Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ведение реестра подрядчиков по уничтожению персональных данных — это не прямое требование ФЗ-152, но это важная организационная мера, которая подтверждает системный подход к защите информации. Такой документ облегчает доказательство законности передачи ПДн третьим лицам и показывает Роскомнадзору, что оператор контролирует подрядчиков, которым доверяет обработку и уничтожение данных.
Обоснование по законодательству
- ФЗ-152, ст. 6, ч. 3 — обработка ПДн может быть поручена другому лицу только на основании договора.
- ФЗ-152, ст. 19 — оператор обязан принимать организационные меры, включая контроль за действиями лиц, привлекаемых для обработки ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документировать все события, связанные с обработкой и уничтожением ПДн.
- ГОСТ Р 57580.1-2017 — рекомендует вести учёт подрядчиков, участвующих в обработке данных, как часть системы защиты информации.
Что фиксируется в реестре подрядчиков
- наименование подрядчика (организации или ИП);
- реквизиты договора на утилизацию ПДн;
- период действия договора;
- ответственное лицо со стороны подрядчика;
- отметки о выполненных актах передачи и уничтожения;
- информация о проверках подрядчика (если проводились).
Практика и рекомендации Роскомнадзора
В ряде проверок Роскомнадзор отмечал, что компании передают ПДн подрядчикам, но не могут оперативно подтвердить, кто именно их обрабатывал и на основании каких документов. В таких случаях наличие реестра подрядчиков помогло операторам быстро показать все договоры и акты.
Что важно учитывать
- реестр может вестись как на бумаге, так и в электронной форме;
- он не заменяет договоров и актов, а является вспомогательным инструментом учёта;
- ответственность за ведение реестра можно закрепить за ответственным за ПДн.
Рекомендации и выводы
Формально закон не обязывает вести реестр подрядчиков, но на практике это документ, который помогает:
- упорядочить взаимодействие с подрядчиками;
- быстро подтвердить законность передачи ПДн;
- снизить риски при проверках Роскомнадзора.
Компания ICTech рекомендует включить реестр подрядчиков по уничтожению ПДн в пакет документов по 152-ФЗ. Мы можем подготовить для вашей организации готовую форму такого реестра с полями для договоров, актов и отметок о проверках подрядчиков.
