Алексей Ветров
Эксперт по защите данных IC-TECH
Да, оформление протокола о проверке сторонних подрядчиков, которые обрабатывают персональные данные по поручению оператора, является важной частью документооборота по ФЗ-152. Закон прямо не обязывает вести такой протокол, но он необходим для документального подтверждения, что оператор выполняет свою обязанность по контролю подрядчиков.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3 — оператор вправе поручать обработку ПДн другому лицу только при условии, что в договоре предусмотрены обязанности соблюдать требования к защите ПДн.
- ФЗ-152, ст. 19 — оператор обязан принимать меры, в том числе организационные, для предотвращения нарушений, а контроль подрядчиков относится к таким мерам.
- Постановление Правительства РФ № 687 от 15.09.2008 — указывает, что оператор обязан проверять исполнение требований подрядчиком.
Что должно быть в протоколе проверки
- Реквизиты подрядчика (название, ИНН, договор).
- Цель проверки (контроль соблюдения ФЗ-152 и условий договора).
- Проверенные документы (политика ПДн подрядчика, внутренние регламенты, приказы, акты).
- Результаты проверки (соответствие требованиям или выявленные нарушения).
- Рекомендации по устранению недостатков.
- Подписи проверяющих и ответственных лиц подрядчика.
Практика Роскомнадзора и рекомендации
Роскомнадзор в методических рекомендациях отмечает, что оператор несёт ответственность за действия подрядчиков. В практике проверок встречались случаи, когда у компании был договор с подрядчиком, но отсутствовали документы, подтверждающие контроль. Надзорный орган расценивал это как нарушение принципа ответственности оператора. Наличие протокола проверки в таких случаях помогает доказать, что оператор предпринял необходимые меры.
Рекомендации и выводы
Протокол проверки подрядчика не является строго обязательным документом по закону, но:
- он подтверждает выполнение обязанности оператора по контролю;
- помогает избежать претензий со стороны Роскомнадзора;
- формирует доказательную базу при возможных спорах.
Компания ICTech может разработать для вашей организации шаблон протокола проверки подрядчиков по ПДн, чтобы упростить процесс контроля и подготовить правильный комплект документов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
