Нужно ли разрабатывать внутренний регламент о проверке контрагентов?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, разработка такого документа рекомендуется и во многих случаях обязательна. Проверка контрагентов связана не только с финансовыми и налоговыми рисками, но и с вопросами обработки персональных данных. Если в ходе взаимодействия оператор получает или передаёт ПДн (например, сведения о сотрудниках подрядчиков, контактные данные представителей контрагентов), он обязан убедиться, что другая сторона также соблюдает ФЗ-152.

Что фиксирует регламент проверки контрагентов:

- порядок проверки добросовестности контрагента (включая проверку его статуса оператора ПДн в реестре Роскомнадзора);
- подтверждение, что контрагент имеет документы по ФЗ-152 (политика, положение, согласия и др.);
- оценку рисков при передаче ПДн (в договорах должна быть ссылка на ст. 6 и 9 ФЗ-152);
- порядок документирования результатов проверки (акты, отчёты, чек-листы);
ответственность сотрудников компании за проведение проверки.

Обоснование по законодательству

• Ст. 6 ФЗ-152 — допускает передачу ПДн третьим лицам только при наличии согласия субъекта или иных законных оснований.
• Ст. 18.1 ФЗ-152 — обязывает оператора принимать локальные акты, регулирующие порядок обработки ПДн, включая передачу.
• Ст. 19 ФЗ-152 — требует организационных мер по предотвращению неправомерной обработки данных.
• Ст. 9 ФЗ-152, ч. 4 — оператор обязан обеспечивать надлежащие условия обработки ПДн при передаче другим лицам.

Практика Роскомнадзора

Роскомнадзор на проверках обращает внимание на порядок передачи ПДн контрагентам. В одной компании данные сотрудников передавались в бухгалтерскую фирму без проверки её статуса и документов — это расценили как нарушение. В другой организации была утверждена процедура due diligence контрагентов, включая проверку соблюдения ими ФЗ-152, что позволило избежать претензий.

Что важно учитывать

• Проверка контрагентов документально подтверждает добросовестность оператора и снижает риски.
• Наличие регламента позволит показать РКН, что компания соблюдает требования ст. 18.1 и 19 ФЗ-152.
• В договорах с контрагентами нужно закреплять обязательства сторон по защите ПДн.

Рекомендации и выводы

Да, внутренний регламент проверки контрагентов — важный документ, который помогает доказать законность передачи ПДн и выполнение обязанностей оператора. Чтобы быть в соответствии с ФЗ-152:

1. Разработайте регламент проверки контрагентов с описанием этапов due diligence.
2. Включите в договоры с ними пункты о защите ПДн.
3. Ведите журнал проверок и храните отчёты как доказательство добросовестности.

Компания ICTech подготовит для вашей организации регламент проверки контрагентов, встроенный в пакет документов по ФЗ-152. Это снизит риски, укрепит договорные отношения и поможет пройти проверку Роскомнадзора без нарушений.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге