Профилактический визит Роскомнадзора — главное мероприятие по профилактике выполнения обязательств и требований в области обработки персональных данных (ПД). Чтобы успешно его пройти, получив от инспектора компетентные рекомендации для дальнейшего улучшения развития предприятия, необходимо заранее подготовить документационный пакет.
Как формируется перечень требуемых документов?
Проблема подготовки к профвизиту заключается в том, что четко регламентированного списка документов, которые могли бы заинтересовать инспектора, нет. Данный перечень определяется индивидуально с учетом:
- Направления деятельности организации;
- Региона регистрации компании.
Региональный орган формирует список для проведения профилактического визита самостоятельно. При этом проанализировав уже проведенные проф визиты, можно выделить 10 основополагающих документов.
1. Ответственный за обработку персональных данных
В первую очередь инспектору необходимо предоставить документы, в которых указаны сведения о лице, ответственном за обработку персональных данных, и его назначении. К ним же прилагаются должностные инструкции.
2. Политика оператора
Для изучения особенностей проведения обработки ПД в конкретной организации оператору необходимо предоставить политику оператора в отношении обработки ПД, а также дополнительные положения при их наличии.
3. Локальные акты оператора
Следующей важной составляющей документационного пакета являются локальные акты, отражающие вопросы и условия обработки персональных данных (цели, сроки хранения, категории, правовое обоснование использования и т.д.).
Ответы на такие вопросы могут входить непосредственно в политику оператора, отвечающего за обработку ПД. А могут быть представлены в виде отдельных документов.
4. Внутренний контроль и аудит
До непосредственного профвизита контролируемое лицо должно провести самостоятельный внутренний контроль или полноценный аудит соблюдения актуальных требований и правил в отношении обработки персональных данных. Выявленные в результате проведения такой проверки данные указываются в соответствующих актах, которые также необходимо предоставить инспектору Роскомнадзора.
5. Обеспечение безопасности ПД
Для подтверждения безопасности обработки ПД необходимо предъявить копии документов, в которых отражены правовые, технические и организационные меры для этого. Для удобства представления и проверки рекомендуется разработать отдельный План обеспечения мер безопасности обработки ПД.
6. Осведомленность работников
Работники оператора в обязательном порядке должны быть ознакомлены с самим фактом обработки персональных данных, а также с актуальными требованиями Российского законодательства в отношении их обработки. Для подтверждения их осведомленности предоставляется лист ознакомления с установленными актами.
7. Оценка вреда
Дополнительно к актам ознакомления субъектов персональных данных предоставляются документы, в которых указан порядок оценки вреда, возникающего при нарушении установленных законов в отношении обработки ПД. Оформляются они в виде акта оценки вреда.
8. Размещение баз данных
Хранение баз с персональными данными осуществляется согласно положениям статьи 18 Закона части обеспечения размещения баз персональных данных на территории Российской Федерации (ст. 15). Для подтверждения соблюдения данного требования предоставляется договор, заключенный с организацией, которая предоставляет хостинг для хранения данных.
9. Выполнение требований Правительства
Документационный пакет для профилактической проверки в обязательном порядке должен включать документы, которые:
- Подтверждают принятие мер для раздельного хранения ПД;
- Подтверждают выполнение необходимых мер для сохранности ПД;
- Подтверждают информирование лиц-операторов о факте обработки ПД и соответствующих правилах, требованиях;
- Подтверждают факт возможности определения лица, отвечающего за обработку каждой категории персональных данных.
Все требования, соблюдение которых должно быть подтверждено документально, установлены постановлением Правительства от 15.09.2008 №687.
10. Адреса сайтов
Если оператором, выполняющим сбор и обработку персональных данных, используются веб-ресурсы, документационный пакет необходимо дополнить актом с указанием их адресов.
Подготовка документов к профилактическому визиту
Точный перечень документов, которые будет проверять инспектор во время профилактического визита, устанавливается персонально и прописывается в уведомительном письме, которое отправляется на почту контролируемого лица не позже, чем за 5 дней до назначенной даты профвизита. Подготовка каждого из них должна проводиться в соответствии с ФЗ 27.07.2006 № 152-ФЗ «О персональных данных». При отсутствии должных компетенций или времени вы можете доверить ее проведение команде KPIB.
Официальный сайт - https://kpib.ru/
Номер телефона - +7(812) 240-8166
