Персональные данные: изменение должностных инструкций работников

<…>

10.1. Внести изменения в должностные инструкции работников, непосредственно обрабатывающих персональные данные:

10.1.1. Дополнить раздел «Должен знать» главы «Общие положения» следующими пунктами:

- законодательство, локальные правовые акты, организационно-распорядительные документы нанимателя по защите персональных данных;

- методы применения правовых, организационных и технических мер по обеспечению безопасности персональных данных.

10.1.2. Дополнить главу «Должностные обязанности» следующими пунктами:

- осуществлять обработку персональных данных с соблюдением норм, установленных действующим законодательством, локальными правовыми актами, организационно-распорядительными документами нанимателя по защите персональных данных;

- информировать своего непосредственного руководителя и лиц, ответственных за внутренний контроль за обработкой персональных данных, о нештатных ситуациях, связанных с обработкой персональных данных;

- обеспечивать конфиденциальность операций с персональными данными;

- обеспечивать сохранность и неизменность персональных данных, если выполняемая задача не предполагает их корректировки или дополнения.

10.1.3. Дополнить главу «Права» следующим пунктом:

- принимать меры по защите персональных данных.

10.2. Внести изменения в должностные инструкции лиц, ответственных за внутренний контроль за обработкой персональных данных.

10.2.1. Дополнить главу 1 «Общие положения»:

Начальник (наименование структурного подразделения) как лицо, ответственное за внутренний контроль за обработкой персональных данных также должен знать:

- законодательство, локальные правовые акты и организационно-распорядительные документы нанимателя по защите персональных данных;

- методы применения правовых, организационных и технических мер по обеспечению безопасности персональных данных;

- меры внутреннего контроля и (или) аудита соответствия обработки персональных данных;

- порядок оценки вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о персональных данных, соотношение указанного вреда и принимаемых нанимателем (оператором) мер, направленных на обеспечение исполнения обязанностей, предусмотренных таким законодательством;

- алгоритм ознакомления работников нанимателя (оператора), непосредственно обрабатывающих персональные данные, с положениями законодательства о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику нанимателя (оператора) в отношении обработки персональных данных, локальными правовыми актами, организационно-распорядительными документами по вопросам обработки персональных данных, и (или) обучение указанных работников;

- порядок разработки правовых документов для защиты персональных данных;

- передовой отечественный и зарубежный опыт в области обработки персональных данных.

10.2.2. Дополнить главу «Должностные обязанности»:

Для выполнения возложенных на начальника (наименование структурного подразделения) функций по осуществлению внутреннего контроля за обработкой персональных данных он:

- осуществляет внутренний контроль за обработкой персональных данных («без использования средств автоматизации, если при этом обеспечивается поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.)», «с использованием средств автоматизации»);

- доводит до сведения работников Общества и иных лиц, непосредственно обрабатывающих персональные данные, положения законодательства и локальных правовых актов нанимателя (оператора) по защите персональных данных;

- контролирует прием и обработку обращений и запросов субъектов персональных данных или их представителей;

- в случае получения запроса от субъекта персональных данных либо выявления нарушения, связанного с обработкой персональных данных субъекта, незамедлительно доводит эту информацию до генерального директора Общества;

- при нарушении требований по защите персональных данных принимает необходимые меры по восстановлению нарушенных прав субъектов персональных данных;

- блокирует неправомерно обрабатываемые персональные данные, прекращает обработку персональных данных в соответствии с законодательством;

- уведомляет субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

- проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства о защите персональных данных и принимаемых оператором мер, направленных на обеспечение исполнения обязанностей, предусмотренных законодательством о защите персональных данных;

- по факту нарушения составляет отчет, который передается генеральному директору с указанием причины совершения нарушения, лиц, допустивших такие нарушения, и мер, принятых для устранения нарушения.

10.2.3. Дополнить главу «Права»:

Для выполнения функций по внутреннему контролю за обработкой персональных данных начальник (наименование структурного подразделения) вправе:

- вносить на рассмотрение генеральному директору предложения, а также участвовать в рассмотрении проектов решений по вопросам защиты персональных данных;

- координировать работу и деятельность работников и структурных подразделений в области обработки и защиты персональных данных;

- принимать неотложные меры по защите персональных данных;

- иметь доступ к информации, касающейся обработки и защиты персональных данных.

<…>