“Говорят, что бумага всё стерпит. В случае с защитой персональных данных это правило работает наоборот: без правильно оформленной бумаги любые, даже самые продвинутые технические меры защиты не имеют юридической силы. Соблюдение требований — это не набор разрозненных действий, а единая система, где каждый документ, каждый технический параметр и каждый срок связаны между собой. Провал в одном элементе может сделать бессмысленными все остальные усилия.”
Основа для любой обработки: четыре обязательных условия
Наличие этих условий проверяется при любой проверке. Отсутствие любого из них — прямое нарушение закона.
1. Политика обработки персональных данных
Это не внутренний документ для галочки, а публичное заявление компании. Она должна быть размещена на сайте в открытом доступе. Содержание определяет рамки всей работы с данными: конкретные цели обработки (не расплывчатые «для улучшения сервиса»), перечень собираемых данных, их категории, сроки хранения, порядок реализации прав субъектов и информация об обработчиках. Если обработка выходит за рамки политики — это нарушение.
2. Надлежащее согласие субъекта
Согласие — это не просто галочка в форме. Оно должно быть конкретным, информированным, сознательным и документально подтверждённым. Цели обработки в согласии должны полностью соответствовать целям, заявленным в политике. Общие формулировки вроде «на любые цели компании» делают согласие недействительным. Если обработка основана не на согласии (например, на исполнении договора), это должно быть чётко определено законом.
3. Реализованные меры безопасности
Вы не можете просто установить антивирус и считать задачу выполненной. Меры должны быть адекватны угрозам, определённым в вашей модели угроз безопасности информации. Их выбор и применение требуют документального обоснования. Технические средства (шифрование, средства защиты от несанкционированного доступа) должны быть сертифицированы или соответствовать требованиям регуляторов.
4. Уведомление уполномоченного органа (Роскомнадзора)
Это обязательное действие перед началом обработки, за редкими исключениями, прямо указанными в законе (например, обработка данных сотрудников в рамках трудовых отношений). Подача уведомления — это не формальность, а регистрация оператора. Все изменения в целях обработки или составе данных также требуют внесения изменений в уведомление.
Что входит в организационно-документационный блок
Документы создают правовой фундамент. Их отсутствие или формальный подход — первое, на что смотрят аудиторы и проверяющие. Этот блок — «скелет» системы защиты.
Обязательный комплект документов
- Политика обработки ПДн — основной документ, публикуемый на сайте.
- Приказ о назначении ответственного за организацию обработки ПДн. Без этого приказа неясно, кто несёт ответственность внутри компании.
- Реестр (перечень) категорий ПДн. Чёткий список того, какие именно данные и в каких системах обрабатываются.
- Модель угроз безопасности информации (АУПД). Документ, обосновывающий выбор мер защиты. Без него технические меры юридически не подкреплены.
- Инструкции для сотрудников, работающих с ПДн. Они должны знать порядок действий, права и обязанности.
- Журнал учёта обращений субъектов ПДн. Фиксирует все запросы на доступ, уточнение, блокировку или удаление данных и сроки их исполнения.
Рекомендуемые документы для устойчивой системы
- Положение о защите ПДн — внутренний регламент, детализирующий политику.
- Регламент реагирования на инциденты, связанные с утечкой ПДн. Позволяет действовать быстро и по инструкции, а не в панике.
- Соглашения о конфиденциальности (NDA) с сотрудниками и контрагентами.
- Программа внутреннего контроля и аудита системы защиты ПДн.
- Договоры с обработчиками (артикул 6 ФЗ-152). Если данные передаются третьей стороне (например, в облако или на аутсорс), такой договор обязателен.
Чек-лист готовности к началу обработки
- Политика обработки размещена на сайте в публичном доступе.
- Ответственный сотрудник назначен официальным приказом.
- Согласие субъектов получено в надлежащей форме (если требуется по закону).
- Уведомление направлено в Роскомнадзор (если оператор не освобождён от этой обязанности).
- Организационные и технические меры защиты внедрены и соответствуют классу защищённости.
- Сотрудники, работающие с ПДн, ознакомлены с инструкциями под подпись.
Технические и организационные меры (ТОМ): от требований к реализации
Выбор конкретных мер защиты зависит от присвоенного класса защищённости ИСПДн. Для большинства коммерческих организаций, не работающих со специальными категориями данных, актуален базовый (4-й) класс. Меры должны быть задокументированы в акте внедрения и соответствовать модели угроз.
| Направление защиты | Конкретные требования и действия | Нормативная основа |
|---|---|---|
| Идентификация и аутентификация | Уникальные учётные записи для каждого пользователя. Для удалённого доступа к системам с ПДн обязательна многофакторная аутентификация (например, пароль + одноразовый код). Автоматическая блокировка учётной записи после серии неудачных попыток входа. | Требования ФСТЭК (Приказ № 21) |
| Управление доступом | Строгое разграничение прав по ролям (принцип минимальных привилегий). Регулярный (не реже раза в год) пересмотр и актуализация списков доступа. Немедленное отзыв прав при увольнении или смене обязанностей сотрудника. | Федеральный закон № 152-ФЗ, статья 19 |
| Регистрация и учёт событий | Ведение детализированных журналов безопасности: вход/выход в систему, попытки доступа к защищаемым данным, изменения конфигураций. Срок хранения журналов — не менее 3 лет. Обеспечение защиты журналов от редактирования и удаления. | Требования ФСТЭК (Приказ № 17) |
| Защита информации при передаче | Обязательное использование криптографических протоколов (TLS не ниже версии 1.2) для передачи ПДн по открытым или корпоративным сетям. Защита от атак «человек посередине» и анализа трафика. | Федеральный закон № 152-ФЗ, статья 16 |
| Обеспечение целостности | Регулярное резервное копирование данных с обязательной периодической проверкой возможности восстановления. Использование контрольных сумм или электронных подписей для критичных данных и конфигурационных файлов. | Требования ФСТЭК (Приказ № 21) |
Пример из практики: медицинский центр
Организация обрабатывает специальные категории персональных данных (состояние здоровья, диагнозы) и обязана применять повышенные меры защиты (3-й класс).
Что было сделано правильно:
- Сегментация сети: данные пациентов изолированы от офисного сегмента.
- Внедрение средств криптографической защиты информации (СКЗИ) для хранения особо чувствительных данных.
- Обязательная двухфакторная аутентификация для доступа врачей к медицинской информационной системе.
- Заключены надлежащие договоры с внешними лабораториями, выступающими в роли обработчиков.
Типичные упущения, которые привели к нарушениям:
- Не обновлена политика обработки ПДн и договоры после смены одной из лабораторий-обработчиков.
- Новый системный администратор не прошёл обучение по работе с ПДн и не был ознакомлен с внутренними регламентами.
- Не настроено автоматическое архивирование и защита журналов событий безопасности, часть данных была утеряна.
Результат проверки: Регулятор выявил пять нарушений, три из которых были квалифицированы как грубые (часть 3, 6, 7 статьи 13.11 КоАП). Выдано предписание об устранении в 30-дневный срок с угрозой крупного штрафа при неисполнении.
Сроки: когда и что нужно сделать
Пропуск сроков — само по себе административное нарушение.
| Действие | Срок исполнения |
|---|---|
| Публикация (обновление) Политики обработки ПДн на сайте | День, предшествующий началу обработки (или изменению условий). |
| Подача уведомления в Роскомнадзор о намерении осуществлять обработку | Не позднее чем за 30 рабочих дней до начала обработки. |
| Ответ на запрос субъекта ПДн (о предоставлении данных, об их уточнении, блокировке или уничтожении) | 30 календарных дней с момента получения запроса. В исключительных случаях срок может быть продлён ещё на 30 дней с обязательным уведомлением субъекта. |
| Внесение изменений в уведомление в Роскомнадзор при изменении целей обработки или состава данных | В течение 10 рабочих дней с даты такого изменения. |
Итог: системность вместо разрозненных действий
Обязанности компании при работе с персональными данными — это не список отдельных задач, а единый контур. Документация легализует технические меры, технические меры реализуют принципы, закреплённые в документации, а соблюдение процессных сроков обеспечивает непрерывность этой системы. Сбой в любом звене ослабляет всю защиту и становится точкой пристального внимания проверяющих. Формальный подход к одному элементу (например, к шаблонному согласию) может нивелировать все инвестиции в дорогостоящие средства защиты. Цель — не просто избежать штрафов, а выстроить устойчивую и проверяемую практику, которая действительно снижает риски для прав субъектов данных.