Алексей Ветров
Эксперт по защите данных IC-TECH
В этом разделе уведомления указывается, какие меры оператор (компания, ИП или самозанятый) принимает для защиты персональных данных.
Не нужно описывать все внутренние инструкции или технические подробности — достаточно обозначить, что вы применяете организационные и технические меры, установленные законом.
Обычно пишут формулировки о соблюдении требований законодательства РФ, ФСТЭК и ФСБ, а также указывают, что уровень защищённости соответствует характеру обрабатываемых данных и используемым информационным системам.
Не нужно описывать все внутренние инструкции или технические подробности — достаточно обозначить, что вы применяете организационные и технические меры, установленные законом.
Обычно пишут формулировки о соблюдении требований законодательства РФ, ФСТЭК и ФСБ, а также указывают, что уровень защищённости соответствует характеру обрабатываемых данных и используемым информационным системам.
Обоснование по законодательству
- ФЗ-152 «О персональных данных», статья 19, часть 1: оператор обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн.
- Постановление Правительства РФ № 1119 от 01.11.2012: устанавливает уровни защищённости информационных систем ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013: определяет требования к защите ПДн в ИСПДн.
Таким образом, в уведомлении нужно показать, что оператор выполняет эти требования.
Примеры формулировок для уведомления
В поле «Сведения об обеспечении безопасности ПДн» можно указать:
- «Обеспечение безопасности персональных данных осуществляется в соответствии с требованиями ФЗ-152, Постановления Правительства РФ № 1119, приказов ФСТЭК и ФСБ России. Применяются организационные и технические меры, соответствующие установленным уровням защищённости».
- «Для обеспечения безопасности ПДн реализуются меры: ограничение доступа к информации, назначение ответственного за обработку ПДн, использование антивирусного ПО, резервное копирование данных, контроль доступа к информационным системам».
- «Обеспечение безопасности ПДн осуществляется в соответствии с уровнем защищённости информационной системы, определённым Постановлением Правительства № 1119. Применяются организационные и технические меры, предотвращающие несанкционированный доступ и обеспечивающие сохранность данных».
Что писать нельзя
- «Безопасность не обеспечивается» или пустое поле — это прямое нарушение.
- Излишне технические детали («установлен Kaspersky 12.5», «пароли меняются раз в месяц») — в уведомлении это не требуется.
- Абстрактные фразы без ссылок на закон: «Защищаем как можем».
Рекомендации и выводы
- Используйте формулировки, основанные на ФЗ-152 и подзаконных актах.
- Лучше указывать и организационные, и технические меры — Роскомнадзор проверяет именно наличие комплекса.
- Внутри компании должен быть пакет документов (политика ПДн, положение об обеспечении безопасности, приказы), подтверждающий эти меры.
- Для ИП и небольших организаций достаточно базовых мер (ответственный, парольная защита, антивирус, ограничение доступа), но они должны быть отражены в документах.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
