Национальный центр защиты персональных данных (далее — НЦЗПД) разместил на своем сайте алгоритм. Следуя ему, оператор, уполномоченное лицо могут привести свою деятельность в соответствие с законом о защите персональных данных.

Алгоритм представляет 10 последовательных этапов, которые нужно пройти, чтобы правильно организовать работу с персональными данными. По каждому из них НЦЗПД дал пояснения. Например, первым этапом является назначение лица (структурного подразделения), ответственного за осуществление внутреннего контроля при обработке персональных данных. Здесь НЦЗПД:

— обозначил основные функции такого лица (подразделения);

— указал, что нецелесообразно возлагать эти функции исключительно на специалиста по информационной безопасности, а также назначать ответственных в каждом структурном подразделении;

— пояснил, что в связи с назначением ответственного за осуществление внутреннего контроля ни оператор, ни уполномоченное лицо, ни работники, осуществляющие обработку персональных данных, не освобождаются от ответственности.

Кроме того, в алгоритме НЦЗПД определил документы, которые нужно разработать организации; указал, какие обязанности можно предусмотреть в должностных инструкциях работников, обрабатывающих персональные данные в информационном ресурсе (системе); обозначил распространенные ошибки и нарушения при обработке персональных данных и др.

Здесь же, на сайте, НЦЗПД разместил пример реестра обработки персональных данных. Его предлагается использовать операторам, уполномоченным лицам для того, чтобы систематизировать и организовать учет видов обработки персональных данных. В примере реестра виды обработки персональных данных выделяются согласно целям их обработки. В частности, это такие цели, как рассмотрение резюме соискателей, оформление (прием) на работу, выплата заработной платы, аттестация работников и др. По каждой из целей НЦЗПД предлагает отражать в реестре:

— подразделение (лицо), ответственное за обработку;

— категории лиц, персональные данные которых обрабатываются;

—  категории обрабатываемых данных;

— правовую основу для обработки персональных данных;

— категории получателей, которые регулярно и постоянно получают эти персональные данные;

—  срок хранения персональных данных.