Найти в Дзене
Б-152: защита персональных данных
41 подписчик

#Защити_бизнес: 5 вопросов для подрядчиков, которые получают доступ к ПДн

1 мин
«Да они только выгрузку из CRM посмотрят и все». Так начинается большинство утечек. А еще штрафов, жалоб и проверок, в которых подрядчик исчезает, а отвечает оператор данных, то есть вы. Хотите защититься? Начните с правильных вопросов. Мы собрали 5 самых актуальных, которые стоит задать каждому подрядчику, получающему доступ к персональным данным: 1️⃣ Кто у вас конкретно обрабатывает данные? Физлица? Субподрядчик? Автоматизированный сервис? Если доступ есть у “ИП с помощником” или у стажера из агентства, а у вас об этом нет записи — это уже риск. Запросите список сотрудников, роль каждого, и схему обработки: кто что видит, делает и куда передает 2️⃣ Где физически и логически хранятся данные? Файлы на Google Drive? Копия на ноутбуке менеджера? Бэкап на их сервере в США? Это важно в контексте требований о локализации и трансграничной передачи. Ваша задача знать, где ваши данные живут. Особенно если там спецкатегории или биометрия 3️⃣ Кто контролирует доступ и удаление? Есть ли лог досту

«Да они только выгрузку из CRM посмотрят и все».

Так начинается большинство утечек. А еще штрафов, жалоб и проверок, в которых подрядчик исчезает, а отвечает оператор данных, то есть вы.

Хотите защититься? Начните с правильных вопросов.

Мы собрали 5 самых актуальных, которые стоит задать каждому подрядчику, получающему доступ к персональным данным:

1️⃣ Кто у вас конкретно обрабатывает данные?

Физлица? Субподрядчик? Автоматизированный сервис?

Если доступ есть у “ИП с помощником” или у стажера из агентства, а у вас об этом нет записи — это уже риск.

Запросите список сотрудников, роль каждого, и схему обработки: кто что видит, делает и куда передает

2️⃣ Где физически и логически хранятся данные?

Файлы на Google Drive? Копия на ноутбуке менеджера? Бэкап на их сервере в США? Это важно в контексте требований о локализации и трансграничной передачи.

Ваша задача знать, где ваши данные живут. Особенно если там спецкатегории или биометрия

3️⃣ Кто контролирует доступ и удаление?

Есть ли лог доступа, журнал операций, автоматическое уничтожение через N дней?

Или Excel гуляет между отделами, а вы не в курсе?

Обязательна точка контроля: как доступ дается, кто его отнимает, кто следит за остатками

4️⃣ Подписано ли соглашение о поручении на обработку ПДн?

Без него вся передача данных подрядчику незаконна. NDA не считается. Соглашение о сотрудничестве — тоже.

Договор должен содержать:

— цели обработки данных по поручению,

— перечень ПДн, порученных на обработку

— действия с ПДн

— меры защиты,

— обязанности сторон,

— сроки,

— ответственность

5️⃣ Что будет, если случится утечка?

Как быстро они вас уведомят? Что смогут доказать? Кто отдуваться будет перед РКН?

Ответ "мы такого не допустим" — это не ответ. Нужен план действий. И понимание, как вы будете фиксировать инцидент, если он все же случится

Любой подрядчик с доступом к ПДн — это зона риска. Неважно, занимается он аналитикой, маркетингом, IT-поддержкой или доставкой. Если он что-то видит, делает, копирует, он уже обрабатывает данные. А значит, должен быть под контролем 👥

Эти 5 вопросов — ваш первый фильтр. Если подрядчик не может показать договор или не знает, куда попадает файл, лучше перестраховаться, чем потом объяснять это в акте проверки 👍

-2
-3
-4
-5
-6
-7