Алексей Ветров
Эксперт по защите данных IC-TECH
Удалённая работа повышает риски утечки персональных данных, поэтому компании обязаны организовать хранение ПДн так, чтобы защита соответствовала требованиям ФЗ-152. Основное правило — сотрудники не должны хранить ПДн на личных устройствах или в незащищённых облаках.
Безопасное хранение строится по нескольким направлениям. Во-первых, необходимо использовать защищённые корпоративные сервисы (VPN, корпоративные порталы, сертифицированные облачные решения). Во-вторых, данные должны храниться централизованно на серверах или в облаке компании, а не на личных компьютерах и телефонах сотрудников. Доступ предоставляется только по индивидуальным учетным записям с двухфакторной аутентификацией.
Безопасное хранение строится по нескольким направлениям. Во-первых, необходимо использовать защищённые корпоративные сервисы (VPN, корпоративные порталы, сертифицированные облачные решения). Во-вторых, данные должны храниться централизованно на серверах или в облаке компании, а не на личных компьютерах и телефонах сотрудников. Доступ предоставляется только по индивидуальным учетным записям с двухфакторной аутентификацией.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать необходимые организационные и технические меры для защиты ПДн.
- Постановление Правительства № 1119 — требует применять меры защиты при удалённой обработке.
- Приказ ФСТЭК № 21 — устанавливает требования к ИСПДн, включая использование сертифицированных средств защиты.
- Приказ ФСБ № 378 — регулирует применение криптографической защиты (VPN, шифрование каналов).
Практика и позиция Роскомнадзора
РКН отмечает, что при переходе на удалёнку многие компании начали использовать личные устройства сотрудников без шифрования и контроля, что привело к утечкам. Проверки показывают, что отсутствие регламента работы на удалёнке и хранения ПДн квалифицируется как несоблюдение требований безопасности. Роскомнадзор рекомендует закреплять правила удалённого доступа в локальных актах и обязательно включать меры шифрования и разграничения доступа.
Что важно учитывать компаниям
- Нельзя хранить ПДн на личных компьютерах и флешках сотрудников без защиты.
- Доступ должен быть только к необходимым для работы данным (принцип минимизации).
- Использовать VPN с шифрованием и защищённые каналы связи.
- Настроить контроль копирования и пересылки файлов (DLP-системы).
- Вести учёт сотрудников, работающих с ПДн удалённо, и фиксировать их доступ.
Рекомендации и выводы
Чтобы хранение ПДн при удалёнке соответствовало закону:
- Организуйте централизованное хранение на сервере или защищённом облаке.
- Обеспечьте шифрование каналов связи и устройств сотрудников.
- Пропишите в регламентах порядок хранения и запрет использования личных носителей.
- Ведите журналы доступа и контролируйте работу сотрудников с данными.
Компания ICTech поможет вашей организации разработать регламент для удалённой работы, чтобы соответствовать требованиям ФЗ-152 и исключить риск штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
