Для обеспечения защиты персональных данных необходимо:
- 1) выделение бизнес-процессов, содержащих персональные данные;
- 2) разделение персональных данных на общедоступные и ограниченного доступа;
- 3) определение перечня лиц, осуществляющих сбор и обработку персональных данных либо имеющих к ним доступ;
- 4) назначение лица, ответственного за организацию обработки персональных данных в случае, если собственник и (или) оператор являются юридическими лицами. Обязанности лица, ответственного за организацию обработки персональных данных, указаны в пункте 3 статьи 25 Закона. Действие настоящего подпункта 4) не распространяется на обработку персональных данных в деятельности судов.
- 5) установление порядка доступа к персональным данным.
- 6) утверждение документов, определяющих политику оператора в отношении сбора, обработки и защиты персональных данных;
- 7) по запросу уполномоченного органа в рамках рассмотрения обращений физических и юридических лиц представление информации о способах и процедурах, используемых для обеспечения соблюдения собственником и (или) оператором требований Закона ;
- 8) в течение одного рабочего дня c момента обнаружения нарушения безопасности персональных данных уведомление уполномоченного органа о данном нарушении с указанием контактных данных лица, ответственного за организацию обработки персональных данных (при наличии);
- 9) в случае взаимодействия с объектами информатизации государственных органов и (или) государственных юридических лиц, содержащими персональные данные, обеспечение интеграции собственных объектов информатизации, задействованных в процессах сбора и обработки персональных данных, с государственным сервисом контроля доступа к персональным данным, за исключением случаев, предусмотренных подпунктами 1), 2), 9) и 9-2) статьи 9 Закона.