доказать, что оператор контролирует весь цикл работы с ПДн и не допускает рисков утечки.
Правильно оформить документы для проверки подрядчиков и включить их в полный пакет документов по ФЗ-152 Вам поможет IC-TECH.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
