Результат: реестр обработки ПД 

Согласие субъекта данных получено либо использовано одно из оснований п. 2 ст. 8 Закона.
Приняты меры предупреждения рисков, которые могут возникнуть при обработке специальных ПД. 

Категории специальных ПД - закрытый перечень.
Включают биометрические генетические данные, сведения о национальной / расовой принадлежности.

Субъект ПД получил информацию о планируемой обработке ПД, предварительное разъяснение своих прав, механизма их реализации, последствий дачи, отказа в даче согласия
Согласие субъекта данных оформлено в надлежащей форме.

Субъект данных предоставляет свое согласие свободно, однозначно и на основании своей информированности.
Согласие - не единственное основание для обработки ПД. См. ст. 5, 6, 8 Закона  

1. Назначено ответственное лицо /подразделение для внутреннего контроля обработки ПД.
2. Разработаны документы, которые определяют политику обработки ПД.
3. Работники  ознакомлены с законодательством и документами, определяющими политику обработки ПД. 

4. Установлен порядок доступа к ПД.
5. Техническая/ крипто-защита осуществляется в установленном порядке. 

Есть договор между вами (оператором) и уполномоченным лицом. Оператор несет ответственность за действия уполномоченного лица перед субъектом ПД.

 Указаны необходимые условия такого договора:

· цели обработки ПД
· действия, совершаемые с ПД
· обязанности по соблюдению конфиденциальности
· меры по защите ПД

Уполномоченные лица: провайдеры бухгалтерских услуг, транспортных услуг, IT-поддержка. 

Юрисдикция получателя: «адекватная» или нет.
В адекватные юрисдикции передача — без дополнительных ограничений.

Есть основание для трансграничной передачи ПД в «неадекватную» юрисдикцию (согласие, договор или иное).

Если берем согласие, то разъясняем субъекту ПД риски из-за «ненадлежащего» уровня защиты ПД при передаче в третью страну. 

1. Отзыв согласия 

2. Получение информации и изменение ПД 

3. Получение информации о предоставлении ПД третьим 

4. Обжалование (без) действий, решений оператора 

5. Прекращение обработки и / или удаление ПД  

Срок реагирования на запросы субъектов — 15 календарных дней, по праву на получение информации — 5 рабочих дней.

Субъект ПД имеет право на возмещение морального вреда 

1. Отзыв согласия 

2. Получение информации и изменение ПД 

3. Получение информации о предоставлении ПД третьим 

4. Обжалование (без) действий, решений оператора 

5. Прекращение обработки и / или удаление ПД  

Срок реагирования на запросы субъектов — 15 календарных дней, по праву на получение информации — 5 рабочих дней.

Субъект ПД имеет право на возмещение морального вреда 

общие требования к обработке ПД

· требования к передаче ПД и привлечению уполномоченных лиц
· меры по обеспечению защиты ПД
· требования к трансграничной передаче ПД
· порядок реализации прав субъектов ПД

ОПЕРАТОР ОБЯЗАН: 

Обеспечивать защиту ПД
Прекращать обработку ПД при отсутствии (утрате) оснований для обработки
Вносить изменения в ПД, которые являются неполными и неактуальными 

Уведомлять надзорный орган о нарушениях систем защиты ПД незамедлительно (не позднее 3 рабочих дней с момента ) с выявления оператором.

общие требования к обработке ПД

· требования к передаче ПД и привлечению уполномоченных лиц
· меры по обеспечению защиты ПД
· требования к трансграничной передаче ПД
· порядок реализации прав субъектов ПД

ОПЕРАТОР ОБЯЗАН: 

Обеспечивать защиту ПД
Прекращать обработку ПД при отсутствии (утрате) оснований для обработки
Вносить изменения в ПД, которые являются неполными и неактуальными 

Уведомлять надзорный орган о нарушениях систем защиты ПД незамедлительно (не позднее 3 рабочих дней с момента ) с выявления оператором.

•  перечень информационных ресурсов / систем и обрабатываемых в них категорий ПД по установленной классификации.
• · перечень привлекаемых уполномоченных лиц,
• · сроки хранения ПД