Константин Искам → Вопрос о мерах по обеспечению соответствия Закону о персональных данных
- Меньше трёх месяцев осталось до вступления в силу закона 152-ФЗ. Для меня до сих пор остаётся открытым один глобальный вопрос.
Думаю, он волнует не меня одного, а многих администраторов, работающих на предприятиях, не имеющих мало — мальски грамотной юридической службы.
В первом очевидно собираются данные по сотрудникам предприятия, во втором — по контрагентам, среди которых есть и ИП, соответственно, в нашем справочнике хранятся и их паспортные данные, и адрес, и телефон.
Собственно, вопрос: Руководство предприятия, опираясь на ч.2 п.п. 1 и 2 ст. 22 закона,
Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных,
если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных
и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
решает не принимать никаких мер, поскольку уведомлять уполномоченный орган об осуществлении обработки ПД нет необходимости, отсюда делается вывод, что и приводить программно-аппаратный комплекс в соответствие требованиям надзорных органов тоже не нужно. А как же обстоит дело на самом деле?
Какой минимум мероприятий должен быть задокументирован и проведён, чтобы уберечь себя от последствий возможных проверок, если они вообще возможны в нашем случае?