В таком варианте соглашусь с вышесказанным. Главное, чтобы вы ЧОПу официально не передавали никакие списки с ПДн сотрудников, у которых есть доступ в кабинеты и которые могут брать ключи. Если в договоре с ЧОПом этого нет - предоставить договор с ЧОПом, с комментарием что вы им сбор ПДн не поручали и ПДн не передавали, пусть дальше сами.