Когда у Роскомнадзора возникают вопросы к компании
Роскомнадзор является государственным органом по защите прав субъектов ПД. Для осуществления контроля за соблюдением законов он может проводить как плановые, так и внеплановые поверки.
Предусмотрен ли перечень работников компании, имеющих доступ к персональным данным.
Ознакомлены ли сотрудники с федеральным законом № 152-ФЗ «О персональных данных.
Проводился ли в компании внутренний аудит работы с ПД.
Опубликована ли политика обработки данных на всех страницах сайта, где происходит сбор личной информации.
На что обращает внимание Роскомнадзор:
Согласие на обработку ПД необходимо подписывать не только с клиентами и подписчиками, но и со всеми работниками компании, так как они также являются субъектами персональных данных. Некоторые трудовые договоры включают в себя актуальные положения для новых сотрудников, но лучше оформить согласие отдельным документом.
Компании необходимо издать приказ о назначении ответственного за организацию обработки персональных данных, указать сотрудников, работающих с личной информацией. Чаще всего будет достаточно перечислить руководящий состав отделов, а также главного бухгалтера и гендиректора.
Политика обработки данных должна включать в себя все условия работы с персональными данными. Необходимо обозначить, какая информация собирается, цели сбора и cроки ее хранения. Политику обработки данных нужно разместить на всех страницах сайта, где посетители указывают личные сведения (это может быть форма обратной связи, регистрационная форма и др.)
Внутренний аудит поможет выявить слабые места компании и разработать действенную процедуру ликвидации персональных данных. Хотя аудит является необязательным, он может стать преимуществом при проверках Роскомнадзора.
Инвентаризация процессов сбора и обработки персональных данных, интеграция инструментов для обеспечения ИБ, удаление информации в положенные сроки помогут наладить внутренние процессы компании, соблюдать закон и не волноваться о штрафах и претензиях со стороны контролирующих органов.