Предварительная оценка (чек-лист) соблюдения третьими лицами требований к обработке и защите персональных данных
Актуальность материала: 02.03.2026
Чек-лист состоит из 15 основных и дополнительных контролей соблюдения третьими лицами требований к обработке и защите ПД, объединённых в три раздела:
- Базовые требования (при любой передаче ПД)
- Дополнительные требования при поручении обработки ПД
- Дополнительные требования при трансграничной передаче ПД
Предварительная оценка (чек-лист) соблюдения третьими лицами требований к обработке и защите персональных данных [02.03.2026]
Предварительная оценка (чек-лист) соблюдения третьими лицами требований к обработке и защите персональных данных [02.03.2026]
Порядок использования чек-листа:
Обязательные пункты (выделены жёлтым) должны быть выполнены для одобрения начала работы с Партнёром.
Рекомендуемые пункты (выделены серым) не блокируют одобрение начала работы с Партнёром, но фиксируются и учитываются при общей оценке рисков.
Отметка «н/п» (неприменимо) ставится с обязательным указанием обоснования в колонке комментариев.
Чек-лист заполняется DPO или уполномоченным лицом и хранится вместе с договорным досье Партнёра.
Пересмотр оценки проводится не реже 1 раза в 3 года или при существенном изменении условий обработки ПД.
Колонка «Комментарий» — чтобы уполномоченное лицо фиксировало, на основании чего оно поставило отметку.
Рекомендуется предусмотреть дифференциацию по уровню риска: для передачи чувствительных ПД (медицинские данные, финансовые) требования должны отличаться.
—
Таблица оценки
| № | Критерий проверки | Да | Част. | Нет | н/п | Комментарий |
| — | — | — | — | — | — | — |
| I. | Базовые требования (при любой передаче ПД) | |||||
| 1.1. | Партнёр включён в Реестр операторов ПД (Роскомнадзор), либо подтвердил подачу уведомления об обработке ПД | ○ | ○ | ○ | ○ | |
| 1.2. | На сайте Партнёра опубликована Политика обработки ПД, содержащая информацию о целях, составе, способах и сроках обработки ПД | ○ | ○ | ○ | ○ | |
| 1.3. | В открытых источниках отсутствует информация о привлечении Партнёра к ответственности за нарушения в области ПД или о действующих предписаниях РКН/Прокуратуры за последний год | ○ | ○ | ○ | ○ | |
| 1.4. | Партнёр назначил лицо, ответственное за организацию обработки ПД | ○ | ○ | ○ | ○ | |
| 1.5. | Партнёр готов подписать наше стандартное Соглашение о передаче ПД (DTA), включающее гарантии и заверения о правомерности передачи ПД и о защите ПД, а также иные необходимые положения о ПД | ○ | ○ | ○ | ○ | |
| 1.6. | Партнёр подтвердил отсутствие инцидентов в области ПД («утечек») за последние 3 года | ○ | ○ | ○ | ○ | |
| 1.7. | У Партнёра имеются актуальные сертификаты или аттестаты в области информационной безопасности и/или обработки ПД (ISO 27001, ISO 27701, SOC 2, аттестат ФСТЭК и т.п.) | ○ | ○ | ○ | ○ | |
| II. | Дополнительные требования при поручении обработки ПД | |||||
| 2.1. | Партнёр готов подписать наше стандартное Соглашение об обработке ПД (DPA), включающее положения о конфиденциальности, ответственности, порядке привлечения субподрядчиков, праве аудита, порядке реагирования на инциденты и обращения субъектов | ○ | ○ | ○ | ○ | |
| 2.2. | Партнёр подтвердил организационное и техническое обеспечение указанного в DPA уровня защищённости ПД в своих информационных системах (УЗ) в соответствии с ПП РФ № 1119, и может предоставить подтверждающие сведения/документы | ○ | ○ | ○ | ○ | |
| 2.3. | Партнёр имеет процедуру и план реагирования на инциденты в области ПД | ○ | ○ | ○ | ○ | |
| 2.4. | Партнёр проводит регулярное обучение персонала по обработке и защите ПД | ○ | ○ | ○ | ○ | |
| 2.5. | Партнёр подтвердил отсутствие за последний год привлечения к ответственности за нарушения в области ПД либо действующих предписаний/представлений уполномоченных органов | ○ | ○ | ○ | ○ | |
| 2.6. | Партнёр имеет дополнительное финансовое обеспечение (страховка или/и гарантия), покрывающее риски в области обработки ПД | ○ | ○ | ○ | ○ | |
| III. | Дополнительные требования при трансграничной передаче ПД | |||||
| 3.1. | Партнёр не является запрещенной судом РФ организацией или нежелательной в РФ иностранной/международной НПО, а также в отношении Партнёра нет действующих в РФ решений о запрете/ограничении трансграничной передачи | ○ | ○ | ○ | ○ | |
| 3.2. | Партнёр готов подписать наше стандартное Приложение о трансграничной передаче ПД, предусматривающее обязательство Партнёра предоставить указанную в ч.5 ст.12 152-ФЗ информацию, а также уничтожить ранее полученные ПД в случае принятия уполномоченным органом решения о запрете или ограничении трансграничной передачи ПД | ○ | ○ | ○ | ○ |