Алексей Ветров
Эксперт по защите данных IC-TECH
В этом разделе указывают, что организация или ИП выполняет организационные и технические меры, предусмотренные законом «О персональных данных».
Формулировка должна показывать, что:
• назначен ответственный за обработку ПДн;
• локализована база данных в России;
• разработаны локальные акты (политика, положение, согласия, приказы);
• применяются меры защиты в информационных системах (пароли, антивирус, разграничение доступа);
• проводится обучение сотрудников, аудит и контроль соблюдения требований.
Формулировка должна показывать, что:
• назначен ответственный за обработку ПДн;
• локализована база данных в России;
• разработаны локальные акты (политика, положение, согласия, приказы);
• применяются меры защиты в информационных системах (пароли, антивирус, разграничение доступа);
• проводится обучение сотрудников, аудит и контроль соблюдения требований.
Обоснование по законодательству
- ФЗ-152, статья 18.1:
- назначение ответственного за организацию обработки ПДн;
- принятие локальных актов;
- ознакомление сотрудников с нормами законодательства;
- применение мер контроля и обеспечения безопасности.
- ФЗ-152, статья 19:
- обязанность принимать необходимые правовые, организационные и технические меры для защиты ПДн;
- обеспечение безопасности в соответствии с Постановлением Правительства № 1119 и приказами ФСТЭК/ФСБ.
Примеры формулировок для уведомления
- «Обеспечение выполнения требований ст. 18.1 и 19 ФЗ-152: назначен ответственный за организацию обработки ПДн; приняты локальные акты, регулирующие порядок обработки и защиты ПДн; реализуются организационные и технические меры, обеспечивающие безопасность ПДн в соответствии с Постановлением Правительства РФ № 1119, приказами ФСТЭК и ФСБ России; осуществляется ограничение доступа, антивирусная защита, контроль и аудит обработки ПДн».
- «Меры включают: локализацию баз данных на территории РФ, назначение ответственного, принятие политики в отношении обработки ПДн, внедрение режима разграничения доступа к информационным системам, регулярное резервное копирование, использование средств защиты информации, обучение работников и контроль соблюдения требований законодательства».
Что писать не стоит
- Одну фразу «Меры обеспечены» — это слишком общо.
- Конкретные технические детали («установлен Dr.Web версии 12.0, пароль 8 символов») — в уведомлении это не требуется.
- Отсутствие упоминания о правовых и организационных мерах — Роскомнадзор проверяет именно комплекс.
Рекомендации и выводы
- Используйте формулировку, которая отражает, что вы охватываете все три уровня мер: правовые, организационные, технические.
- Обязательно упомяните локализацию баз данных в РФ и соответствие Постановлению № 1119.
- Внутри компании должны быть подтверждающие документы (политика ПДн, приказы, регламент по ИСПДн).
- Формулировки можно адаптировать под масштаб деятельности: у ИП достаточно базовых мер (назначение ответственного, парольная защита, антивирус, политика ПДн).
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
