Составляю договор поручения на обработку персональных данных третьим лицом(центр бюджетного учета и отчетности).
В договоре требуют прописать УЗ, при этом в их модели угроз ПДн указываются 3 тип угроз и количество обрабатываемых данных не сотрудников организации < 100000. Исходя из того, что наши ПДн относятся к категории "иные", делаем вывод, что УЗ-4, НО МинФин(вышестоящая организация центра бюджетного учета и отчетности), направляя такие-же ПДн требует с них выполнения требований для УЗ-3.
Вопрос: кто ошибается в данном случае и почему?
