Ответственный за организацию обработки персональных данных обязан контролировать не только внутренние процессы, но и работу подрядчиков, которым передаются ПДн. Его задача — проверять, что контрагенты обрабатывают данные строго в рамках договора и соблюдают требования 152-ФЗ.
Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 6 ч. 3 — оператор вправе поручить обработку ПДн другому лицу только с согласия субъекта и при условии заключения договора;
-
ст. 18.1 ч. 1 п. 3 — оператор обязан оценивать вред, который может быть причинён субъектам, и принимать меры для его предотвращения;
-
ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение законодательства о ПДн и информирует работников (в том числе в части взаимодействия с подрядчиками).
Это означает, что оператор отвечает за действия подрядчика, а ответственный должен организовать контроль этой работы.
Типичные ошибки организаций
— Передают обработку ПДн подрядчику без письменного договора или с договором, где нет условий о защите данных.
— Не проверяют, как подрядчик хранит и использует данные.
— Не фиксируют факт передачи данных актами или журналами.
— Считают, что ответственность переходит на подрядчика, хотя по закону отвечает оператор.
Особенности применения на практике
Ответственный за ПДн должен:
-
проверять наличие в договоре с подрядчиком условий о конфиденциальности и защите ПДн;
-
вести реестр подрядчиков, которым передаются данные;
-
контролировать, что подрядчик использует ПДн только для выполнения договора (например, курьерская служба — только для доставки);
-
при необходимости организовывать акты проверки или аудита подрядчика;
-
фиксировать факты передачи и возврата/уничтожения ПДн документально.
В крупных компаниях контроль может включать аудит подрядчиков, в малом бизнесе — проверку документов и переписку.
Рекомендации и выводы
Ответственный обязан следить, чтобы подрядчики, которым передаются ПДн, обрабатывали их строго по договору и в рамках закона. Для этого нужны корректные договоры, реестры, акты и регламенты. Без такого контроля оператор (а значит, и компания) несёт полную ответственность за нарушения подрядчика.
Если вы хотите быть уверены, что ваши договоры с подрядчиками соответствуют требованиям 152-ФЗ и система контроля передачи ПДн оформлена правильно, закажите в ICTech разработку полного пакета документов по обработке персональных данных. Мы подготовим договорные формулировки, реестры и регламенты контроля подрядчиков, чтобы ваша компания была защищена от рисков и претензий Роскомнадзора.
