Какие меры по ст. 18.1 и 19 обязательны для микробизнеса?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Даже для микробизнеса (ИП без сотрудников или небольшая компания до 15 человек) требования ст. 18.1 и ст. 19 ФЗ-152 «О персональных данных» обязательны. Разница только в масштабе: если у крупной организации меры могут включать сложные IT-системы защиты, то микробизнес может ограничиться базовым набором юридических и организационных документов + минимальными техническими средствами.

Обоснование по законодательству

• ФЗ-152, ст. 18.1, ч. 1: оператор обязан принимать правовые, организационные и технические меры для выполнения требований закона. В частности:
  • назначить ответственное лицо за организацию обработки ПДн;
  • издать локальные акты, определяющие политику и порядок обработки ПДн;
  • применить меры по предотвращению нарушений.
• ФЗ-152, ст. 19: оператор обязан принимать меры по обеспечению безопасности ПДн, включая:
  • определение угроз безопасности;
  • применение организационных и технических мер;
  • учёт носителей;
  • выявление инцидентов;
  • восстановление данных при сбоях.

Штрафы по КоАП РФ, ст. 13.11 действуют и для малого бизнеса, и для крупных организаций одинаково.

Что обязательно сделать микробизнесу

Организационные меры:

• Назначить приказом ответственного за организацию обработки ПДн (чаще всего это сам ИП или директор).
• Принять и опубликовать на сайте политику обработки ПДн.
• Подготовить пакет документов: положение о защите ПДн, согласия пользователей, регламент обработки.
• Обеспечить ограниченный доступ к данным (например, паролями, если работает несколько человек).

Технические меры:

• Подключить SSL-сертификат (https).
• Использовать антивирус и регулярно обновлять систему.
• Ограничить доступ к базам данных (логины и пароли).
• Настроить резервное копирование.

Минимум для ИП без сотрудников:

• зарегистрироваться в Роскомнадзоре как оператор ПДн;
• назначить себя ответственным;
• разработать политику и согласие для сайта;
• защитить сайт базовыми средствами (https, антиспам, защита форм).

Пример

ИП-репетитор собирает заявки через сайт: имя, телефон, e-mail.

• Он обязан подать уведомление в Роскомнадзор,
• разместить политику ПДн,
• хранить данные в защищённом виде (например, в закрытой таблице с паролем),
• назначить себя ответственным.

Этого будет достаточно для соответствия минимальным требованиям.

Рекомендации и выводы

• Для микробизнеса обязательны те же статьи 18.1 и 19, но применяются они в «облегчённой» форме.
• Главное: назначить ответственного, оформить документы и обеспечить базовую IT-защиту.
• Даже у ИП без сотрудников должны быть: политика, согласие пользователей, и защищённый сайт.
• Выполнение этих требований позволит избежать штрафов и пройти проверку Роскомнадзора.

Нет времени разбираться в нюансах?

Заполним уведомление за Вас!

Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.

Оставить заявку