В 2025 году требования к работе с персональными данными продолжают ужесточаться. Нарушения могут привести к утечкам, жалобам и крупным штрафам. В зависимости от масштаба инцидента ответственность может достигать 20 млн рублей и выше, особенно если затронуты специальные категории данных.
Ниже рассмотрены основные меры защиты, которые должна реализовать любая компания, работающая с персональными данными.
Три уровня защиты персональных данных
Система безопасности строится на сочетании:
- правовых мер (документы и регламенты),
- организационных мер (процессы внутри компании),
- технических мер (средства защиты информации).
Требования закреплены в Федеральном законе №152-ФЗ и постановлениях Правительства №1119 и №687.
Санкции при утечке данных
| Масштаб утечки | Штраф |
| Утечка данных 1 000–10 000 человек | 3–5 млн ₽ |
| Утечка специальных категорий данных | до 15 млн ₽ |
| Утечка биометрических данных | до 20 млн ₽ |
| Повторная утечка | до 500 млн ₽ или 1–3% годового оборота |
1. Правовые меры
Это набор документов, которые подтверждают, что компания определила правила работы с ПДн и соблюдает закон.
Обязательно должны быть:
- Политика обработки персональных данных — в открытом доступе на сайте.
- Внутренние регламенты и инструкции — определяют порядок доступа, хранения, уничтожения данных и действия при инцидентах.
- Договоры с подрядчиками, если часть обработки данных передаётся внешним организациям.
- Отдельные согласия на обработку ПДн (с 01.09.2025 нельзя включать согласие в договор).
- Документальное описание применяемых мер защиты.
Важно: документы должны соответствовать реальным процессам компании, а не быть скачанными шаблонами.
2. Организационные меры
Это действия, которые обеспечивают соблюдение правил в повседневной работе:
- назначение ответственного за ПДн;
- разграничение доступа сотрудников к данным по ролям;
- проведение инструктажей и обучения;
- периодический внутренний контроль;
- фиксирование и анализ инцидентов;
- уведомление регулятора об утечках в течение 24 часов;
- контроль хранения и уничтожения носителей с ПДн.
3. Технические меры
Оператор обязан применять средства защиты, предотвращающие несанкционированный доступ:
- использование сертифицированных решений для защиты информации;
- персональные логины и пароли сотрудников;
- шифрование каналов передачи данных;
- журналирование действий доступа и изменения данных;
- резервное копирование и проверка возможности восстановления;
- регулярная проверка IT-инфраструктуры на уязвимости.
Практические рекомендации для бизнеса
- Обрабатывайте только те данные, которые действительно нужны.
- Используйте корпоративные каналы связи вместо личных мессенджеров.
- Ограничивайте доступ сотрудников по принципу «минимально необходимого».
- Обновляйте программное обеспечение и проверяйте права доступа.
- После инцидентов анализируйте причины и корректируйте процессы.
Как Мобиз помогает привести документы к требованиям
Часть обязательных требований напрямую связана с корректным оформлением документов.
Для многих организаций именно этот этап вызывает наибольшие сложности.
Мобиз помогает:
- подготовить комплект документов по 152-ФЗ под конкретную компанию;
- учесть специфику деятельности, состав данных и обязанности сотрудников;
- привести внутренние регламенты к единому и понятному виду;
- избежать ошибок, которые часто встречаются в типовых или устаревших шаблонах.
Добавить комментарий