Как должны быть организованы обработка и хранение персональных данных?

Вопрос:

Организация занимается обработкой персональных данных в целях:

1) с физическими лицами в целях заключения трудовых договоров с сотрудниками

2) с юридическими лицами и физическими лицами (Индивидуальными предпринимателями) в целях заключенных с ними договоров поставки (оказания услуг) и передает разработчику ПО и баз данных (третьему лицу) персональные данные - ФИО руководителя организации для получения для контрагента регистрационного файла.

В связи с этим (обработка персональных данных только в указанных целях), в соответствие с ч.2 ст.22 Закона 152-ФЗ О защите персональных данных оператор (т.е. наша организация) не уведомляет уполномоченный орган об обработке персональных данных.

- как правильно ответить в этом случае на запрос Уполномоченного органа "Цели и правовые основания обработки персональных данных, в том числе относительно передачи персональных данных третьим лицам"

"Способы обработки персональных данных"

- Какие меры должен принять оператор (т.е. наша организация) в соответствие с ч.1 ст.18.1 3aкона o персональных данных (какие конкретно документы заполнить, пример)

- какие требования по хранению и обработке персональных данных в указанных целях должен соблюдать оператор в соответствие с ч.15 ст.18 3aкона o персональных данных (какие конкретно меры и действия предпринять?)