За обработку персональных данных отвечает Федеральный закон № 152-ФЗ. С тридцатого мая две тысячи двадцать пятого года вступили в силу важные изменения правил хранения данных.
Указания по сохранности личной информации
Согласно Федеральному закону № 152-ФЗ, операторы персональных данных – юридические лица, индивидуальные предприниматели, физические лица и самозанятые – обязаны использовать полученные сведения только по назначению. После достижения цели оператор должен незамедлительно удалить или обезличить данные.
Ответственность за организацию надежной защиты данных несут операторы путем внедрения шифрования, строгого ограничения доступа и двухфакторной аутентификации. Срок хранения данных устанавливается внутренними документами компании, например, положением или политикой. После истечения срока хранения или по запросу пользователя в течение 30 дней данные подлежат удалению.
С июля 2025 года хранение персональных данных российских граждан разрешено только на серверах в России. Раньше достаточно было разместить данные на территории РФ, обработка за границей не ограничивалась. Теперь вся информация, относящаяся к персональным данным россиян, должна находиться на отечественных серверах.
Переезд основных интернет-ресурсов компании на российские сервера подразумевает перемещение всех вспомогательных систем: сайтов, аналитики, платежей, CRM и корпоративной почты. К примеру, это может означать перенесение кодов статистических сервисов (Google Analytics, Яндекс Метрика) на новый сайт, перенастройку целей и отслеживаемых событий. Такие требования распространяются на все информационные ресурсы, которые бизнес использует для взаимодействия с пользователями.
Процесс перехода на российский сервер
Переходу присущи некие ключевые стадии.
- Проанализируем пути получения персональных данных, такие как клиентская база, мобильное приложение, кадровая документация и пр.
- Стать оператором персональных данных. направить уведомление в Роскомнадзор В соответствии с формой, утвержденной приказом ведомства №180 от 28 октября 2022 года. Это возможно осуществить дистанционно на сайте ведомства или через портал «Госуслуги».
Неточности в извещениях о работе с личной информацией
Как оформить и отправить в Роскомнадзор уведомление о начале обработки персональных данных.
- Обеспечить безопасность личной информации путем применения надежных паролей, активировать двухфакторную авторизацию, внедрить актуальные антивирусные программы и межсетевые барьеры, разрешить доступ к данным только уполномоченным работникам.
- Обновить документацию о защите персональных данных: составить или переработать открытую политику конфиденциальности для размещения на официальном сайте компании и в соглашениях о сотрудничестве.
Требования к документам в компаниях по закону об обработке личных данных.
Хранение данных на бумажных носителях
Документы с личной информацией необходимо хранить в сейфах, металлических шкафах или защищённых помещениях. Доступ к этим местам имеют только сотрудники, перечень которых утверждён внутренним документом компании.
В документах кадрового учёта, таких как личные дела работников, копии паспортов, СНИЛС и других идентификационных бумаг допустимы только в случаях, когда это требуется для служебных целей.
Документы по воинскому учёту следует хранить только в металлических шкафах, как советуют в Минобороны с 11 июля 2017 года. Военно-учетный стол необходимо поставить в отдельное помещение.
Хранение данных в электронных системах
Правила хранения электронных документов с персональными данными утверждены постановлением Правительства РФ от 1 ноября 2012 года № 1119. Несанкционированный доступ к файлам недопустим. Работники, имеющие доступ к таким данным, получают индивидуальные логины и пароли для входа в информационную систему.
В дополнение к привычным способам – бумажным и электронным – хранение персональных данных может осуществляться с помощью облачных сервисов, гарантирующих надлежащий уровень безопасности, согласно Федеральному закону № 152-ФЗ и Постановлению Правительства РФ № 1119.
Требования к облачному хранилищу включают:
- Безопасность информации посредством шифрования.
- Для защиты от несанкционированного входа используется двухэтапная верификация.
- Автоматическое резервное копирование данных.
- Внедрение в действующие корпоративные информационные системы.
Необходимо учитывать местные требования. Например, при наличии территориальной привязки хранения данных, проверьте наличие у поставщика необходимых дата-центров в указанном регионе.
Выбор поставщика облачных хранилищ необходимо сделать, учитывая требования Приказа ФСТЭК России № 21 от 18 февраля 2013 года о сертификации средств защиты информации.
Для оценки уровня безопасности применяется специальный инструмент — калькулятор ФСТЭК.
Автор. Е. Грицак