Защита персональных данных в 2025 году: ключевые требования для бизнеса

Эта статья — практическое пособие по организации работы с системой персональных данных внутри организации. Также отдельно будут приведены последствия неисполнения законодательных требований и способы недопущения развития негативных сценариев.

Меры по защите ПДн

Каждый оператор, работающий с персональными данными, обязуется внедрить систему их защиты. Предпринимаемые меры должны носить правовой, организационный и технический характер. Об этом нам говорит ст. 19 ФЗ от 27.07.2006 №152-ФЗ «О персональных данных», которая дополняется Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных в информационных системах», где описан порядок реализации предпринимаемых по защите действий.

Важно: обработка информации без использования средств автоматизации должна проходить с соблюдением мер, которые описаны Постановлением Правительства РФ от 15 сентября 2008 г. № 687.

Правовые меры

Подробнее расскажем о каждой из категорий мер. Правовые или юридические — это основа всего, фундамент, на котором в дальнейшем будет осуществляться реализация всех других мер. И основной момент здесь — это проработка и внедрение документации, регламентирующей порядок взаимодействия с персональными данными. На что здесь стоит обращать внимание:

1. Формирование Политики в отношении обработки персональных данных. Это должен быть общедоступный для каждого субъекта документ, подлежащий размещению на веб-ресурсе организации. Если последнего нет, то Политику следует разместить на информационном стенде. В документ в обязательном порядке включается следующий набор информации: цели обработки и правовые основания, список обрабатываемых данных, меры по их защите и основные права субъектов.
2. Формирование других локальных нормативно-правовых актов. К таковым относятся регламенты, положения, журналы и инструкции, которые регулируют правила хранения данных и их уничтожения, порядок доступа к информации и иные важные нюансы работы с ПДн. Подобные документы — обязательны к внедрению в рамках организации и должны пройти утверждение со стороны руководителя.
3. Если планируется передача данных третьим лицам, то необходимо с ними заключить договор поручения. Без этого шага передача сведений будет считаться неправомерной.
4. Проработка согласия на обработку персональных данных. Его необходимо оформлять в виде отдельного документа, оно должно быть информированным и конкретным. Согласие требуется в большинстве случаев, если нет оснований для обработки или передачи ПДн без него (ст.6 ФЗ №152-ФЗ).
5. Права субъектов должны исполняться корректно. Необходимо: обеспечивать доступ к персональным данным, предоставлять сведения об их обработке или удалять по запросу.
6. Отображение в локальных актах мер по защите персональных данных. Указывайте все, что реально осуществляется вами — от разграничения доступа к ПДн до проведения обучения для работников по взаимодействию с персданными.

Напоминание: документы должны создаваться индивидуально под вашу компанию — не нужно брать шаблоны из Интернета или копировать их у других организаций. Это позволит в случае проверки убедить надзорные органы в том, что вы ответственно подходите к защите чувствительной информации о физических лицах.

Рекомендуется при составлении документов обращаться за помощью к экспертам, которые помогут вам разработать индивидуальный пакет документов именно под вашу организацию.

Организационные меры

К ним относятся действия, осуществляемые внутри организации и обеспечивающие соблюдение законодательных требований в рамках повседневной работы:

1. Определение лица, ответственного за обрабатывание ПДн. Оно же отвечает за взаимодействие с надзорным органом и контролирует исполнение внутренних регламентов по работе с персональными данными. Чаще всего таким лицом выбирают юриста, сотрудника отдела кадров или департамента информ. безопасности.
2. Работники должны иметь доступ только к тем данным, которые им необходимы для исполнения своего рабочего функционала.
3. Регулярно обновляющиеся законодательные требования в части работы с ПДн требуют постоянного обучения сотрудников с целью снижения рисков ошибиться.
4. Постоянный аудит собственной системы работы с персональными данными. Опять же, регулярно меняющиеся условия требуют проведения проверок не реже 1 раза в год.
5. Реагирование на утечки личной информации. Если подобное произошло, следует зафиксировать данный факт, устранить последствия и причины произошедшего, что это не повторилось. Отдельная обязанность каждого оператора — уведомление Роскомнадзора в течение суток об утечке. В противном случае может последовать наложение штрафа на оператора до 3 млн руб. (согласно (ч.11 ст.13.11 КоАП РФ).
6. Недопущение использования незащищенных каналов связи, к которым относятся мессенджеры и личные почтовые ящики сотрудников. Прибегайте только к корпоративным сервисам.
7. Контролирование процессов уничтожения устаревших бумажных носителей и электронных носителей с ПДн специальной комиссией. По результатам процедуры следует оформить акт.
8. Если персональные данные представлены на бумажных носителях, то их стоит хранить в отдельном помещении или шкафу, которые запираются на ключ. Доступ к документации следует предоставлять только тем сотрудникам, которые допущены к работе с такой категорией данных.

Технические меры по защите персональных данных

ФЗ №152-ФЗ и Постановление Правительства РФ №1119 устанавливают, что обрабатывающее ПДн лицо обязано применять аппаратные и программные решения, которые исключают незаконный доступ, непреднамеренное изменение или уничтожение сведений. Кроме того, требования закреплены в Приказе ФСТЭК от 18.02.2013 №21, который определяет стандарты и сертификацию средств защиты. К ключевым техническим нюансам относятся:

1. Применение сертифицированных средств защиты сведений. Допускается использование только тех решений, которые представлены в реестре ФСТЭК — антивирусы, межсетевые экраны, криптографические средства (СКЗИ).
2. Осуществление контроля над доступами к базам данных. Работники организации должны входить везде под личными учетными записями. При необходимости следует внедрить систему двухфакторной аутентификации. В организациях большого масштаба используются системы IAM, которые в автоматическом режиме ограничивают права в зависимости от занимаемой человеком должности и функционала.
3. Любая передача сведений посредством Интернета или корпоративных сетей должна шифроваться сертифицированными средствами. Корпоративная переписка и совместная работа должны вестись через защищенные сервисы.
4. Внедрение журналов учета действий пользователей, чтобы любая операция с персональными данными тут же фиксировалась. Впоследствии это может упростить расследование инцидентов.
5. Обеспечение сохранности данных при сбоях и прочих аварийных ситуациях. Для этого следует внедрить практику резервного копирования сведений.
6. Внедрение мер безопасности на рабочих местах работников — оснащение компьютеров антивирусами, средствами шифрования и автоматическим блокированием экрана при бездействии в течение определенного времени.
7. На постоянной основе осуществляйте аудит IT-системы, выявляйте уязвимые места в инфраструктуре.

Последствия для компании при утечке персональных данных

Если компания не реализовала все описанные выше меры или сделала это некорректно и утечка произошла, то ее последствия будут очень суровыми:

1. При утечке данных от 1 до 10 тысяч субъектов величина санкции составит от 3 до 5 млн рублей.
2. Если третьим лицам станут доступны специальные категории сведений, то штраф может составить до 15 млн. рублей.
3. Если же утечка затронет биометрические данные, то санкция может достигнуть 20 млн. рублей.
4. Самые суровые последствия предусматриваются за повторное нарушение — штраф до 500 млн рублей или 1-3% годового оборота компании (на основании ч.18 ст.13.11 КоАП РФ).

Соблюдение всех требований законодательства в части работы с персональными данными и реализация для этого всех описанных выше мер — залог спокойного функционирования вашего бизнеса без претензий со стороны надзорных органов и огромных штрафов.

При возникновении сложностей с выстраиванием системы работы с ПДн рекомендуется обращаться за помощью к специалистам, которые помогут все сделать в установленном законом порядке.