Работодатель должен предпринять ряд мер, направленных на организацию работы с персональными данными сотрудников.
Назначение работника, ответственного за работу с персональными данными
Работодатель должен назначить из числа сотрудников или привлеченной организации лица, ответственного за организацию обработки персональных данных.
Такое лицо, ответственное за организацию обработки персональных данных, может получать указания непосредственно от руководителя организации и отчитываться перед ним.
Работник, отвечающий за организацию обработки персональных данных, в частности, обязан:
- осуществлять внутренний контроль за соблюдением организацией и ее работниками законодательства РФ о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников организации положения законодательства РФ о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и осуществлять контроль за приемом и обработкой таких обращений и запросов.
Принять локальные акты о порядке работы с персональными данными
Организация должна принять документы, определяющих ее политику в отношении обработки персональных данных.
Это, в том числе, локальные акты по вопросам обработки персональных данных, а также локальные акты, устанавливающие процедуры по предотвращению и выявлению нарушений законодательства РФ, а также устранению последствий таких нарушений.
Примерный перечень локальных актов организации включает:
- политику оператора персональных данных в отношении обработки персональных данных;
- положение об обработке и защите персональных данных;
- обязательство о соблюдении режима конфиденциальности персональных данных;
- перечень должностей сотрудников, имеющих доступ к персональным данным;
- приказ о назначении лица, ответственного за организацию обработки персональных данных;
- приказ об утверждении мест хранения материальных носителей персональных данных.
Организация обязана опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему ее политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.