Обоснование по законодательству
- Ст. 19 Федерального закона № 152-ФЗ: оператор обязан принимать необходимые и достаточные меры для обеспечения безопасности ПДн, включая:
- назначение ответственных за обработку;
- разработку локальных актов (политик, положений, инструкций);
- применение организационных и технических мер защиты;
- контроль и аудит обработки.
- Постановление Правительства РФ № 1119 от 01.11.2012: определяет уровни защищённости ПДн и комплекс мер безопасности.
- Приказ ФСТЭК № 21 от 18.02.2013: устанавливает требования к защите ПДн при их обработке в ИСПДн.
Пример формулировки для уведомления
«Применяются организационные и технические меры защиты персональных данных, предусмотренные Федеральным законом № 152-ФЗ, включая ограничение доступа к персональным данным, использование антивирусного ПО, резервное копирование информации, назначение ответственного за обработку ПДн, ведение учёта и контроль действий сотрудников, а также разработка локальных актов по защите персональных данных.»
Дополнительные варианты для разных случаев
- Для небольших компаний без ИСПДн:
«Назначен ответственный за обработку персональных данных, разработаны локальные акты, ограничен доступ сотрудников к ПДн, применяется парольная защита и антивирусное ПО.»
- Для компаний с ИСПДн (CRM, базы данных, корпоративная почта):
«Организация реализует комплекс мер защиты: разграничение прав доступа, использование сертифицированных средств защиты информации, антивирусного ПО и межсетевых экранов, резервное копирование, назначение ответственного за защиту ПДн, регулярное обучение сотрудников.»
Рекомендации и выводы
При заполнении поля лучше указывать конкретные меры, реально применяемые в организации. Недопустимо копировать шаблонные формулировки без их фактического исполнения — при проверке Роскомнадзор запросит доказательства (локальные акты, приказы, журналы). Универсальный подход: прописать ключевые организационные и технические меры, соотнося их с реальной практикой.
