Осмотрительность оператора при выборе лица, которому поручается обработка ПДн
Согласно ч. 3 ст. 6 Закона о персональных данных оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных. Поручение оператора третьему лицу на обработку персональных данных должно содержать: - обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке; - требования к защите обрабатываемых персональных данных в соответствии со ст. 19 Закона о персональных данных. При этом ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Как оператор может убедиться, что данное лицо выполняет требования законодательства о персональных данных? Как на практике решается данный вопрос, для проявления должной осмотрительности оператор запрашивает ЛНА и иные документы у данного лица по ИБ?
Процесс выбора контрагента для поручения ему обработки ПДн может включать проверку выполнения контрагентом требований законодательства о ПДн. Такой проверкой может быть:
- Проверка наличия на сайте контрагента Политики обработки ПДн.
- Проверка наличия контрагента в реестре операторов, осуществляющих обработку ПДн.
- Проверка информации о контрагенте в этом реестре на соответствие процессам обработки ПДн, связанным с выполнением поручения.
- Запрос у контрагента информации (например, в форме анкеты) о выполнении им требований законодательства о ПДн.
- Запрос у контрагента документов, подтверждающих наличие СЗПДн для ИСПДн, используемой при выполнении поручения. При этом, в зависимости от доверия к квалификации лиц, разрабатывающих СЗПДн, можно проверить или только финальный документ СЗПДн (например, если работы выполнял лицензиат ТЗКИ), или и другие документы (например, если работы выполнял контрагент самостоятельно).
- Запрос у контрагента ЛНА, регулирующих организацию обработки ПДн.
- Проведение у контрагента аудита выполнения требований законодательства о ПДн.
Поручение обработки ПДн сопряжено с риском нарушения контрагентом прав субъектов ПДн. Как известно, риск = вероятность х последствия. Чем тщательнее проверка контрагента, тем вероятность ниже. Поэтому выбирать способ проверки следует в зависимости от того, насколько негативны для оператора будут последствия нарушения контрагентом прав субъектов ПДн.
Законодательных требований или рекомендаций регулятора на эту тему нет.
Ответ подготовила Рудакова Светлана (17.12.2020)