Обоснование по законодательству
- Ст. 6, ч. 3 ФЗ-152 — оператор может поручить обработку ПДн другому лицу, если получено согласие субъекта и с подрядчиком заключён договор.
- Ст. 18.1 ФЗ-152 — оператор обязан обеспечивать внутренний контроль и (или) аудит соответствия обработки ПДн требованиям закона.
- Ст. 19 ФЗ-152 — требует организационных мер по защите ПДн, в том числе ограничение и документирование доступа сотрудников.
- Приказ ФСТЭК № 21 — предписывает проводить инструктаж сотрудников, имеющих доступ к ПДн, и фиксировать его документально.
Какие документы можно запросить у подрядчика
- Программа инструктажа по ПДн — утверждённый документ, который определяет содержание обучения.
- Журнал инструктажа сотрудников подрядчика — фиксирует даты, темы, ФИО сотрудников, подписи инструктируемых и инструктора.
- Приказ о назначении ответственного за ПДн у подрядчика.
- Справка или акт, подтверждающий проведение инструктажа для конкретных сотрудников, работающих по договору.
- Обязательства о неразглашении ПДн, подписанные сотрудниками подрядчика.
Практика проверок
Роскомнадзор и ФСТЭК при проверках часто требуют у оператора доказательства, что подрядчики действительно соблюдают требования ФЗ-152. Если компания не может показать документы о проведении инструктажа у подрядчика, регулятор считает, что контроль не был обеспечен. В предписаниях указывается на необходимость закрепления такого контроля в договорах и получения подтверждающих документов.
Рекомендации и выводы
Да, проведение инструктажа по ПДн у подрядчиков должно подтверждаться документально. Заказчику стоит включить в договор условие о предоставлении подрядчиком копий журналов инструктажа или актов о его проведении. Это позволит доказать, что организация выполнила свою обязанность по контролю за обработкой данных.
Компания ICTech поможет вашей организации составить договоры с подрядчиками с правильными пунктами о ПДн и разработает формы актов и журналов, которые можно требовать в качестве подтверждения.
