Алексей Ветров
Эксперт по защите данных IC-TECH
Оставлять поле пустым или писать «нет» нельзя. Даже у небольшой организации всегда должны быть хотя бы минимальные меры защиты персональных данных. Роскомнадзор ожидает, что оператор перечислит организационные и технические средства, даже если речь идёт о самых базовых вещах: пароли, антивирус, разграничение доступа. Формулировка «ничего не применяется» будет воспринята как нарушение и вызовет вопросы.
Обоснование по законодательству
- Ст. 19 ФЗ-152: оператор обязан принимать необходимые меры для обеспечения безопасности ПДн.
- Постановление Правительства РФ № 1119 от 01.11.2012: устанавливает требования к защите ПДн в ИСПДн.
- Ст. 13.11 КоАП РФ: непредставление сведений или представление недостоверных данных в уведомлении — штраф до 300 000 руб. для организаций.
Как правильно заполнить, если средств мало
Даже в маленькой компании можно указать минимальные меры. Например:
- «Использование лицензионного антивирусного ПО».
- «Парольная защита компьютеров и телефонов».
- «Ограничение доступа к данным (только у руководителя и бухгалтера)».
- «Резервное копирование на внешний носитель».
Эти простые меры формально удовлетворяют требованиям и показывают, что оператор не оставил данные «без защиты».
Рекомендации и выводы
Даже если средств защиты мало, их нужно описать. Лучше указать базовые организационные и технические меры, чем оставить поле пустым. Если компания развивается, перечень можно дополнить в будущем: например, добавить систему разграничения прав доступа, шифрование, VPN. Для небольших ИП и самозанятых достаточно прописать парольную защиту, антивирус и ограничение доступа.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
