Требования к защите персональных данных регулируются Федеральным законом № 152‑ФЗ «О персональных данных» и рядом других нормативных актов. Эти требования направлены на обеспечение конфиденциальности, целостности и доступности персональных данных, а также на предотвращение их несанкционированного доступа, использования, распространения или уничтожения.
Законность и справедливость. Обработка данных должна осуществляться на законной основе и без нарушения прав субъектов данных.
Ограниченность целей. Данные обрабатываются только для конкретных, заранее определённых и законных целей. Запрещена обработка, несовместимая с целями сбора.
Недопущение объединения баз данных, обработка которых осуществляется в несовместимых целях.
Соответствие объёма данных целям обработки. Собираются только те данные, которые необходимы для достижения целей обработки (принцип минимизации).
Точность и актуальность данных. Оператор обязан принимать меры по удалению или уточнению неполных или неточных данных.
Ограниченность срока хранения. Данные хранятся не дольше, чем это требуется для целей обработки, если иной срок не установлен законом или договором. По достижении целей обработки данные подлежат уничтожению или обезличиванию.
Оператор — лицо или организация, которые организуют обработку персональных данных и определяют её цели. Среди его обязанностей:
Регистрация в реестре операторов Роскомнадзора. Любое лицо или организация, обрабатывающие персональные данные, обязаны уведомить Роскомнадзор и пройти регистрацию.
Локализация данных. Персональные данные граждан РФ должны храниться на серверах, расположенных на территории России. Трансграничная передача данных возможна только при соблюдении определённых условий (например, получение разрешения Роскомнадзора, если страна‑получатель не включена в перечень государств с адекватной защитой прав субъектов данных).
Получение согласия субъекта данных. Согласие оформляется как отдельный документ (с 1 сентября 2025 года). Для специальных категорий данных (медицинские сведения, биометрия, данные о мировоззрении и т. п.) и биометрических данных требуется отдельное согласие и повышенные меры защиты.
Обеспечение безопасности данных. Необходимо внедрить организационные и технические меры защиты, соответствующие уровню угрозы и категории данных.
Реагирование на запросы субъектов данных. Например, предоставление информации о обрабатываемых данных или их уточнение, блокирование или удаление по требованию субъекта.
Информирование о утечках. При выявлении утечки данных оператор обязан уведомить Роскомнадзор в течение 24 часов.
Организационные меры: назначение ответственного лица за обработку данных, разработка политики обработки данных, положений, приказов, инструкций, регламентов, журналов учёта; ограничение доступа к данным только для уполномоченных сотрудников; обучение персонала.
Технические меры: использование антивирусного ПО, систем контроля доступа и аутентификации, шифрования, межсетевых экранов, систем предотвращения утечек (DLP).
Физическая защита: хранение бумажных документов в сейфах или запираемых шкафах в помещениях, недоступных для посторонних.
Для трансграничной передачи данных необходимо убедиться, что условия и юрисдикция получателя обеспечивают адекватную защиту прав субъектов данных, либо иметь иные правовые основания для передачи.
Запрещено использовать иностранные мессенджеры для передачи персональных данных граждан РФ (например, Telegram, Skype, WhatsApp и др.).
С 1 сентября 2025 года операторы обязаны передавать обезличенные данные в геоинформационную систему (ГИС) по требованию Минцифры.
За нарушения требований к защите персональных данных предусмотрены административные штрафы, а в отдельных случаях — уголовная ответственность (например, за утечки). С 2025 года штрафы значительно увеличены.
Политика в отношении обработки персональных данных (публичный документ).
Положение об обработке и защите персональных данных.
Приказы о выполнении мероприятий по организации обработки и обеспечению безопасности данных (например, о назначении ответственного лица, утверждении перечня информационных систем и т. д.).
Формы согласий на обработку данных.
Журналы учёта (например, паролей).
