Чтобы правила работали, необходимо выстроить эффективные процессы, которые будут обеспечивать согласованность и прозрачность операций при работе с персональными данными.
Как и в случае с внутренними документами, каждая компания самостоятельно определяет формат, содержание и структуру процессов. Однако можно выделить минимально необходимый набор процессов, которые должны быть выстроены в каждой компании:
Экспертиза процессов, в которых осуществляется обработка ПДн
Экспертиза процессов состоит из следующих шагов:
Обработка обращений субъектов ПДн/регуляторов
Необходимо определить порядок, как компания будет реагировать на обращения субъектов ПДн и регуляторов.
Тип обращения | Норма закона | Что должно быть в обращении | Срок реагирования | Что нужно сделать перед подготовкой ответа | Что отвечать |
|---|---|---|---|---|---|
Об отзыве согласия на обработку ПДн | Ч. 5 ст .21 закона 152-ФЗ | Сведения, позволяющие установить субъекта ПДн | 30 дней | Проверить наличие действующего согласия, инициировать процедуру отзыва согласия, обеспечить прекращение обработки ПДн (если отсутствуют иные основания обработки) | Подтверждение прекращения или указание оснований продолжения обработки ПДн |
О прекращении неправомерной обработки ПДн | Ч. 1 и ч. 3 ст. 21 закона 152-ФЗ | Сведения, позволяющие установить субъекта ПДн | 3 рабочих дня | Проверить наличие правового основания обработки и при невозможности обеспечить правомерность — уничтожить ПДн | Проверить наличие правового основания обработки и при невозможности обеспечить правомерность — уничтожить ПДн Подтверждение прекращения обработки ПДн / Указание оснований продолжения обработки ПДн |
Запрос от Роскомнадзора | Ч. 4 ст. 20 закона 152-ФЗ | Мотивированность запроса и правовые основания передачи запрашиваемой информации | 10 рабочих дней+ 5 рабочих дней в случае направления Роскомнадзору уведомления с указанием причин продления срока | Оценить мотивированность запроса, в т.ч. наличие оснований на передачу запрашиваемой информации Запрашиваемая информация или обоснование отказа ее предоставления | Оценить мотивированность запроса, в т.ч. наличие оснований на передачу запрашиваемой информации Запрашиваемая информация или обоснование отказа ее предоставления |
О предоставлении информации об обработке ПДн | Ч. 1 ст. 14 закона 152-ФЗ | Сведения, позволяющие установить субъекта ПДн и подтвердить отношения субъекта ПДн с компанией | 10 рабочих дней+ 5 рабочих дней в случае направления субъекту ПДн уведомления с указанием причин продления срока | Подтвердить личность субъекта ПДн и его отношения с компанией | Информация, предусмотренная ч. 7 ст. 14 закона 152-ФЗ |
Об уточнении недостоверных ПДн | Ч. 3 ст. 20 закона 152-ФЗ | Сведения, позволяющие установить субъекта ПДн и подтверждающие неточность обрабатываемых в компании ПДн | 7 рабочих дней | Проверить точность обрабатываемых ПДн | Подтверждение уточнения ПДн |
Контроль выполнения требований
Необходимо определить порядок, сроки и формат проведения мероприятий по контролю за обработкой ПДн.
В частности, если вы обрабатываете персональные данные, то проверьте, оформлены ли у вас эти документы:
Название документа | Офлайн точка | Сайт |
|---|---|---|
Политика обработки персональных данных | Политику необходимо разместить в уголке потребителя, к которому имеется свободный доступ | Ссылку на политику обычно размещают в «подвале» сайта, а также под формой сбора данных, обычно во фразе рядом с чек-боксом о том, что пользователь соглашается на обработку ПДн. Сама политика может быть выложена в виде pdf- файла |
Положение об обработке персональных данных | Документ должен быть доступен для работников, необходимо обеспечить ознакомление всех работников. |
Вы отписались от рассылки!
Спасибо, что были с нами! Возобновить подписку можно в любой момент на сайте СберБизнес Live