На даному етапі необхідно затвердити Положення про захист персональних даних установи. На розсуд власника баз персональних даних зазначене Положення може бути розроблене за кожною з існуючих установ баз персональних даних, або ж бути загальним (містити інформацію про всі бази персональних даних закладу, наприклад, “Пацієнти”, “Працівники”).
Таким чином, у Положенні має бути викладено загальний порядок обробки усіх баз персональних даних закладу, з конкретизацією щодо порядку (особливостей) обробки по кожній з баз. Дія такого Положення поширюватиметься на всі бази персональних даних закладу.
Разом з тим Положення може бути розроблене по кожній з баз персональних даних окремо, наприклад:
◼️Положення про порядок обробки та захисту бази персональних даних “Працівники”;
◼️Положення про порядок обробки та захисту бази персональних даних “Пацієнти”;
◼️Положення про порядок обробки та захисту бази персональних даних “Контрагенти”.
У разі розроблення окремих локальних актів для різних баз персональних даних, певні розділи Положення мають бути продубльовані за окремими базами (наприклад, інформація про особу, що відповідальна за організацію роботи).