В соответствии с требованиями Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», а также статьями 45 и 52 Федерального закона от 31 июля 2020 года № 248-ФЗ «О государственном контроле (надзоре) и муниципальном контроле в Российской Федерации», и пунктом 30 Положения о федеральном государственном контроле (надзоре) за обработкой персональных данных, утвержденного постановлением Правительства Российской Федерации от 29 июня 2021 года № 1046, Управление Роскомнадзора по Курганской области провело серию профилактических визитов, направленных на предупреждение нарушений в области персональных данных и повышение правовой грамотности контролируемых лиц.
В третьем квартале 2024 года было запланировано 16 обязательных профилактических визитов к контролируемым лицам, из которых было проведено 13. Однако, в отношении трех организаций профилактические визиты не состоялись из-за отказа оператора от их проведения и прекращения деятельности.
По результатам проведенных профилактических визитов операторам персональных данных были направлены рекомендации по организации деятельности по обработке персональных данных на основании предоставленных документов и информации.
## Рекомендации для контролируемых лиц
1. В соответствии с частью 1 статьи 18.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», оператору необходимо принять меры, предусмотренные данным законом, и разработать соответствующие нормативные правовые акты.
2. Доработать политику оператора в отношении обработки персональных данных, определив для каждой цели обработки категорий и перечень обрабатываемых данных, категории субъектов, персональные данные которых обрабатываются, способы и сроки их обработки и хранения, а также порядок уничтожения при достижении целей обработки или наступлении иных законных оснований. Также необходимо разработать локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, а также на устранение последствий таких нарушений.
3. Назначить ответственного за организацию обработки персональных данных работника в соответствии с требованиями статей 18.1 и 22.1 Федерального закона.
4. Дополнить должностную инструкцию ответственного за организацию обработки персональных данных полномочиями, установленными статьей 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»:
«В соответствии со статьей 22.1 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Лицо, ответственное за организацию обработки персональных данных, в частности, обязано:
- осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
- доводить до сведения работников оператора положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
- организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
5. Своевременно проводить внутренний контроль и аудит соответствия обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных. Утверждать планы проведения внутреннего контроля и аудита. Оформлять результаты проведения внутреннего контроля и аудита в виде актов, протоколов или докладных записок.
6. Откорректировать согласие субъекта персональных данных на обработку его персональных данных, включив установленный состав сведений в соответствии с частью 4 статьи 9 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».