При обработке персональных данных и в Вашей, и в другой организации должны быть приняты меры по реагированию на инциденты информационной безопасности. Утечка данных – типичный инцидент. В случае, если утечка имела место, необходимо провести служебное расследование. В причастных организациях должны быть сформированы комиссии из ответственных за защиту персональных данных лиц. По факту утечки комиссиями проводится расследование и определяются обстоятельства, при которых возник инцидент, оцениваются его последствия, а также определяется круг виновных. Т.е. виновные определяются по результатам проведенного расследования. Соответственно, если виновной будет признана другая организация, она и будет нести ответственность.