Основным законом, устанавливающим правила обработки персональных данных, является Федеральный закон № 152-ФЗ. С 30 мая 2025 года действуют существенные поправки, относящиеся к хранению информации.
Основные принципы защиты личных сведений.
Федеральный закон № 152-ФЗ обязывает операторов персональных данных — юридические лица, индивидуальных предпринимателей, физических лиц и самозанятых — применять полученные сведения только по назначению. После достижения цели оператор обязан немедленно удалить или обезличить данные.
Ответственность за организацию надежной защиты данных несут операторы посредством внедрения шифрования, строгого ограничения доступа и двухфакторной аутентификации. Срок хранения определяется внутренними документами компании, такими как положение или политика. В конце срока хранения или по запросу пользователя в течение 30 дней данные подлежат удалению.
С июля 2025 года хранение персональных данных российских граждан разрешается только на серверах в России. Раньше допускалась локализация данных на территории РФ без ограничений на их обработку за границей. Теперь весь массив информации, связанный с данными россиян, должен находиться на отечественных серверах.
Это означает, что вместе с переносом основного сайта компании на российские сервера необходимо переместить туда же все вспомогательные элементы инфраструктуры: сайты, аналитические инструменты, платежные шлюзы, CRM-системы и корпоративную электронную почту. Например, это может означать перевод кодов статистики аналитических сервисов (Google Analytics, Яндекс Метрика и другие) на новый сайт, а также перенастройку целей и отслеживаемых событий. Требования распространяются на любые информационные ресурсы, которые бизнес использует для взаимодействия с пользователями.
Процесс перехода на российский сервер
Переходу следует уделить особое внимание, разделив его на значимые этапы.
- Необходимо определить все пути получения персональных данных, такие как база клиентов, мобильное приложение, трудовые документы и т. д.
- Стать оператором персональных данных. направить уведомление в Роскомнадзор Форма утверждена приказом ведомства №180 от 28 октября 2022 года. Возможно оформление онлайн на сайте ведомства или через портал «Госуслуги».
Неточности в извещениях о работе с личной информацией.
Как подать уведомление в Роскомнадзор об обработке персональных данных.
- Усовершенствовать защиту личной информации: применить надежные пароли, активировать двухфакторную верификацию, применять актуальные антивирусы и брандмауэры, разрешить доступ к данным лишь авторизованным работникам.
- Обновление документов по обеспечению защиты персональных данных: создание или обновление публичной политики конфиденциальности для размещения на официальном сайте компании и в договорах сотрудничества.
Необходимые для компании документы согласно закону о персональных данных.
Хранение данных на бумажных носителях
Документы с личной информацией необходимо хранить в сейфах, металлических шкафах или отдельных помещениях. Доступ к ним разрешен только сотрудникам, перечень которых утвержден приказом или положением о защите персональных данных.
В документах кадрового делопроизводства, таких как личные дела работников, не нужно хранить копии паспорта, СНИЛС и других идентификационных документов, кроме случаев, когда это требуется из-за служебных задач.
Документы по воинскому учёту следует хранить только в металлических шкафах, как указано в рекомендации Министерства обороны от 11 июля 2017 года. Военно-учетный стол нужно устанавливать в отдельном помещении.
Хранение данных в электронных системах
Правила хранения электронных документов с персональными данными утверждены постановлением Правительства РФ от 1 ноября 2012 года № 1119. Не допускается несанкционированный доступ к файлам. Работники, имеющие допуск к таким данным, получают индивидуальные логины и пароли для входа в информационную систему.
Федеральный закон № 152-ФЗ и Постановление Правительства РФ № 1119 разрешают использовать облачные хранилища для хранения персональных данных помимо традиционных способов — бумажного или электронного. Такое решение должно обеспечивать надлежащий уровень защиты информации.
Требования к облачному хранилищу включают:
- Безопасность информации посредством криптографии.
- Аутентификация с двумя факторами для защиты от нежелательного входа.
- Автоматическое резервное копирование данных.
- Внедрение в существующие информационные системы предприятия.
Необходимо учитывать местные требования. К примеру, при обязательной привязке хранения данных к территории проверьте наличие у поставщика нужных дата-центров в данном регионе.
При выборе поставщика облачных хранилищ необходимо учитывать требования Приказа ФСТЭК России № 21 от 18 февраля 2013 года, предусматривающий сертификацию средств защиты информации.
Специальным инструментом, калькулятором ФСТЭК, можно определить уровень защищённости.
Автор. Е. Грицак