Проверка подрядчиков, которые занимаются утилизацией персональных данных (например, уничтожением бумажных носителей или носителей информации), является важной частью организационных мер защиты. Даже если компания передала ПДн по договору, оператор остаётся ответственным перед законом за их сохранность и уничтожение. Поэтому факт проверки подрядчиков необходимо фиксировать документально.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3 — оператор может поручить обработку ПДн другому лицу только по договору, при этом обязан контролировать его действия.
- ФЗ-152, ст. 19 — оператор обязан принимать организационные меры для предотвращения нарушений, включая контроль подрядчиков.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документирования действий, связанных с обработкой и уничтожением ПДн.
- ГОСТ Р 57580.1-2017 — рекомендует фиксировать результаты проверок контрагентов в области защиты информации.
Какие документы подтверждают проверку подрядчиков
- План проверок подрядчиков
— утверждается руководителем;
— определяет сроки, ответственных лиц и периодичность проверок. - Акт проверки подрядчика
— основной документ, фиксирующий факт проверки;
— включает дату, участников, реквизиты договора, выявленные нарушения или подтверждение соответствия. - Отчёт по результатам проверки
— более развёрнутый документ, может включать описание процедуры утилизации, приложенные копии документов подрядчика (сертификатов, лицензий, актов уничтожения). - Протокол комиссии (если создаётся комиссия)
— подписывается несколькими сотрудниками для подтверждения объективности проверки. - Журнал проверок подрядчиков
— внутренний документ, где фиксируются все проведённые проверки и их итоги.
Практика проверок Роскомнадзора
Роскомнадзор при проверках может запросить не только договор и акт уничтожения, но и доказательства контроля подрядчика. В одной организации проверку подрядчиков проводили устно без документов — это было признано нарушением. В другой компании предоставили акты проверок подрядчика с приложением копий лицензий — это подтвердило выполнение ст. 6 ФЗ-152.
Рекомендации и выводы
Да, проверки подрядчиков должны быть зафиксированы документально. Для этого:
- оформляйте акт проверки и при необходимости отчёт с выводами;
- ведите журнал проверок подрядчиков;
- храните копии лицензий и сертификатов подрядчика в приложении к акту.
Компания ICTech может разработать для вашей организации шаблон акта проверки подрядчиков по утилизации ПДн и включить его в пакет документов по ФЗ-152, чтобы ваша компания была готова к любой проверке Роскомнадзора.
