Как организовать хранение персданных в 2025 году, соблюдая Федеральный закон № 152-ФЗ - Бухгалтерия.ru
Как организовать хранение персданных в 2025 году, соблюдая Федеральный закон № 152-ФЗОрганизация бизнеса

Как организовать хранение персданных в 2025 году, соблюдая Федеральный закон № 152-ФЗ

19.06.2025 распечатать

Основной нормативный акт, регулирующий обработку персональных данных — Федеральный закон № 152-ФЗ. С 30 мая 2025 года вступили в силу значительные изменения, касающиеся правил хранения данных.

Основные правила хранения персональных данных

В соответствии с Федеральным законом № 152-ФЗ, операторы персональных данных — юридические лица, ИП, физлица или самозанятые — обязаны использовать полученные персональные данные исключительно по целевому назначению. Завершив поставленную цель, оператор должен незамедлительно удалить или обезличить персональные данные.

Операторы несут ответственность за организацию надежной защиты данных путем внедрения шифрования, строгого ограничения доступа и использования двухфакторной аутентификации. Срок хранения данных определяется внутренними документами компании (например, положением или политикой). По окончанию срока хранения или по запросу пользователя в течение 30 дней данные подлежат удалению.

Начиная с июля 2025 года все персональные данные российских граждан должны храниться исключительно на серверах, расположенных на территории РФ. Ранее достаточно было обеспечить локализацию данных на территории России, без ограничений на их дальнейшую обработку за границей. Сейчас весь массив информации, связанной с персональными данными россиян, должен располагаться на отечественных серверах.

Это означает, что вместе с переносом основного сайта компании на российские сервера необходимо перевести туда же все дополнительные элементы инфраструктуры, такие как вспомогательные сайты, аналитические инструменты, платежные шлюзы, CRM-системы и корпоративную электронную почту. Например, перенос кодов статистики аналитических сервисов (Google Analytics, Яндекс Метрика и другие) на новый сайт, перенастройку целей и других отслеживаемых событий. Требования распространяются на любые информационные ресурсы, используемые бизнесом для взаимодействия с пользователями.

Процесс перехода на российский сервер

Переход должен включать в себя несколько важных этапов:

  1. Анализ: выявить все источники поступления персональных данных, например, данные поступают из клиентской базы, мобильного приложения, кадровых документов и др.
  2. Зарегистрироваться в качестве оператора персональных данных: направить уведомление в Роскомнадзор по форме, утвержденной приказом ведомства (№180 от 28 октября 2022 года). Это можно сделать онлайн на сайте ведомства или через портал «Госуслуги».

    Ошибки в уведомлениях об обработке персональных данных

    Как составить и направить в Роскомнадзор уведомление о начале обработки персданных

  3. Проверить и повысить уровень безопасности персональных данных: установить сложные пароли, включить двухфакторную аутентификацию, использовать современные антивирусные программы и межсетевые экраны, ограничить доступ к данным исключительно для доверенных сотрудников.
  4. Актуализировать документы по защите персданных: создать или обновить публичную политику конфиденциальности, которая будет доступна пользователям на официальном сайте компании и в договорах сотрудничества.

    Документы, которые должны быть в компании по законодательству о персональных данных

Хранение данных на бумажных носителях

Бумажные документы, содержащие персональные данные, следует размещать в сейфах, металлических шкафах или специально оборудованных помещениях. Доступ к таким помещениям и сейфам предоставляется только сотрудникам, перечень которых официально утверждается внутренним документом компании (приказом, положением о защите персональных данных).

Документы кадрового делопроизводства, например, личные дела сотрудников, не должны включать копии паспорта, СНИЛС и прочих удостоверительных документов, если это не обусловлено служебной необходимостью.

Документы по воинскому учету надлежит хранить исключительно в металлических шкафах, согласно рекомендациям Минобороны от 11 июля 2017 года. Военно - учетный стол должен размещаться в специальном помещении.

Хранение данных в электронных системах

Правила хранения электронных документов с персданными утверждены постановленикм Правительства РФ от 1 ноября 2012 года № 1119. Недопустим несанкционированный доступ к файлам. Работники, допущенные к таким данным, получают индивидуальные логины и пароли для входа в информационную систему.

Помимо традиционных способов хранения персональных данных в бумажном или электронном виде, Федеральный закон № 152-ФЗ и Постановление Правительства РФ № 1119 позволяют использовать облачные хранилища, обеспечивающие должный уровень защиты информации.

Требования к облачному хранилищу включают:

  • Надежную защиту данных с помощью шифрования.
  • Двухфакторную аутентификацию для предотвращения несанкционированного доступа.
  • Автоматическое резервное копирование данных.
  • Интеграцию с используемыми в компании информационными системами.

Важен учет местных требований. Например, если предусмотрена территориальная привязка хранения данных, убедитесь, что провайдер располагает необходимыми дата-центрами в регионе.

Выбор поставщика облачных хранилищ должен осуществляться с учетом Приказа ФСТЭК России № 21 от 18 февраля 2013 года, который требует сертификации используемых средств защиты информации.

Определить уровень защищенности помогает специальный инструмент — калькулятор ФСТЭК.

Автор. Е. Грицак

Больше по теме:

Как Роскомнадзор выявляет нарушителей в работе с персданными, и кого может оштрафовать

Как произвести трансграничную передачу персональных данных в 2025 году

 

 

Бухгалтерия.ру

В статье использованы фото с сайта freepik.com или shutterstock.com

Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
Регистрируйтесь бесплатно.