111222
Новости

Какие меры по защите персональных данных нужно предпринять?

Для печати|Все cтатьи
31.07.2025   |   Бухгалтеру  |   0Оставить комментарий
Компании, обрабатывающие персональные данные, обязаны обеспечивать их защиту в соответствии с законодательством РФ. Для этого необходимо применять специальные  правовые, технические и организационные меры.
Какие меры по защите персональных данных нужно предпринять?

Правовые меры

По общему правилу, до начала обработки персональных данных компания должна уведомить об этом Роскомнадзор (ч. 1 ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Исключения составляют случаи, когда:

  •  данные обрабатываются без средств автоматизации;
  •  информация включена в государственные информационные системы (например, для безопасности страны);
  •  обработка предусмотрена законодательством о транспортной безопасности.

Форма уведомления утверждена Приказом Роскомнадзора от 28.10.2022 № 180. Документ подписывается уполномоченным лицом компании.

Для соблюдения закона организация должна разработать:

  •  политику обработки персональных данных (п. 2 ч. 1 ст. 18.1 закона № 152-ФЗ). Она должна быть доступна всем, особенно если сбор данных ведется через сайт;
  •  локальные нормативные акты, регулирующие: категории и перечень обрабатываемых данных, способы, сроки обработки и хранения, порядок уничтожения данных после достижения целей обработки, процедуры выявления и устранения нарушений.

Руководитель компании назначает сотрудника, отвечающего за:

  •  контроль соблюдения законодательства;
  •  информирование работников о правилах обработки данных;
  •  обработку обращений граждан по вопросам их персональных данных.

Также необходимо утвердить перечень сотрудников, имеющих доступ к данным, и взять с них подписку о неразглашении.

Технические меры

Согласно ч. 5 ст. 18 ФЗ № 152-ФЗ персональные данные россиян должны храниться на серверах в РФ.

Уровень защиты зависит от типа угроз (Постановление Правительства РФ от 01.11.2012 № 1119). Для минимального (4-го) уровня достаточно идентификации и аутентификации пользователей, разграничения доступа сотрудников, антивирусной защиты и контроля обновлений ПО, защиты данных при передаче по каналам связи, физической защиты оборудования (например, расположение мониторов таким образом, чтобы был невозможен их несанкционированный просмотр).

Организационные меры

Если данные хранятся на бумаге, необходимо:

  •  выделить специальные помещения с ограниченным доступом;
  •  установить сейфы, сигнализацию, видеонаблюдение;
  •  определить порядок доступа сотрудников.

Если данные обрабатываются в информационных системах, требуется:

  •  защита помещений от несанкционированного доступа;
  •  сохранность носителей информации;
  •  использование сертифицированных средств защиты;
  •  назначение ответственного за безопасность (при 3-м уровне защиты).

Компании обязаны подключаться к государственной системе обнаружения кибератак (ч. 12 ст. 19 закона № 152-ФЗ). Порядок взаимодействия регулируется Приказом ФСБ России от 13.02.2023 № 77.

Еще по теме:

Вправе ли работодатель прослушивать разговоры работников?

Защита от инсайдерских угроз в бухгалтерии: как поведенческий анализ помогает минимизировать риски


Бухгалтерия.ру Источник материала
372 просмотра Обсудить на форуме
Подпишись на рассылку

Комментарии (0)


    Оставить комментарий



    Популярные темыПопулярные новости