В любой компании данные о сотрудниках, клиентах и контрагентах накапливаются быстрее, чем кажется. Их утечка сегодня гарантированно приводит к проверке и штрафу в несколько миллионов рублей. Поэтому обеспечение защиты персональных данных в организации — это обязательный процесс, напрямую связанный с требованиями ФЗ от 27.07.2006 №152-ФЗ и финансовыми рисками для бизнеса.
Для чего нужна защита персональных данных
Базовая цель — соблюдение требований к защите персональных данных в ФЗ №152-ФЗ. Закон прямо обязывает оператора принимать правовые, организационные и технические меры, чтобы исключить неправомерный доступ, утрату или распространение сведений.
Но на практике причин больше:
- снижение риска административных штрафов и оборотных санкций;
- защита репутации компании и доверия клиентов;
- снижение вероятности внутренних злоупотреблений;
- защита бизнеса при проверках Роскомнадзора;
- соблюдение защиты прав субъектов персональных данных.
Проще говоря, грамотно выстроенная система защиты — это способ управлять рисками, а не реагировать на последствия.
Кто отвечает за защиту персональных данных в организации
Ответственность всегда несет оператор персональных данных (ст.19 ФЗ №152-ФЗ). В данном случае это сама организация, которая собирает и обрабатывает их.
Даже если обработка передана подрядчику по договору, именно оператор остается ответственным перед субъектами и надзорным органом. Передача функций не означает полную передачу ответственности.
Что входит в обязанности оператора по защите персональных данных
Определение угроз безопасности
Оценка угроз — фундамент всей системы защиты персональных данных в организации. Ее задача — понять, какие реальные риски существуют именно для вашей инфраструктуры.
На практике это означает анализ того, какие негативные последствия возможны при нарушении конфиденциальности, целостности или доступности информации. Учитываются используемые системы, каналы доступа, роли пользователей и сценарии работы.
В ходе оценки выявляют возможные источники угроз, включая внешних нарушителей и внутренний персонал, а также способы реализации атак. Отдельно анализируются сценарии, при которых угроза может быть реализована, и оценивается их актуальность.
В качестве основы используются данные из банка угроз ФСТЭК России, модели угроз, отраслевые документы, сведения о применяемых ИТ-системах, договоры с провайдерами и описание бизнес-процессов. Также учитываются результаты оценки рисков и ущерба.
Важно! Такую оценку нельзя провести один раз и навсегда. Она должна пересматриваться при изменении инфраструктуры, внедрении новых систем или модернизации процессов, а также в ряде других случаев, напрямую затрагивающих обработку ПДн.
Внедрение организационно-технических мер
Состав таких мер зависит от того, используются ли информационные системы и какие именно данные обрабатываются.
К базовым мерам относятся:
- назначение ответственного за организацию обработки и защиту персональных данных;
- разработка и утверждение локальных актов, включая положение о защите персональных данных;
- определение перечня обрабатываемых данных и целей их использования;
- установление правил доступа сотрудников к данным;
- обучение работников требованиям безопасности и конфиденциальности;
- применение средств защиты информации в информационных системах;
- ведение учета носителей и действий с ними;
- контроль соблюдения установленных процедур;
- организация физической защиты помещений и архивов;
- фиксация инцидентов и реагирование на нарушения.
Чтобы реализовать эти меры, нужно разработать комплект документов по защите персональных данных в организации. Без них не получится что-либо внедрить. Кроме того, документы всегда запрашивает Роскомнадзор при проверках.
Учет машинных носителей ПДн
Оператору необходимо утвердить инструкцию, которая регулирует учет и обращение с машинными носителями, содержащими персональные данные. Такой учет позволяет контролировать движение информации и снижает риск утечек.
Для этого устанавливаются правила регистрации носителей с присвоением уникального учетного номера, их маркировки и фиксации в журнале. Сами носители выдаются под ответственность конкретных сотрудников. Отдельно определяются условия хранения, исключающие доступ посторонних лиц, а также порядок уничтожения носителей, утративших ценность или работоспособность.
Установление правил доступа к ПДн
Доступ к персональным данным должен быть строго разграничен. Каждый сотрудник получает только тот объем сведений, который необходим ему для выполнения трудовых функций. Это правило применяется и к бумажным документам, и к информационным системам.
Права доступа закрепляются в локальных актах, технических настройках и должностных инструкциях. Такой подход снижает риск внутренних утечек и помогает доказать соблюдение принципа минимизации доступа при проверках.
Оценка эффективности принимаемых мер защиты ПДн
Даже хорошо выстроенная система со временем устаревает. Поэтому оператору рекомендуется проводить внутренний аудит не реже одного раза в год.
В ходе проверки обычно оценивают:
- актуальность локальных нормативных актов;
- корректность распределения ролей и прав доступа;
- соблюдение установленных процедур сотрудниками;
- наличие и актуальность моделей угроз;
- состояние технических средств защиты;
- порядок реагирования на инциденты;
- ведение журналов и учетных форм.
Аудит можно проводить силами штатных сотрудников или обратиться в стороннюю организацию, которая подойдет к изучению всех процессов независимо.
Обеспечение восстановления и резервного копирования ПДн
Оператор обязан заранее продумать, как будут восстанавливаться данные при сбоях или инцидентах. Для этого разрабатывается отдельная инструкция по резервному копированию и восстановлению.
На практике применяются разные подходы: локальные копии на физических носителях, облачные решения или комбинированные схемы. Возможны также специализированные решения для отдельных приложений и баз данных. Выбор зависит от архитектуры системы и допустимого времени простоя. Главное, чтобы была предусмотрена реальная возможность восстановления данных без потери их целостности.
Контроль за принимаемыми мерами по защите персональных данных
Контроль внутри организации обычно возлагается на назначенного ответственного за организацию обработки персональных данных. В крупных компаниях это может быть отдельное подразделение или служба информационной безопасности.
Руководитель организации обеспечивает общий надзор, утверждает документы и принимает решения по результатам проверок. При необходимости к контролю могут привлекаться юристы и специалисты по ИБ.
Что будет, если не защищать персональные данные
Если нарушение требований к защите персональных данных привело к утечке, Роскомнадзор оценивает масштаб инцидента. Размер штрафа напрямую зависит от количества затронутых людей и типа данных. Санкции установлены статьей 13.11 КоАП РФ в редакции Федерального закона от 30.11.2024 № 420-ФЗ.
| Правонарушение | Санкции |
| Утечка данных от 1 000 до 10 000 человек или от 10 000 до 100 000 идентификаторов | От 3 до 5 млн руб. |
| Утечка данных от 10 000 до 100 000 человек или от 100 000 до 1 000 000 идентификаторов | От 5 до 10 млн руб. |
| Утечка данных более чем 100 000 человек или более 1 000 000 идентификаторов | От 10 до 15 млн руб. |
| Повторное совершение нарушений, предусмотренных частями 12–14 статьи 13.11 КоАП РФ | От 1 до 3 % выручки, но не менее 20 млн и не более 500 млн руб. |
| Неправомерная передача, предоставление, распространение или доступ к специальным категориям персональных данных | От 10 до 15 млн руб. |
| Утечка биометрии | От 15 до 20 млн руб. |
| Повторная утечка спецкатегорий ПДн или биометрии | От 1 до 3 % выручки, но не менее 25 млн и не более 500 млн руб. |
Чек-лист по защите персональных данных для владельцев бизнеса
- Определите, какие ПДн вы обрабатываете и на каком правовом основании.
- Назначьте ответственного и закрепите его полномочия внутренними документами.
- Утвердите документы по защите персональных данных в организации.
- Оформите и регулярно актуализируйте положение о защите персональных данных.
- Опишите процессы обработки, хранения и использования персональных данных.
- Внедрите разграничение доступа к данным и организуйте учет носителей.
- Обеспечьте техническую и физическую защиту информации.
- Выстройте систему резервного копирования и восстановления данных.
- Регулярно проводите внутренний аудит соблюдения требований.
- Контролируйте выполнение установленных правил сотрудниками.
- Учитывайте требования к защите цифровых персональных данных.
- Проверяйте подрядчиков, которым передаются персональные данные.
- Документируйте все принятые меры и результаты проверок.
Помните: хорошо выстроенная система — это рабочий механизм, который снижает риски, упрощает проверки и защищает бизнес на долгие годы.