Чек-лист по защите персональных данных

Как я уже и писал ранее в статье «Роль совета директоров в кибербезопасности и защите информации» неисполнение Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» сулит штрафами  в соответствии с КоАП РФ в зависимости от нарушения для юридического лица от 100 тыс. руб. до 20 млн. руб.

30 мая 2025 года начали действовать изменения согласно Федерального закона от 30.11.2024 N 420-ФЗ, который повышает действующие размеры административных штрафов за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных.

Хочу обратить особое внимание, что это требование о  включении в Реестр операторов, осуществляющих обработку персональных данных распространяется на все компании и ИП и согласно им, любое юридическое лицо и ИП обязано направлять уведомление в ведомство до начала работы с персональными сведениями граждан.  

Также 23.05.2025 вышел Федеральный закон N 104-ФЗ "О внесении изменений в статьи 4.5 и 13.12 Кодекса Российской Федерации об административных правонарушениях и статью 1 Федерального закона "О внесении изменений в Кодекс Российской Федерации об административных правонарушениях", который фактически ужесточает меры административной ответственности за нарушение требований по защите информации.

Но если защита информации в части конфиденциальной информации, информации государственных информационных систем, систем критической информационной инфраструктуры, государственной тайны и т.д., касаются лишь определенных структур и юридических лиц, то в части обеспечения требований по защите персональных данный стоит задуматься каждому владельцу бизнеса, начиная с ИП и заканчивая крупными группами компаний.

Напоминаю, к персональным данным относятся данные:

• работников и кандидатов на работу;
• контрагентов;
• членов общественных объединений и религиозных организаций;
• посетителей для оформления пропуска на территорию компании;
• и даже ФИО любого лица, полученное организацией в ходе своей деятельности.

На Портале персональных данных Роскомнадзора оператор может сформировать и отправить уведомление в территориальный орган Роскомнадзора одним из следующих способов:

• в бумажном виде;
• в электронном виде с использованием усиленной квалифицированной электронной подписи;
• в электронном виде с использованием средств аутентификации ЕСИА.

 При подаче уведомления помимо прочего требуется:

• Описание мер, предусмотренных статьями 18.1. и 19 Федерального закона «О персональных данных»

а) описание мер, предусмотренных ст.ст. 18.1 и 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
б) организационные и технические меры, применяемые для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных.

• Сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ 

Указывается перечень мер, реализуемый оператором в целях исполнения требований, установленных постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

И на этих пунктах, конечно, у человека не погруженного в тематику возникнет наибольшее количество вопросов, что в свою очередь затруднит подачу уведомления.

Учитывая это, а также по просьбам читателей моих предыдущих публикаций на РБК, мной подготовлен перечень рекомендаций по оперативному изучению состояния обеспечения требований по организации обработки персональных данных:

1. Узнаем, подано ли уведомление в Роскомнадзор и является ли компания оператором персональных данных. Проще всего, что бы не получить искаженных сведений, это сделать самому на сайте регулятора, при этом достаточно пройти по ссылке и ввести ИНН.
2. После чего, при наличии организации в Реестре появится информация о ней, в которой в том числе будет указано конкретные фамилия имя и отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных.

В случае наличия вашей компании в реестре, у указанного в реестре лица можно запросить информацию о принятых мерах по обеспечению требований защиты персональных данных, при необходимости.

Если вашей компании в Реестре нет, то необходимо выяснить назначен ли ответственный за организацию обработки персональных данных, а если такого нет, то назначить. В случае малочисленного персонала компании по аналогии с главным бухгалтером можно назначить ответственным лицо осуществляющее функции единоличного исполнительного органа. При этом, при наличии достаточного штата компании, учитывая то, что это ответственный за организацию обработки персональных данных, а не за защиту, можно вполне назначить ответственным руководителя подразделения персонала, например, директора по персоналу.

В соответствии со статьями 18.1 и 19 Федерального закона «О персональных данных» № 152-ФЗ, компания обязана обеспечить соответствие процессов обработки и защиты персональных данных установленным требованиям.

Для этого необходимо выполнить ряд организационных и технических мер. Самое идеальное будет провести аудит текущего состояния и внедрить недостающие меры с привлечением специалистов по информационной безопасности.

Вместе с тем, совместно с экспертом в области информационной безопасности  по организационным и техническим мерам (начиная от работы в регуляторе, заканчивая построением систем информационной безопасности для социальных сетей) Артемом Бердашкевичем мы подготовили расширенный чек-лист, который поможет компаниям разных масштабов и отраслевой специфики (включая банковский сектор) привести свою работу с персональными данными в соответствие с законом. 

Данный чек-лист позволяет систематизировать подход к защите персональных данных и минимизировать риски штрафов. Напомню, что он составляет до 300 тыс. руб. для юрлиц по ст. 13.11 КоАП РФ. Для компаний из регулируемых отраслей (финансы, здравоохранение, телеком) важно учитывать отраслевые требования и регулярно обновлять меры защиты.

Важно помнить, что  над списком документов, приказов и мер стоит работать индивидуально, нет одной «таблетки» для каждого «пациента».

Если в вашей компании еще нет требуемых документов, регулятор не уведомлен об обработки вашей компанией персональных данных, то самое время озадачиться этим вопросом, возможно нанять профессиональную организацию.