• Меньше трёх месяцев осталось до вступления в силу закона 152-ФЗ. Для меня до сих пор остаётся открытым один глобальный вопрос.
  
  Думаю, он волнует не меня одного, а многих администраторов, работающих на предприятиях, не имеющих мало — мальски грамотной юридической службы.

Ситуация, в принципе, простая. Имеем предприятие (в моём случае ОАО), имеем отдел кадров и отдел маркетинга.

В первом очевидно собираются данные по сотрудникам предприятия, во втором — по контрагентам, среди которых есть и ИП, соответственно, в нашем справочнике хранятся и их паспортные данные, и адрес, и телефон.

Собственно, вопрос: Руководство предприятия, опираясь на ч.2 п.п. 1 и 2 ст. 22 закона,

Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:

1) относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения;

2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных,

если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных

и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;

решает не принимать никаких мер, поскольку уведомлять уполномоченный орган об осуществлении обработки ПД нет необходимости, отсюда делается вывод, что и приводить программно-аппаратный комплекс в соответствие требованиям надзорных органов тоже не нужно. А как же обстоит дело на самом деле?

Какой минимум мероприятий должен быть задокументирован и проведён, чтобы уберечь себя от последствий возможных проверок, если они вообще возможны в нашем случае?