Я постоянно в процессе разработки документов по персональным данным для турагентов, туроператоров и авторов туров. Практически нон стоп. И за определенное время у меня выработался определенный алгоритм действий, который мне очень помогает.

Итак.
На первом шаге после получения заявки и прошу заполнить анкету. Это очень экономит время и позволяет установить основные моменты в деятельности турагента (турагенты, все таки, мои основные заказчики). Если у меня не хватает данных я задаю дополнительные вопросы. На этом этапе я выясняю все те данные, которые потом буду заносить в уведомление РКН. И здесь же составляю реестр процессов обработки персональных данных, который ляжет в основу всех документов.

На втором шаге я проверяю сайт. Выясняю какие данные собираются на сайте, есть ли встроенные поисковики, проверяю сайт через программу-сканер (выясняю какие cookies файлы собираются, есть ли метрические программы). Очень часто турагенты понятия не имеют, что происходит на их сайте или просто забыли. Читаю Политику и согласие (если они есть), проверяю их на юридические ошибки. Так же важно выяснить куда поступают заявки с сайта. Иногда они падают в МДТ или Битрикс.

На третьем шаге я определяю, какие у заказчика есть ИСПДн (информационные системы персональных данных). ИСПДн - это совокупность баз данных, которые содержат персональные данные, а также информационных технологий и технических средств, с помощью которых осуществляется обработка таких ПДн. Понимаю, это сложно. Затем я определяю:
1. Типы ИСПДн. Существует шесть типов информационной системы персональных сведений. Все они приведены в Постановлении Правительства 1119 (далее – ПП № 1119). Их разделение происходит по принципу категорий обрабатываемых персональных данных.
2. Актуальные типы угроз ИСПДн. Их всего три, и они также приведены в ПП №1119.
3. Уровни защищенности персональных данных (ИСПДн). Существует четыре уровня защищенности.

Все это надо чтобы определить, как именно защищать вашу информационную систему, в которой обрабатываются персональные данные ваших сотрудников и клиентов и отразить эти меры защиты в документах.

На четвертом шаге я создаю приказы. Они у всех разные, зависит от бизнес-процессов и организационной формы заказчика (т.е. вас)
1. Приказ о назначении ответственного лица.
2. Приказ об определении перечня ИСПДн
3. Приказ об определении персональных данных, обрабатываемых в ИСПДн
4. Приказ об определении мест хранения персональных данных
5. Приказ об утверждении списка лиц с доступом к ИСПДн
6. Приказ об утверждении комплекта ОРД

Шаг номер пять - положения и инструкции.
Инструкцией о порядке взаимодействия с уполномоченным органом по защите прав субъектов персональных данных
Инструкция по идентификации пользователей и управлению доступом ИСПДн
Инструкция пользователя информационных систем персональных данных
Правила осуществления внутреннего контроля. К нему Акт проведения внутренней проверки и План мероприятий по защите персональных данных информационных систем персональных данных
Положение о защите персональных данных
Положение о работе с персональными данными клиентов, контрагентов
Положение о работе с персональными данными сотрудников
Правила рассмотрения запросов субъектов
Положение о порядке уничтожения персональных данных

Это не весь перечень, но основное. Так же всевозможные Обязательства о неразглашении и журналы учета.

И на последнем шаге я подаю уведомление в РКН. Это может быть уведомление о намерении обрабатывать ПДн, либо о внесении изменений, если ранее уведомление уже подавались. Еще ни разу мне не пришлось не вносить изменения. Не понимая законодательства и вообще сути процессов обработки персональных данных, турагенты всегда допускают ошибки в уведомлении.

Вот как-то так. Но это еще не конец. Далее турагенту и любой другой организации надо поддерживать документы в актуальном состоянии, а для этого надо изучать эту тему.