Законодательные требования
Каждый оператор ПДн в соответствии со ст. 18.1 Федерального закона №152-ФЗ «О персональных данных» обязан принимать меры, направленные выполнениe требований законодательства о персональных данных.
Согласно ч. 2 ст. 18.1 152-ФЗ политика в отношении обработки ПДн является обязательным документом, который необходимо разработать и опубликовать каждому оператору ПДн.
"Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных"
Для выполнения требований законодательства оператор ПДн может самостоятельно определить необходимость издания локальных актов по вопросам обработки и обеспечения безопасности ПДн.
п. 2 ч. 1 ст. 18.1 152-ФЗ:
"Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом... <…> К таким мерам могут, в частности, относиться:
2) издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений"
Однако, при прохождении проверки оператор ПДн обязан предоставить представителям уполномоченного органа (Роскомнадзора) подтверждение обеспечения надлежащей обработки ПДн.
ч. 4 ст. 18.1 152-ФЗ:
"Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных"
Что необходимо сделать оператору?
Точного перечня документов, подлежащих проверке уполномоченным органом, нет. Исключение — обязательная политика в отношении обработки ПДн.
Однако, исходя из нашего опыта прохождения проверок, Роскомнадзор учитывает не сам факт наличия организационно-распорядительной документации, а содержание данных документов.
Поэтому важно не только создать комплексную систему менеджмента ПДн, но и описать её функционал, а также регламентировать процессы обработки и обеспечения безопасности ПДн в локальных актах оператора.
Наши услуги
Наши специалисты помогут вам разработать комплексную систему менеджмента ПДн и регламентировать процессы данной системы в соответствии с требованиями законодательства.
В рамках данной услуги мы разработаем для вас следующие виды документов:
- Политика оператора ПДн в отношении обработки ПДн
- Положение об обработке ПДн в организации
- Типовые формы согласия на обработку ПДн
- Типовые соглашения с третьими лицами о поручении обработки ПДн
- Модель защиты ПДн, обрабатываемых в ИСПДн
- План внутренних проверок состояния организации обработки и обеспечения безопасности ПДн
- Необходимые формы анкет, актов и журналов учета
Также мы проведем правовую оценку заключенных и заключаемых договоров, предполагающих передачу ПДн вашим контрагентам, на предмет соответствия требованиям законодательства и наличия рисков для вашей компании.
Обратитесь к нам
Просто напишите нам письмо на почту или позвоните по контактам в конце страницы.