Важно не забывать, что защита персональных данных является одним из основных принципов работы любой компании, требует серьезного подхода и систематической работы. Нарушения могут повлечь за собой серьезные последствия для бизнеса, поэтому компании необходимо уделить должное внимание вопросам обработки персональных данных и подготовке к проверкам.
В рамках проведения проверки Роскомнадзор в первую очередь запросит общие сведения о компании — такие как приказ о назначении уполномоченного при проверке, копию Устава, справку о статусе работодателя как субъекта малого предпринимательства, договоры об аренде офисных помещений (рабочих мест), штатное расписание, уведомления Роскомнадзора об обработке персональных данных и иные документы. Также надзорный орган проверит как документы, касающиеся организации обработки и защиты персональных данных в компании в целом, так и документы, которые оформляются по конкретным работникам.
Например, при любой проверке затребуют документ о назначении ответственного за организацию обработки персональных данных. Форма документа нормативно не установлена, поэтому ее можно разработать самостоятельно.
Среди кадровых документов при проверке запросят, в том числе, должностные обязанности (или должностную инструкцию) ответственного за организацию обработки персональных данных. Поэтому необходимо проверить, отражены ли в должностной инструкции ответственного соответствующие обязанности.
Пример формулировки в должностной инструкции ответственного за организацию обработки персональных данных
«Работник обязан:
…
• организовать разработку, принятие и актуализацию работодателем документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений;