Какие меры защиты ПДн обязательны даже для небольших организаций?

Даже небольшие организации обязаны обеспечивать защиту персональных данных в соответствии с Федеральным законом № 152-ФЗ. Закон не делает исключений по масштабу бизнеса. Меры защиты могут быть разного уровня сложности в зависимости от того, какие данные обрабатываются и в каких системах, но базовый набор обязанностей обязателен для всех.

Даже у небольшой компании с 2–3 сотрудниками есть персональные данные (паспортные данные, СНИЛС, ИНН, сведения о зарплате). Поэтому организация должна предпринять следующие меры:

• Назначить ответственного за организацию обработки персональных данных.
• Принять локальные нормативные акты: политика по обработке ПДн, положение о защите ПДн, приказы, инструкции, журналы учёта.
• Обеспечить хранение бумажных носителей в закрытых шкафах/сейфах, ограничить доступ по должностным обязанностям.
• Организовать доступ к электронным системам: пароли, разграничение прав, резервное копирование.
• Использовать средства защиты информации, соответствующие уровню защищённости информационной системы (даже простые меры — антивирус, шифрование носителей, контроль доступа).
• Собирать и хранить согласия субъектов персональных данных (например, согласия сотрудников на обработку).
• Вести учёт доступа и уничтожения данных.

Таким образом, даже самые маленькие организации должны выполнять полный минимум организационных и технических мер.

Обоснование по законодательству

• Ст. 19 ФЗ-152 — оператор обязан принимать необходимые правовые, организационные и технические меры для защиты персональных данных.
• Ст. 18.1 ФЗ-152 — закрепляет обязанность назначения ответственного, принятия локальных актов и публикации политики.
• Постановление Правительства РФ № 1119 от 01.11.2012 — устанавливает уровни защищённости информационных систем персональных данных.
• Приказ ФСТЭК № 21 от 18.02.2013 — конкретизирует меры по защите ПДн в информационных системах.

Нормативные акты применяются ко всем операторам, независимо от размеров компании.

Практика проверок

Роскомнадзор нередко привлекает к ответственности именно небольшие организации. Типичные нарушения:

• личные дела сотрудников хранятся на открытых полках;
• отсутствует назначение ответственного за ПДн;
• нет политики в отношении ПДн на сайте;
• пароли к учётным записям у всех сотрудников одинаковые.

Минимальный набор для любой компании

Чтобы быть в правовом поле, небольшая организация должна обеспечить:

1. Локальные документы и политика по ПДн.
2. Назначение ответственного за организацию обработки ПДн.
3. Организацию хранения бумажных документов.
4. Контроль доступа к компьютерам и базам с ПДн.
5. Резервное копирование и антивирусную защиту.

Рекомендации и выводы

Даже микробизнес должен выстроить систему защиты персональных данных. В противном случае любая проверка Роскомнадзора может обернуться штрафами и предписаниями.

Компания ICTech предлагает услугу разработки комплекта документов по защите персональных данных по 152-ФЗ и помощь в организации всех необходимых мер для небольших организаций. Мы адаптируем требования под ваш бизнес: подготовим документы, определим минимальный набор технических мер, обучим сотрудников. Это позволит вам:

• соответствовать требованиям закона;
• избежать штрафов и предписаний;
• спокойно пройти проверку Роскомнадзора;
• сократить расходы за счёт оптимизации мер под масштабы бизнеса.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге