В России требования к защите персональных данных (далее – ПДн) при их передаче третьим лицам регулируется Федеральным законом № 152-ФЗ «О персональных данных» и рядом других нормативно-правовых актов. Помимо законодательно установленных требований, для минимизации рисков передачи ПДн следует применять следующие меры: 1️⃣ Предварительная проверка контрагента Перед передачей ПДн рекомендуется запросить у потенциального контрагента информацию о реализованной у него системе обеспечения безопасности информации. Это можно сделать несколькими способами: • получить сертификаты соответствия системы защиты требованиям международных стандартов (ISO / IEC 27001, ISO / IEC 27701); • попросить заполнить чек-листы с описанием реализованных в компании организационных и технических мер защиты; • получить независимое заключение об эффективности системы внутренних контролей – в виде отчетов SOC 2 или SOC 3; • запросить результаты тестирования на проникновение; • провести интервью со специалистами компании в области ИБ и пр. 2️⃣ Положения о защите ПДн в договоре с контрагентом Необходимо включить в договор или соглашение с контрагентом положения, которые предусматривают меры защиты ПДн. Например, обязательства по обеспечению конфиденциальности ПДн, правила уведомления об инцидентах, требования об обеспечении правовых оснований при уничтожении или передаче ПДн по окончанию обработки. В случае поручения обработки ПДн контрагенту, необходимо учесть требования к поручению. Также рекомендуется проводить периодический аудит контрагента на предмет соблюдения требований договора / поручения в части обработки и обеспечения безопасности ПДн. 3️⃣ Обеспечение защиты ПДн Чтобы обеспечить защиту предаваемых ПДн, можно использовать шифрование, анонимизацию, защищенные протоколы передачи, двухстороннюю аутентификацию и др. Данные меры позволят минимизировать риски утечки ПДн при их передаче. 4️⃣ Соблюдение требований к трансграничной передаче При передаче ПДн на территорию иностранного государства надо не забыть: • до начала передачи ПДн направить в РКН уведомление о намерении осуществлять трансграничную передачу ПДн; • провести оценку соблюдения иностранным лицом конфиденциальности и обеспечения безопасности ПДн; • дождаться решения РКН (если страна не обеспечивает адекватную защиту прав субъектов ПДн); • в случае получения запрета или ограничения на передачу, компания должна обеспечить уничтожение иностранным лицом ранее переданных им ПДн. Соблюдение указанных мер поможет снизить риски при передаче ПДн третьим лицам. #Privacy