Хранение персональных данных на личных компьютерах сотрудников крайне рискованно и, как правило, не соответствует требованиям ФЗ-152. Закон прямо не запрещает это, но возлагает на оператора обязанность обеспечить безопасность ПДн. А личные устройства почти всегда не отвечают требованиям защиты информации, установленных Постановлением Правительства РФ № 1119 и приказами ФСТЭК.
Когда хранение ПДн на личных ПК может считаться нарушением:
- если устройства не защищены средствами антивирусной защиты и шифрования;
- если доступ к компьютеру имеют посторонние лица (члены семьи, знакомые);
- если данные не удаляются при увольнении сотрудника или утрате устройства;
- если отсутствует договорённость и контроль со стороны работодателя.
Когда это возможно только в исключительных случаях:
- при официально оформленном дистанционном формате работы;
- при использовании специальных защищённых каналов доступа (VPN, шифрование диска, двухфакторная аутентификация);
- если локальными актами закреплён порядок хранения и защиты ПДн на личных устройствах.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан обеспечивать безопасность ПДн при их обработке.
- Постановление Правительства РФ № 1119 — устанавливает требования к защите ИСПДн, включая хранение и обработку данных на рабочих местах.
- Приказ ФСТЭК России № 21 от 18.02.2013 — определяет меры защиты информации при обработке ПДн в информационных системах.
- Ст. 88 ТК РФ — работодатель обязан обеспечивать конфиденциальность персональных данных работников.
Практика и позиция Роскомнадзора
Роскомнадзор в проверках указывает, что компании несут ответственность за утечку ПДн, даже если данные были скомпрометированы из-за незащищённого личного компьютера сотрудника.
Были случаи, когда бухгалтер вёл учёт ПДн на личном ноутбуке без защиты, а после его утери произошла утечка данных. Роскомнадзор признал это нарушением оператора, а не только сотрудника.
Важный момент для работодателей
Личный компьютер сотрудника не считается корпоративной информационной системой. Если компания разрешает хранить на нём ПДн, она обязана документально закрепить порядок и обеспечить техническую защиту. На практике это почти всегда сложно и дорого, поэтому организации переходят на корпоративные ноутбуки или удалённый доступ через защищённые каналы.
Рекомендации и выводы
Хранение ПДн на личных компьютерах сотрудников — один из самых рискованных вариантов. Чтобы минимизировать нарушения:
- По возможности запретите хранение ПДн на личных ПК.
- Выдавайте сотрудникам корпоративные устройства с предустановленными средствами защиты.
- Если использование личных устройств неизбежно (удалёнка), внедрите VPN, шифрование, двухфакторную аутентификацию.
- Закрепите порядок работы с ПДн в локальных актах и включите в комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации выстроить безопасные правила работы с ПДн, включая использование личных устройств, и подготовит пакет документов по ФЗ-152. Это позволит избежать претензий Роскомнадзора и утечек данных.
