Хранение персональных данных: важные аспекты законодательства

Хранение персональных данных (ПДн) — это процесс сохранения и обеспечения защиты информации, которая позволяет прямо или косвенно идентифицировать физическое лицо. Если вы получили личные сведения о человеке и храните их на собственном сервере или в документах организации, нужно соблюдать требования, предусмотренные ФЗ от 27.07.2006 №152-ФЗ. Они касаются защиты безопасности и конфиденциальности.

Что относится к ПДн

Законодательство не содержит четкого перечня сведений, относящихся к ПДн, однако можно выделить несколько категорий с учетом специфики их обработки:

1. Общие. Включают основную информацию о человеке: ФИО, дату рождения, адрес, серию и номер паспорта, образование, место работы, уровень дохода и т. д. 
2. Биометрические данные. Отражают уникальные биологические и физиологические особенности человека, которые могут использоваться для его идентификации. К ним относятся отпечатки пальцев, ДНК, радужная оболочка глаз, анатомические особенности и прочее.
3. Специальные. К этой категории относятся сведения, содержащиеся в личных делах, медицинских книжках, закрытых реестрах, а также информация о судимости, национальности, расовой принадлежности и т. п.
4. Иные ПДн. Сюда входят сведения, не относящиеся к первым трем группам. Например, размер зарплаты, дата отпуска конкретного сотрудника, стаж работы. 

Меры защиты зависят от способа хранения ПДн. Если они хранятся на бумаге, посторонние лица не имеют права знакомиться с ними без законных оснований. Для хранения в электронном виде нужны повышенные меры защиты, чтобы избежать утечки.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Правила хранения ПДн

Основные особенности хранения и защиты персональных данных указаны в ст. 19 ФЗ №152-ФЗ. Оператор обязан реализовать комплекс различных мер, направленных на предотвращение незаконного доступа, копирования или распространения; защитить ПДн от случайного уничтожения или других действий, а также организовать мероприятия, направленные на снижение риска неправомерных действий с ПДн.

Оператор может выполнять эти меры самостоятельно или обеспечивать их применение через третьих лиц. Главное — гарантировать полную безопасность обрабатываемой информации в соответствии с ФЗ №152-ФЗ.

За счет чего достигается безопасное хранение ПДн:

1. Выявление угроз – анализ возможных рисков для безопасности данных.
2. Принятие технических и организационных мер, соответствующих требованиям законодательства и уровню защищенности, установленному Правительством РФ от 01.11.2012 №1119.
3. Использование средств защиты, прошедших соответствующих установленным требованиям — это подтверждается результатами оценки.
4. Уничтожение ПДн с помощью сертифицированных средств, включающих функцию безопасного удаления информации.
5. Оценка эффективности мер безопасности перед вводом системы хранения персональных данных в эксплуатацию.
6. Контроль за хранением и использованием машинных носителей ПДн.
7. Выявление неправомерного доступа, предотвращение негативных последствий кибератак и оперативное реагирование на инциденты.
8. Восстановление данных – возврат в исходное состояние после незаконного доступа, изменения или удаления.
9. Установление правил доступа к ПДн и фиксация всех операций с ними в системе.
10. Постоянный контроль за соблюдением мер безопасности и уровнем защищенности информационных систем.

Для операторов предусмотрена административная ответственность за нарушение правил хранения без использования средств автоматизации, если это повлекло неправомерный доступ к ПДн (ч. 6 ст. 13.11 КоАП РФ). Должностное лицо могут оштрафовать на сумму до 20 000, индивидуального предпринимателя — до 40 000, организацию — до 100 000 рублей. С 30 мая 2025 года штраф за утечку повышается и может достигать 15 млн рублей.

При выявлении утечки оператор обязан подать соответствующее уведомление в РКН в течение 24 часов, провести расследование и отправить его результаты в ведомство в течение 72 часов.

Также важно учитывать срок обработки и хранения персональных данных — он не должен превышать срок, который нужен для достижения целей обработки, если иное не установлено законодательством или договором с субъектом ПДн.

Заключение

Предотвращение неправомерного доступа третьих лиц, утечек и иных нарушений, строгое соблюдение законодательства — основа безопасного хранения персональных данных. Оператор обязан применять все меры в соответствии с уровнем защищенности, установленным законом. За нарушение этих правил предусмотрена административная ответственность.