Частый вопрос: какой документ по ПД является самым важным? Положение, Политика, может – согласия? Мимо! Вместе с коллегами из ПЕРСОМЕМЫ после ряда бессонных ночей по исправлению неисправленного мы уверены, что ключевой, конечно же, – реестр процессов обработки ПД (RoPA). Ибо без RoPA, увы, невозможно даже: 🔵подать в РКН честное уведомление об обработке ПД; 🔵разработать Политику, согласия и другие документы; 🔵наладить процесс уничтожения, локализации и прочие; 🔵выявить «точки» privacy-роста. Также делимся с вами шаблоном упрощенной RoPA, чтобы вы могли взять ее за основу построения своего реестра. Иногда он у нас бывает кратно сложнее – ссылки и кросс-ссылки на формы оценок, описание блок-схем процессов, карточки ИТ-систем и примерно миллион иных атрибутов. Пишите, что вы еще добавляете в свои RoPA? А вот примеры RoPA от европейских регуляторов – тут и тут. Бриф по применению: 🔵Проведите интервью с коллегами ВСЕХ подразделений, где могут оказаться ПД. Помните, процессы обработки ПД могут быть в самых неожиданных местах. Для чего обрабатываются ПД, какие ПД, когда уничтожаются (если уничтожаются) и т.д. Зачастую одного интервью может быть недостаточно и потребуются дополнительные встречи и запросы коллегам (или подрядчикам). После этого нелегкого, но важного упражнения у вас на руках будет реестр со всеми актуальными процессами. 🔵Но останавливаться на этом – преступление. Если почивать на лаврах однажды написанной RoPA, то она весьма скоро превратится в тыкву. Для поддержания RoPA «в форме» потребуется наладить механизмы отслеживания изменений процессов обработки ПД в их подразделениях и информирования об этих изменениях DPO. Не обязательно делать ответственными за отслеживание изменений весь отдел – достаточно назначить в подразделении одного сотрудника, который будет мониторить изменения в процессах обработки и передавать сведения дальше. 🔵Если реестр составляли на совесть, то благодаря ему станут очевидными privacy-гепы: где-то ПД хранятся вечно, где-то должным образом не фиксируется их уничтожение, где-то данные обрабатываются без правового основания, где-то слишком много ненужных доступов к ПД и так далее. После устранения гепов не забудьте отразить изменения в RoPA – не направлять же в случае запроса РКН реестр, из которого очевидно видны нарушения. Да, процесс разработки и поддержания RoPA требует временных затрат, а также осмысленного и кропотливого подхода. Но оно того стоит, ведь иначе невозможно выстроить по-настоящему грамотную документарную и процессную базу обработки компанией ПД. Проект RoPA забирайте по ➡️ ссылке. #Comply #Комплаенс 🙂 MAX | YT | RT | LI | Комплайтека