Мы начали с аудита деятельности заказчика. Определили, чьи данные обрабатываются и какие именно категории, а также установили правовые основания обработки.
Важный момент: в разработанных документах отсутствует согласие на обработку персональных данных. Мы определили другие основания: либо договор, либо законные основания. Деятельность ЖСК устроена так, что согласия здесь практически никогда не нужны.
ЖСК не нужно подписывать лишнюю «бумагу».
2. Зафиксировали все процессы обработки данных в одном реестре.
Теперь кооператив в любой момент может обосновать РКН, какие данные и на каком основании он обрабатывает. Прописали каждую категорию субъектов:
- Члены ЖСК.
- Жители дома, которые не вступали в кооператив, но получают жилищно-коммунальные услуги.
- Работники.
- Физлица, с которыми кооператив вступает в отношения.
Для каждой категории мы зафиксировали свои основания для обработки данных.
3. Разработали полный пакет документов.
Мы создали всю необходимую документацию:
- Политику в отношении обработки данных.
- Приказы и акт оценки вреда.
- Образцы на будущее (акт уничтожения персональных данных, ответ на запрос субъекта).
- Положение по организации обработки персональных данных.
- Журнал регистрации обращений.
- Отдельный комплект документов для работников.