Алексей Ветров
Эксперт по защите данных IC-TECH
Хранение персональных данных на компьютере сотрудника допустимо, но только при условии выполнения требований безопасности. Закон рассматривает такие компьютеры как элементы информационной системы персональных данных (ИСПДн), и значит, к ним применяются все требования ФЗ-152, постановления Правительства № 1119 и приказа ФСТЭК № 21.
Если компьютер используется для работы с ПДн, оператор обязан обеспечить: установку актуального антивируса, ограничение доступа (личные пароли, запрет использования сторонними лицами), шифрование баз данных или отдельных файлов, регулярное резервное копирование и запрет хранения данных на незащищённых носителях (например, USB без шифрования). Для ноутбуков и ПК, которые могут выноситься за пределы офиса, рекомендуется применять полнодисковое шифрование и средства удалённого управления в случае утери.
Если компьютер используется для работы с ПДн, оператор обязан обеспечить: установку актуального антивируса, ограничение доступа (личные пароли, запрет использования сторонними лицами), шифрование баз данных или отдельных файлов, регулярное резервное копирование и запрет хранения данных на незащищённых носителях (например, USB без шифрования). Для ноутбуков и ПК, которые могут выноситься за пределы офиса, рекомендуется применять полнодисковое шифрование и средства удалённого управления в случае утери.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать необходимые меры для защиты ПДн, включая использование средств защиты информации.
- Постановление Правительства РФ № 1119 — устанавливает обязательные организационные и технические меры при работе с ПДн.
- Приказ ФСТЭК России № 21 — определяет уровни защищённости ИСПДн и требования к средствам защиты.
- Приказ ФСБ России № 378 — регулирует использование криптографических средств.
Практика проверок Роскомнадзора
На проверках Роскомнадзор часто выявляет нарушения, связанные с хранением ПДн на рабочих компьютерах: отсутствие паролей, использование личных e-mail и облачных сервисов, сохранение сканов документов на рабочем столе без шифрования. Ведомство подчёркивает, что ПДн должны храниться в защищённых папках с ограниченным доступом, а доступ сотрудников к данным фиксироваться.
Что обязательно предусмотреть
- Парольная защита ОС и файлов, двухфакторная аутентификация (если возможно).
- Шифрование файлов и носителей, особенно для ноутбуков и внешних дисков.
- Ограничение прав доступа: сотрудник работает только с теми данными, которые ему необходимы.
- Регулярное обновление антивирусов и системы.
- Запрет на хранение ПДн на личных устройствах и в открытых облаках.
- Ведение учёта, где именно хранятся копии данных.
Рекомендации и выводы
Хранение ПДн на компьютере сотрудника возможно, но только при условии строгого соблюдения требований безопасности. Чтобы не нарушить закон и пройти проверку Роскомнадзора, компаниям стоит:
- Прописать порядок хранения данных на рабочих компьютерах во внутренних документах.
- Назначить ответственных лиц за контроль выполнения требований.
- Использовать сертифицированные средства защиты (шифрование, антивирусы).
- Проводить регулярный аудит компьютеров сотрудников.
Компания ICTech поможет вашей организации разработать порядок хранения ПДн на рабочих компьютерах, внедрить технические меры и подготовить весь пакет документов для соблюдения ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
