Профессиональное сообщество
лидеров цифровой трансформации
Редакция Global CIO

Персональные данные: какие документы защитят компанию от миллионных штрафов

Многие слышали об административных штрафах – они предусмотрены законодательством в различных сферах. Однако особую актуальность в области информационной безопасности они приобрели в связи с регулированием обработки персональных данных.

Александр Хонин, директор Центра консалтинга Angara Security

С 30 мая 2025 года для всех организаций, индивидуальных предпринимателей и самозанятых граждан, являющихся операторами персональных данных, значительно увеличивается штраф за отсутствие поданного уведомления об обработке ПДн в Роскомнадзор.

Большинство компаний являются операторами ПДн, однако далеко не все осознают это. Согласно ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», уведомлять регулятора о начале обработки ПДн обязаны организации, собирающие как минимум следующие данные:

  • сотрудников и кандидатов на работу;
  • контрагентов;
  • членов общественных объединений и религиозных организаций;
  • посетителей для однократного пропуска на территорию компании;
  • фамилию, имя и отчество любого гражданина, полученные организацией. <

Для корректной организации работы с персональными данными оператор ПДн должен выстроить «правильные» процессы обработки и защиты ПДн. И одной из задач здесь является подготовка пакета документов, регламентирующих вышеуказанные процессы. Конечно, эту работу можно отнести к «бумажной безопасности», однако без этих документов компания не сможет привести обработку ПДн в порядок. И как следствие, рискует получить штрафы за нарушения порядка обработки ПДн в случае проверок регуляторов или инцидентов, повлекших утечку данных.

Важные документы

Обязательными документами, которыми должны руководствоваться операторы ПДн, являются:

  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Трудовой кодекс РФ;
  • Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» (в действующей редакции);
  • Постановление Правительства РФ от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных"» (в действующей редакции);
  • Приказы Роскомнадзора в области обработки ПДн;
  • Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
  • Приказ ФСБ России от 10 июля 2014 г. № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах с использованием средств криптографической защиты информации».

Вам также может быть интересен материал Компас CIO:

Как оценить риски и построить модель угроз информационной безопасности?

Практические методы оценки рисков ИБ с использованием методики ФСТЭК и матрицы MITRE. Узнайте, как формировать модели угроз для защиты персональных данных, определять объекты воздействия и строить эффективную систему противодействия внутренним и внешним нарушителям.

Эти документы определяют основные правила работы с ПДн, а также требования безопасности ПДн. Соответственно, каждой организации необходимо разработать в том числе минимальный достаточный комплект документации, который покрывает требования законодательства РФ, а именно:

  • Документы, регламентирующие процессы обработки ПДн;
  • Документы, устанавливающие требования по безопасности ПДн.

Таким образом, минимальный достаточный комплект документов, может быть следующим:

  • Политика обработки ПДн
  • Положение об обработке ПДн
  • Положение об обеспечении безопасности ПДн в ИСПДн;
  • Перечень обрабатываемых ПДн;
  • Инструкция о порядке обращения с носителями ПДн;
  • Типовые формы документов, содержащих ПДн;
  • Документы, характер информации в которых предполагает обработку ПДн;
  • Соглашение о конфиденциальности ПДн со сторонними организациями;
  • Инструкция по организации парольной защиты в ИС;
  • Инструкция по организации антивирусной защиты;
  • Порядок оценки вреда субъектам ПДн;
  • Порядок уничтожения ПДн;
  • Порядок реагирования на инциденты ИБ;
  • Политика cookies;
  • Порядок работы с обращениями;
  • Акт о выполнении оценки вреда для субъектов ПДн;
  • Приказ о введении в действие документов по организации обработки ПДн;
  • Приказ о вводе СЗПДн в эксплуатацию;
  • Приказ об организации работ по обработке ПДн;
  • Уведомление РКН о трансграничной передаче ПДн;
  • Уведомление РКН об обработке ПДн;
  • Модель угроз безопасности ПДн;
  • Акт определения уровня защищенности ПДн;
  • Техническое задание на создание системы защиты ПДн.

Приведенный выше перечень документов – это минимум, который должен быть у оператора ПДн. Список может быть расширен в зависимости от отрасли, специфики обработки данных и других факторов. При этом наличие полного пакета документов, которые могут казаться лишь «бумажной формальностью», способно существенно снизить размер штрафов – как уже упоминалось в начале статьи.

726

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

фильтр
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.