Согласно ч. 3 ст. 6 Закона о персональных данных оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Поручение оператора третьему лицу на обработку персональных данных должно содержать: - обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; - требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных. При этом ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Как оператор может убедиться, что данное лицо выполняет требования законодательства о персональных данных? Как на практике решается данный вопрос, для проявления должной осмотрительности оператор запрашивает ЛНА и иные документы у данного лица по ИБ?

Процесс выбора контрагента для поручения ему обработки ПДн может включать проверку выполнения контрагентом требований законодательства о ПДн. Такой проверкой может быть:

  1. Проверка наличия на сайте контрагента Политики обработки ПДн.
  2. Проверка наличия контрагента в реестре операторов, осуществляющих обработку ПДн.
  3. Проверка информации о контрагенте в этом реестре на соответствие процессам обработки ПДн, связанным с выполнением поручения.
  4. Запрос у контрагента информации (например, в форме анкеты) о выполнении им требований законодательства о ПДн.
  5. Запрос у контрагента документов, подтверждающих наличие СЗПДн для ИСПДн, используемой при выполнении поручения. При этом, в зависимости от доверия к квалификации лиц, разрабатывающих СЗПДн, можно проверить или только финальный документ СЗПДн (например, если работы выполнял лицензиат ТЗКИ), или и другие документы (например, если работы выполнял контрагент самостоятельно).
  6. Запрос у контрагента ЛНА, регулирующих организацию обработки ПДн.
  7. Проведение у контрагента аудита выполнения требований законодательства о ПДн.

Поручение обработки ПДн сопряжено с риском нарушения контрагентом прав субъектов ПДн. Как известно, риск = вероятность х последствия. Чем тщательнее проверка контрагента, тем вероятность ниже. Поэтому выбирать способ проверки следует в зависимости от того, насколько негативны для оператора будут последствия нарушения контрагентом прав субъектов ПДн.

Законодательных требований или рекомендаций регулятора на эту тему нет.

Ответ подготовила Рудакова Светлана (17.12.2020)