Чек-лист по защите персональных данных
В свете повышения штрафов компаниям Николай Соловьев предлагает проверить работу с персональными данными на соответствие закону
Как я уже и писал ранее в статье «Роль совета директоров в кибербезопасности и защите информации» неисполнение Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» сулит штрафами в соответствии с КоАП РФ в зависимости от нарушения для юридического лица от 100 тыс. руб. до 20 млн. руб.
30 мая 2025 года начали действовать изменения согласно Федерального закона от 30.11.2024 N 420-ФЗ, который повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных.
Хочу обратить особое внимание, что это требование о включении в Реестр операторов, осуществляющих обработку персональных данных распространяется на все компании и ИП и согласно им, любое юридическое лицо и ИП обязано направлять уведомление в ведомство до начала работы с персональными сведениями граждан.
Также 23.05.2025 вышел Федеральный закон N 104-ФЗ "О внесении изменений в статьи 4.5 и 13.12 Кодекса Российской Федерации об административных правонарушениях и статью 1 Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который фактически ужесточает меры административной ответственности за нарушение требований по защите информации.
Но если защита информации в части конфиденциальной информации, информации государственных информационных систем, систем критической информационной инфраструктуры, государственной тайны и т.д., касаются лишь определенных структур и юридических лиц, то в части обеспечения требований по защите персональных данный стоит задуматься каждому владельцу бизнеса, начиная с ИП и заканчивая крупными группами компаний.
Напоминаю, к персональным данным относятся данные:
На Портале персональных данных Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
При подаче уведомления помимо прочего требуется:
а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
Указывается перечень мер, реализуемый оператором в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
И на этих пунктах, конечно, у человека не погруженного в тематику возникнет наибольшее количество вопросов, что в свою очередь затруднит подачу уведомления.
Учитывая это, а также по просьбам читателей моих предыдущих публикаций на РБК, мной подготовлен перечень рекомендаций по оперативному изучению состояния обеспечения требований по организации обработки персональных данных:
В случае наличия вашей компании в реестре, у указанного в реестре лица можно запросить информацию о принятых мерах по обеспечению требований защиты персональных данных, при необходимости.
Если вашей компании в Реестре нет, то необходимо выяснить назначен ли ответственный за организацию обработки персональных данных, а если такого нет, то назначить. В случае малочисленного персонала компании по аналогии с главным бухгалтером можно назначить ответственным лицо осуществляющее функции единоличного исполнительного органа. При этом, при наличии достаточного штата компании, учитывая то, что это ответственный за организацию обработки персональных данных, а не за защиту, можно вполне назначить ответственным руководителя подразделения персонала, например, директора по персоналу.
В соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных» № 152-ФЗ, компания обязана обеспечить соответствие процессов обработки и защиты персональных данных установленным требованиям.
Для этого необходимо выполнить ряд организационных и технических мер. Самое идеальное будет провести аудит текущего состояния и внедрить недостающие меры с привлечением специалистов по информационной безопасности.
Вместе с тем, совместно с экспертом в области информационной безопасности по организационным и техническим мерам (начиная от работы в регуляторе, заканчивая построением систем информационной безопасности для социальных сетей) Артемом Бердашкевичем мы подготовили расширенный чек-лист, который поможет компаниям разных масштабов и отраслевой специфики (включая банковский сектор) привести свою работу с персональными данными в соответствие с законом.
30 мая 2025 года начали действовать изменения согласно Федерального закона от 30.11.2024 N 420-ФЗ, который повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных.
Хочу обратить особое внимание, что это требование о включении в Реестр операторов, осуществляющих обработку персональных данных распространяется на все компании и ИП и согласно им, любое юридическое лицо и ИП обязано направлять уведомление в ведомство до начала работы с персональными сведениями граждан.
Также 23.05.2025 вышел Федеральный закон N 104-ФЗ "О внесении изменений в статьи 4.5 и 13.12 Кодекса Российской Федерации об административных правонарушениях и статью 1 Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который фактически ужесточает меры административной ответственности за нарушение требований по защите информации.
Но если защита информации в части конфиденциальной информации, информации государственных информационных систем, систем критической информационной инфраструктуры, государственной тайны и т.д., касаются лишь определенных структур и юридических лиц, то в части обеспечения требований по защите персональных данный стоит задуматься каждому владельцу бизнеса, начиная с ИП и заканчивая крупными группами компаний.
Напоминаю, к персональным данным относятся данные:
- работников и кандидатов на работу;
- контрагентов;
- членов общественных объединений и религиозных организаций;
- посетителей для оформления пропуска на территорию компании;
- и даже ФИО любого лица, полученное организацией в ходе своей деятельности.
На Портале персональных данных Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:
- в бумажном виде;
- в электронном виде с использованием усиленной квалифицированной электронной подписи;
- в электронном виде с использованием средств аутентификации ЕСИА.
При подаче уведомления помимо прочего требуется:
- Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»
а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.
- Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ
Указывается перечень мер, реализуемый оператором в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
И на этих пунктах, конечно, у человека не погруженного в тематику возникнет наибольшее количество вопросов, что в свою очередь затруднит подачу уведомления.
Учитывая это, а также по просьбам читателей моих предыдущих публикаций на РБК, мной подготовлен перечень рекомендаций по оперативному изучению состояния обеспечения требований по организации обработки персональных данных:
- Узнаем, подано ли уведомление в Роскомнадзор и является ли компания оператором персональных данных. Проще всего, что бы не получить искаженных сведений, это сделать самому на сайте регулятора, при этом достаточно пройти по ссылке и ввести ИНН.
- После чего, при наличии организации в Реестре появится информация о ней, в которой в том числе будет указано конкретные фамилия имя и отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных.
В случае наличия вашей компании в реестре, у указанного в реестре лица можно запросить информацию о принятых мерах по обеспечению требований защиты персональных данных, при необходимости.
Если вашей компании в Реестре нет, то необходимо выяснить назначен ли ответственный за организацию обработки персональных данных, а если такого нет, то назначить. В случае малочисленного персонала компании по аналогии с главным бухгалтером можно назначить ответственным лицо осуществляющее функции единоличного исполнительного органа. При этом, при наличии достаточного штата компании, учитывая то, что это ответственный за организацию обработки персональных данных, а не за защиту, можно вполне назначить ответственным руководителя подразделения персонала, например, директора по персоналу.
В соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных» № 152-ФЗ, компания обязана обеспечить соответствие процессов обработки и защиты персональных данных установленным требованиям.
Для этого необходимо выполнить ряд организационных и технических мер. Самое идеальное будет провести аудит текущего состояния и внедрить недостающие меры с привлечением специалистов по информационной безопасности.
Вместе с тем, совместно с экспертом в области информационной безопасности по организационным и техническим мерам (начиная от работы в регуляторе, заканчивая построением систем информационной безопасности для социальных сетей) Артемом Бердашкевичем мы подготовили расширенный чек-лист, который поможет компаниям разных масштабов и отраслевой специфики (включая банковский сектор) привести свою работу с персональными данными в соответствие с законом.
Данный чек-лист позволяет систематизировать подход к защите персональных данных и минимизировать риски штрафов. Напомню, что он составляет до 300 тыс. руб. для юрлиц по ст. 13.11 КоАП РФ. Для компаний из регулируемых отраслей (финансы, здравоохранение, телеком) важно учитывать отраслевые требования и регулярно обновлять меры защиты.
Важно помнить, что над списком документов, приказов и мер стоит работать индивидуально, нет одной «таблетки» для каждого «пациента».
Если в вашей компании еще нет требуемых документов, регулятор не уведомлен об обработки вашей компанией персональных данных, то самое время озадачиться этим вопросом, возможно нанять профессиональную организацию.
РБК
Важно помнить, что над списком документов, приказов и мер стоит работать индивидуально, нет одной «таблетки» для каждого «пациента».
Если в вашей компании еще нет требуемых документов, регулятор не уведомлен об обработки вашей компанией персональных данных, то самое время озадачиться этим вопросом, возможно нанять профессиональную организацию.
РБК