Штрафы за неправильную обработку персональных данных растут, ответственность постоянно ужесточается (планируется введение уголовной). А это значит, что пора тщательно проверить, все ли документы в компании, касающиеся персданных, оформлены правильно. Автор подробно разъясняет, какие документы должны быть в наличии для успешного прохождения проверки соблюдения законодательства о персональных данных и как их составить, чтобы избежать гигантских штрафов.
Важно понимать, что защита персональных данных является одним из основных принципов деятельности любой компании. Она требует ответственного подхода и систематической работы, ведь нарушения могут повлечь серьезные последствия для бизнеса, поэтому компаниям необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам. Один из самых актуальных – оформление документов, которые проверяющие могут запросить при проверке. В статье остановимся на наиболее важных из них, которые чаще всего проверяющие требуют от работодателей.
В первую очередь в рамках проведения проверки Роскомнадзор заинтересуют общие сведения о компании, поэтому проверяющие затребуют:
- копию устава;
- договоры об аренде офисных помещений (рабочих мест);
- штатное расписание;
- локальный нормативный акт (ЛНА), устанавливающий политику в отношении обработки персональных данных, правила обработки и защиты персданных;
- перечень лиц, имеющих доступ и непосредственно допущенных к обработке персданных;
- согласия субъектов персданных на их обработку работодателем;
- приказ о назначении должностного лица (уполномоченного представителя), которое обязано представлять интересы юридического лица при проведении проверки, а также о назначении ответственного за организацию обработки персданных;
- уведомления Роскомнадзора об обработке персональных данных
- и иные документы общего характера.
Далее подробно рассмотрим те из них, о содержании которых у проверяющих возникают вопросы чаще всего.
Приказ о назначении ответственного за организацию работы с персональными данными
Надзорный орган по традиции затребует приказ о назначении ответственного за организацию обработки персональных данных. Ведь работодатель обязан его назначить (ч. 1 ст. 22.1 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных», далее – Закон № 152‑ФЗ). Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно (Пример 1).
Пример 1. Приказ о назначении ответственного за организацию обработки персональных данных лица
Причем недостаточно только назначить ответственное за организацию обработки персданных лицо, соответствующие обязанности должны быть прописаны в его должностной инструкции (инструкции по профессии) и/или трудовом договоре. Поэтому необходимо проверить, отражены ли там обязанности, касающиеся работы с персональными данными. Ведь проверяющие непременно запросят эти документы (образец формулировки см. в Примере 2).
Пример 2. Формулировка для должностной инструкции и/или трудового договора ответственного за организацию обработки персональных данных
5. Работник обязан:
…5.8. Организовать разработку, принятие и актуализацию Работодателем документов, определяющих его политику в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
5.9. Организовать применение правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
5.10. Осуществлять внутренний контроль (аудит) за соблюдением Работодателем и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, а также оценивать эффективность принимаемых мер по обеспечению безопасности персональных данных и принимать меры в случае выявления нарушений.
5.11. Организовать проведение оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых Работодателем мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством о персональных данных.
5.12. Доводить до сведения работников Работодателя положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных.
5.13. Организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и/или осуществлять контроль за приемом и обработкой таких обращений и запросов.
ЛНА об обработке и защите персональных данных
При любой проверке должностное лицо надзорного органа обязательно запросит локальные нормативные акты касательно обработки и защиты персональных данных (ст. 87 ТК РФ). Прежде всего – ЛНА, определяющий политику оператора в отношении обработки персональных данных (ст. 18.1 Закона № 152‑ФЗ). Законом прямо не урегулировано, как должен называться локальный нормативный акт об обработке персональных данных, – Политика или Положение. На практике встречаются оба варианта, при которых, например, Положение включается в состав Политики, или наоборот. Часто практикуют также одновременное оформление и Политики, и Положения: например Положение рассчитано на сотрудников компании, а Политика – на клиентов, посетителей сайта, соискателей и пр. В любом случае такой документ в отношении персональных данных должен быть (письмо Роскомнадзора от 19.10.2021 № 08-71063).
При составлении документа, определяющего политику оператора в отношении обработки персональных данных, следует руководствоваться Рекомендациями Роскомнадзора, которые размещены на официальном сайте (www.rkn.gov.ru/personal-data/p908/).
Обратите внимание: этот документ необходимо опубликовать или иным образом обеспечить неограниченный доступ к нему, а также к сведениям о реализуемых требованиях к защите персональных данных. А если на сайте компании есть формы сбора персональных данных, то ей необходимо обеспечить доступ к политике в отношении обработки персональных данных на всех страницах сайта, с использованием которых осуществляется этот сбор (ч. 2 ст. 18.1 Закона № 152‑ФЗ, см. также постановление Восьмого кассационного суда общей юрисдикции от 31.03.2023 № 16-1661/2023).
В содержании ЛНА о персональных данных обязательно проверят в том числе наличие следующей информации:
- категории субъектов, данные которых обрабатываются (например, работники, клиенты, кандидаты на вакансии, родственники работников);
- перечень обрабатываемых категорий персональных данных отдельно каждой категории субъектов;
- цели обработки по каждой категории субъектов. Причем цели сбора и обработки персданных должны быть заранее определены исходя из анализа правовых актов, регламентирующих деятельность оператора, целей фактически осуществляемой оператором деятельности, деятельности, которая предусмотрена учредительными документами оператора, конкретных бизнес-процессов оператора (ч. 2 ст. 5 Закона № 152‑ФЗ, Рекомендации Роскомнадзора) (см. Пример 3);
- правовое основание обработки персональных данных (необходимость получения согласия на обработку либо заключение договора, ссылки на нормы: статьи / части / пункты / подпункты закона или подзаконного акта);
- описание порядка, способов и методов обезличивания персональных данных, для каких целей осуществляется обезличивание, в отношении каких категорий субъектов осуществляется обезличивание;
- срок обработки и хранения персональных данных, условия прекращения обработки;
- условия и порядок уничтожения персональных данных, составление актов об уничтожении данных, выгрузок из журналов регистрации событий в информационной системе персональных данных (при работе с такими системами);
- процедуры, направленные на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений.
Пример 3. Формулировки в Положении о персональных данных относительно целей обработки персональных данных работников
4.1. Целью обработки персональных данных Работников является обеспечение соблюдения законов и иных нормативных правовых актов, содействие Работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности Работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества, включая:
- осуществление и выполнение возложенных законодательством РФ и международными договорами РФ на Работодателя функций, полномочий и обязанностей;
- регулирование трудовых отношений и иных непосредственно связанных с ними отношений, обеспечение трудовых прав Работников;
- заключение и исполнение трудовых договоров и иных договоров, заключенных между Работниками и Работодателем;
- подбор и управление персоналом;
- отражение информации в кадровых документах, ведение кадрового учета;
- защита жизни, здоровья или иных жизненно важных интересов Работников;
- проведение дисциплинарных процедур, аттестации и оценки деятельности Работников;
- расчет и выплата заработной платы, пособий и иных выплат Работникам, ведение бухгалтерского учета;
- предоставление налоговых вычетов, обеспечение социального страхования Работников, предоставление Работникам гарантий и компенсаций в соответствии с законодательством;
- организация медицинского и иного страхования Работников и имущества Работодателя;
- организация командировок и иных поездок Работников (включая компенсацию расходов); осуществление технической и организационной поддержки Работников в служебных целях;
- формирование кадрового резерва;
- осуществление контроля за количеством и качеством выполняемой Работниками работы;
- выпуск доверенностей и иных уполномочивающих документов;
- обучение, продвижение по работе;
- оформление награждений и поощрений;
- представление Работодателем установленных законодательством сведений и отчетности в уполномоченные государственные органы в отношении физических лиц, в том числе в Социальный фонд России, Федеральную налоговую службу РФ, органы воинского учета, органы статистики, органы занятости и иные уполномоченные органы в соответствии с законодательством РФ;
- оформление пропусков на территорию Работодателя.
Отдельно Роскомнадзор при проверке уделяет внимание положениям ЛНА, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства в области персональных данных, устранение последствий таких нарушений (п. 2 ч. 1 ст. 18.1 Закона № 152‑ФЗ). Это может быть как отдельный документ, так и раздел в Положении об обработке персональных данных (Пример 4).
Пример 4. Формулировки в ЛНА о процедурах, направленных на предотвращение и выявление нарушений законодательства о персональных данных, устранение последствий таких нарушений
5.6. Процедуры, направленные на выявление и предотвращение нарушений законодательства в сфере персональных данных.
5.6.1. Для выявления и предотвращения нарушений, предусмотренных законодательством в сфере персональных данных, Работодатель использует следующие процедуры:
1) осуществление внутреннего контроля (аудита) соответствия обработки персональных данных требованиям к защите персональных данных;
2) оценку вреда, который может быть причинен субъектам персональных данных;
3) ознакомление Работников, непосредственно осуществляющих обработку персональных данных, с законодательством о персональных данных, в том числе с требованиями к защите персональных данных и настоящим Положением;
4) ограничение обработки персональных данных достижением конкретных, заранее определенных и законных целей;
5) осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством в области персональных данных;
6) обеспечение недопустимости осуществления обработки персональных данных, не совместимых с целями сбора персональных данных;
7) обеспечение недопустимости осуществления объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;
8) обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки, обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
9) обеспечение при обработке персональных данных точности персональных данных, их достаточности и актуальности по отношению к целям обработки персональных данных.
5.6.2. Порядок оценки вреда, который может быть причинен субъектам персональных данных.
5.6.2.1. Оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, осуществляется ответственным за организацию обработки персональных данных либо комиссией, образуемой Работодателем.
5.6.2.2. Работодатель для целей оценки вреда определяет одну из степеней вреда, который может быть причинен субъекту персональных данных в случае нарушения законодательства о персональных данных:
5.6.2.2.1. Высокую в случаях:
- обработки сведений, характеризующих физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Работодателем для установления личности субъекта персональных данных, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки биометрических персональных данных;
- обработки специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, сведений о судимости, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия обработки специальных категорий персональных данных;
- обработки персональных данных несовершеннолетних для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является несовершеннолетний, а также для заключения договора по инициативе несовершеннолетнего или договора, по которому несовершеннолетний будет являться выгодоприобретателем или поручителем в случаях, не предусмотренных законодательством Российской Федерации;
- обезличивания персональных данных, в том числе с целью проведения оценочных (скоринговых) исследований, оказания услуг по прогнозированию поведения потребителей товаров и услуг, а также иных исследований, не предусмотренных п. 9 ч. 1 ст. 6 Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных»;
- поручения иностранному лицу (иностранным лицам) осуществлять обработку персональных данных граждан Российской Федерации;
- сбора персональных данных с использованием баз данных, находящихся за пределами Российской Федерации.
5.6.2.2.2. Среднюю в случаях:
- распространения персональных данных на официальном сайте Работодателя в Интернете, а равно предоставление персональных данных неограниченному кругу лиц, за исключением случаев, установленных федеральными законами, предусматривающими цели, порядок и условия такой обработки персональных данных;
- обработки персональных данных в дополнительных целях, отличных от первоначальной цели сбора;
- продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с использованием баз персональных данных, владельцем которых является иной оператор;
- получения согласия на обработку персональных данных посредством реализации на официальном сайте в Интернете функционала, не предполагающего дальнейшую идентификацию и/или аутентификацию субъекта персональных данных;
- осуществления деятельности по обработке персональных данных, предполагающей получение согласия на обработку персональных данных, содержащего положения о предоставлении права осуществлять обработку персональных данных определенному и/или неопределенному кругу лиц в целях, не совместимых между собой.
5.6.2.2.3. Низкую в случаях:
- ведения общедоступных источников персональных данных, сформированных в соответствии с Федеральным законом от 27.07.2006 № 152‑ФЗ «О персональных данных»;
- назначения в качестве ответственного за обработку персональных данных лица, не являющегося штатным Работником Работодателя.
5.6.2.3. Результаты оценки вреда оформляются актом оценки вреда.
5.6.2.4. Акт оценки вреда должен содержать:
а) наименование или фамилию, имя, отчество (при наличии) и адрес Работодателя;
б) дату издания акта оценки вреда;
в) дату проведения оценки вреда;
г) фамилию, имя, отчество (при наличии), должность лиц (лица) (при наличии), проводивших оценку вреда, а также их (его) подпись;
д) степень вреда, которая может быть причинена субъекту персональных данных.
5.6.2.5. Акт оценки вреда в электронной форме, подписанный в соответствии с федеральным законом и локальными нормативными актами Работодателя электронной подписью, признается электронным документом, равнозначным акту оценки вреда на бумажном носителе, подписанному собственноручной подписью.
5.6.2.6. Если по итогам проведенной оценки вреда установлено, что в рамках деятельности по обработке персональных данных субъекту персональных данных могут быть причинены различные степени вреда, подлежит применению более высокая степень вреда.
Перечень лиц, имеющих доступ к персональным данным
Следующий документ, который обязательно запросят проверяющие, – это перечень лиц, имеющих доступ и непосредственно допущенных к работе с персональными данными (ст. 88 ТК РФ). Обычно это право дается сотрудникам, которым нужны персональные данные других работников в связи с выполнением трудовых обязанностей, например для ведения кадрового или налогового учета. Перечень можно включить в текст самого приказа или сделать приложением к нему. Кроме того, надо утвердить перечень работников, имеющих доступ к персональным данным в информационной системе (подп. «в» п. 13 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утв. постановлением Правительства РФ от 01.11.2012 № 1119). Оба перечня можно объединить в один приказ (Пример 5).
Пример 5. Приказ, утверждающий перечень лиц, допущенных к работе с персональными данными
По аналогии с ответственным за организацию работы с персональными данными проверяющие могут запросить сведения о трудовых обязанностях (скорее всего, содержащиеся в должностной инструкции (инструкции по профессии) или в трудовом договоре сотрудников, имеющих доступ к персональным данным). Поэтому рекомендуем включать в указанные выше документы таких работников их обязанности в сфере обработки персональных данных (см. Пример 6).
Пример 6. Формулировки в должностной инструкции и/или трудовом договоре работника, имеющего доступ к персональным данным
5. Работник обязан:
<…>
- соблюдать и исполнять требования законодательства и локальных нормативных актов о защите, хранении, обработке и передаче персональных данных работников и законодательства РФ в области персональных данных, в том числе относящиеся к обязанностям Работодателя, действуя от его имени;
- сохранять конфиденциальность персональных данных, полученных в связи с исполнением своих трудовых обязанностей;
- не отвечать на вопросы, связанные с передачей персональных данных других Работников третьим лицам, по телефону или электронной почте, если это не связано с исполнением трудовых обязанностей;
- незамедлительно сообщать своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя (в Филиале), обо всех фактах нарушения конфиденциальности персональных данных или об обстоятельствах, создающих угрозу их разглашения, в том числе об утрате (хищении) материальных носителей персональных данных (бумажных документов, дисков, флэш-накопителей и др.);
- по всем вопросам, связанным с обработкой и защитой персональных данных, обращаться к своему непосредственному руководителю или лицу, ответственному за организацию обработки персональных данных у Работодателя.
Описание помещений, в которых осуществляется обработка персональных данных
Для предотвращения нарушений законодательства о персональных данных работодатель обязан принимать не только правовые, но и организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных и иных неправомерных действий (ст. 18.1, 19 Федерального закона № 152‑ФЗ). Одна из таких мер – хранить персональные данные недоступными для не имеющих к ним доступ сотрудников и всех третьих лиц. Проверяющие могут запросить описание помещений, в которых осуществляется обработка персональных данных: расположение, номера помещений; наличие охраны, режима обеспечения безопасности, оборудование помещений и пр. В этом случае поможет приказ, который определяет помещения для обработки персональных данных и утверждает требования к местам их хранения (Пример 7).
Пример 7. Приказ об определении помещений для обработки персональных данных и утверждении требований к местам хранения персональных данных
Согласия на обработку персональных данных
Роскомнадзор обязательно заинтересуется, правомерно ли работодатель осуществляет обработку персональных данных. Для этого у оператора должны быть в наличии согласия на обработку персональных данных. Поэтому рекомендуем кадровым специалистам периодически проверять:
- актуальны ли формы согласий на обработку персональных данных;
- имеются ли надлежаще оформленные согласия на обработку данных от субъектов персональных данных.
Требования к содержанию согласий установлены в ч. 4 ст. 9 Закона № 152‑ФЗ. Так, любое согласие должно содержать:
- Ф.И.О. работника, его адрес, номер, сведения о дате выдачи паспорта и выдавшем его органе;
- наименование и адрес работодателя (а также лица, осуществляющего обработку персональных данных по поручению работодателя);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие;
- перечень действий с персональными данными, на совершение которых дается согласие, описание способов обработки персональных данных;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
- подпись субъекта персональных данных.
Кстати, есть случаи, когда согласие на обработку персональных данных оформлять не нужно. Так, согласие не потребуется, если:
- обработка необходима в целях исполнения заключенного с работником договора или возложенных на работодателя обязанностей, функций и полномочий (п. 2, 5 ч. 1 ст. 6 Закона № 152‑ФЗ);
- обработка сведений о состоянии здоровья работника касается возможности выполнения им трудовой функции (п. 2.3 ч. 2 ст. 10 Закона № 152‑ФЗ);
- персональные данные передаются в государственный орган в соответствии с требованиями законодательства, например в налоговые органы (письмо ФНС России от 08.06.2022 № ПА-3-24/5978@);
- предусмотрено коллективным договором, соглашением, а также локальными актами работодателя, принятыми в установленном ст. 372 ТК РФ порядке (абз. 2 Разъяснений Роскомнадзора);
- обязанность обработки, в том числе опубликования и размещения персональных данных работников в Интернете, предусмотрена законодательством (абз. 1 п. 1 Разъяснений Роскомнадзора);
- проводится обработка персональных данных близких родственников работника в случаях, установленных законодательством РФ (получение алиментов, допуск к гостайне, оформление социальных выплат) (абз. 1 п. 2 Разъяснений Роскомнадзора);
- обработка специальной категории персональных данных связана с выполнением работником своих трудовых обязанностей (п. 3 Разъяснений Роскомнадзора);
- обработка персональных данных проводится в целях организации работодателем пропускного режима на территорию его служебных зданий и помещений (абз. 1 п. 5 Разъяснений Роскомнадзора);
- обработка персональных данных осуществляется в отношении уволенных работников (абз. 6-10 п. 5 Разъяснений Роскомнадзора) и пр.
Вместе с тем, поскольку есть риски того, что проверяющие сочтут те или иные данные, которые обрабатывает компания, избыточными либо не соответствующим целям обработки, лучше в любом случае запросить с работника согласие на обработку персональных данных.
Также обратите внимание, что должны быть отдельные согласия:
- на обработку биометрических персональных данных;
- на обработку персональных данных специальной категории;
- распространение персональных данных (размещение информации на сайте в Интернете);
- передачу персональных данных третьим лицам (когда привлекаются сторонние организации, например для охраны территории и организации пропускного режима) и некоторые другие, о которых подробно рассказано в статье «Как правильно составить согласие на обработку персональных данных» в № 2’ 2024.
Другие документы
Роскомнадзор при проверках требует и документы, которые могут оформляться при подборе персонала. Например заявления, анкеты, опросные листы, резюме, согласие соискателя на замещение вакантной должности и иные документы, которые используются при подборе персонала и содержат персональные данные, а также приказы, утверждающие для них формы.
При разработке и утверждении подобных форм рекомендуем проверить, не запрашиваете ли вы с соискателей избыточные персональные данные или данные, которые не соответствуют целям обработки. Если такое обнаруживается (например требование к кандидату указать сведения о наличии у него кредитных обязательств или любые другие данные, которые не относятся к его деловым качествам), рекомендуем исключить подобные формулировки из форм документов.
Также при проверке запросят справку о составе документов, входящих в личное дело работника компании (если личные дела ведутся, что не обязательно для большинства компаний). В связи с этим рекомендуем не хранить в личном деле копии документов работника и не указывать их в справке о составе документов личного дела, которая представляется при проверке, поскольку Роскомнадзор это не приветствует.
Учитывайте, что при проверке обязательно потребуют подтверждение того, что работники ознакомлены с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами о политике оператора в отношении обработки таких данных, ЛНА по вопросам обработки персональных данных. Поэтому рекомендуем перепроверить, ознакомлены ли работники под подпись со всеми локальными нормативными актами компании, касающимися обработки персональных данных.
Также Роскомнадзор часто проверяет, как работодатель соблюдает права субъектов персональных данных в части взаимодействия с ними. В этих целях он может запросить копии обращений от граждан по вопросам уточнения, удаления, уничтожения персональных данных, копии ответов оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах. Чтобы было проще подобрать документы для проверки, рекомендуем завести журнал, в котором можно регистрировать обращения по вопросам обработки персональных данных и кратко отражать, какие меры и когда были приняты работодателем в ответ на обращения граждан.
Затребует ведомство и ЛНА, устанавливающие порядок уничтожения, а также подтверждающие уничтожение персональных данных по достижении цели обработки (например акты об уничтожении материальных носителей персональных данных). Если же обработка персональных данных осуществляется работодателем с использованием средств автоматизации, кроме акта об уничтожении персональных данных, потребуется сделать выгрузку из журнала регистрации событий в информационной системе персональных данных (п. 2, 3, 5 Требований к подтверждению уничтожения персональных данных, утв. приказом Роскомнадзора от 28.10.2022 № 179).
* * *
Таким образом, при проверке Роскомнадзора потребуется довольно внушительный пакет документов, список которых может отличаться в зависимости от того, персональные данные каких категорий обрабатываются в компании, кому и каким способом компания передает персональные данные, и других особенностей и обстоятельств. Поэтому чтобы организовать эффективную работу с персональными данными и успешно пройти проверку Роскомнадзора, нужно обеспечить слаженное взаимодействие всех работников компании (и особенно – ответственного за обработку персональных данных, допущенных к обработке данных лиц), поддержание документов относительно работы с персональными данными в актуальном состоянии и своевременное реагирование на запросы субъектов персональных данных и надзорного органа.
Для снижения рисков при обработке персональных данных стоит принять во внимание Рекомендации Роскомнадзора от 08.08.2023, в том числе минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны, не накапливать личную информацию «на всякий случай», использовать юридические, технические и программные средства, принимать меры физического контроля для обеспечения необходимого уровня безопасности данных.
Чтобы максимально эффективно подготовиться к проверке Роскомнадзора, также рекомендуем ознакомиться со списком контрольных вопросов, утв. приказом Роскомнадзора от 24.12.2021 № 253. Отвечая на вопросы, указанные в проверочном листе, можно определить, в каких процедурах работы с персональными данными у компании есть недочеты, и вовремя их исправить.