Какие меры по защите персональных данных нужно предпринять?

Правовые меры

По общему правилу, до начала обработки персональных данных компания должна уведомить об этом Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Исключения составляют случаи, когда:

•  данные обрабатываются без средств автоматизации;
•  информация включена в государственные информационные системы (например, для безопасности страны);
•  обработка предусмотрена законодательством о транспортной безопасности.

Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. Документ подписывается уполномоченным лицом компании.

Для соблюдения закона организация должна разработать:

•  политику обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть доступна всем, особенно если сбор данных ведется через сайт;
•  локальные нормативные акты, регулирующие: категории и перечень обрабатываемых данных, способы, сроки обработки и хранения, порядок уничтожения данных после достижения целей обработки, процедуры выявления и устранения нарушений.

Руководитель компании назначает сотрудника, отвечающего за:

•  контроль соблюдения законодательства;
•  информирование работников о правилах обработки данных;
•  обработку обращений граждан по вопросам их персональных данных.

Также необходимо утвердить перечень сотрудников, имеющих доступ к данным, и взять с них подписку о неразглашении.

Технические меры

Согласно ч. 5 ст. 18 ФЗ № 152-ФЗ персональные данные россиян должны храниться на серверах в РФ.

Уровень защиты зависит от типа угроз (Постановление Правительства РФ от 01.11.2012 № 1119). Для минимального (4-го) уровня достаточно идентификации и аутентификации пользователей, разграничения доступа сотрудников, антивирусной защиты и контроля обновлений ПО, защиты данных при передаче по каналам связи, физической защиты оборудования (например, расположение мониторов таким образом, чтобы был невозможен их несанкционированный просмотр).

Организационные меры

Если данные хранятся на бумаге, необходимо:

•  выделить специальные помещения с ограниченным доступом;
•  установить сейфы, сигнализацию, видеонаблюдение;
•  определить порядок доступа сотрудников.

Если данные обрабатываются в информационных системах, требуется:

•  защита помещений от несанкционированного доступа;
•  сохранность носителей информации;
•  использование сертифицированных средств защиты;
•  назначение ответственного за безопасность (при 3-м уровне защиты).

Компании обязаны подключаться к государственной системе обнаружения кибератак (ч. 12 ст. 19 закона № 152-ФЗ). Порядок взаимодействия регулируется Приказом ФСБ России от 13.02.2023 № 77.

Бухгалтерия.ру