На многих организаций и предпринимателей распространяются требования Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».

В 2024 году к нам обратился ломбард с запросом о помощи в подготовке к проверке Роскомнадзора по вопросам обработки персональных данных. Организация получила официальный запрос на предоставление соответствующих документов и сведений.

Мы решили поделиться с читателями перечнем документов и информации, запрошенных надзорным органом, чтобы помочь другим субъектам заблаговременно подготовиться к возможным аналогичным проверкам.

В рамках проверки Роскомнадзор потребовал предоставить документы и локальные акты, подтверждающие реализацию мер, указанных в п.п. 1–6 ч. 1 ст. 18.1 Закона №152-ФЗ, а именно (формулировки приведены дословно):

- назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных;

- издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов. устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности;

- применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 Закона №152-ФЗ;

- осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону №152-ФЗ и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- оценка вреда в соответствии с требованиями, установленными уполномоченным органом по защите прав субъектов персональных данных, который может быть причинен субъектам персональных данных в случае нарушения Закона №152-ФЗ, соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных Законом №152-ФЗ;

- ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

В рамках указанного запроса нами были подготовлены и предоставлены на проверку следующие документы:

- Положение об обработке персональных данных  (с приложением форм первичных документов, направленных на реализацию положения);

- Правила осуществления внутреннего контроля и (или) аудита соответствия обработки персональных данных 3акону №152 и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;

- Положение о недопущении оператором вреда при обработке персональных данных;

- Положение о порядке хранения информации персонального характера на бумажных носителях;

- Приказ о назначении ответственного за обработку персональных данных;

- Приказ о создании комиссии по организации  и проведению работ по защите персональных данных;

- Приказ о допуске работников к персональным данным клиентов и назначении ответственных по работе и хранению персональных данных клиентов;

- Приказ об утверждении Положения по обработке и защите персональных данных;

- а также ряд иных документов.

Подготовленные нами документы, в т.ч. положение об обработке персональных данных прошли успешную проверку Роскомнадзора. Мы получили ценный практический опыт взаимодействия с надзорным органом и рады поделиться им с читателями.

Если вам предстоит проверка Роскомнадзора или вы хотите заранее обеспечить соответствие требованиям законодательства, мы готовы помочь в разработке необходимой документации и организации процессов по защите персональных данных.