Заполнение пункта описания мер защиты персональных данных по ст. 18.1 и 19 ФЗ для ИП главы фермерского хозяйства при работе с арендодателями

<h2 id="_1">Минимальные меры защиты персональных данных для ИП — главы фермерского хозяйства</h2> <h4 id="_2">Анализ вашей ситуации</h4> <p>Вы являетесь индивидуальным предпринимателем (ИП) и главой фермерского хозяйства. В рамках своей деятельности вы обрабатываете персональные данные (паспорт, адрес, телефон) ограниченного круга лиц — арендодателей земельных участков. Цель обработки — заключение и исполнение договоров аренды. Обработка носит регулярный характер, число сотрудников, имеющих доступ к данным, минимально или отсутствует. В данном контексте вы выступаете в роли <strong>оператора персональных данных</strong>.</p> <p>Исходя из характера обрабатываемых данных (это не специальные категории, не биометрические данные) и их объема (явно менее 100 000 субъектов), с высокой долей вероятности для вашей информационной системы устанавливается <strong>4-й уровень защищенности персональных данных</strong>.</p> <h4 id="_3">Применимые правовые нормы и требования</h4> <h5 id="1">1. Общие обязанности оператора по обеспечению защиты данных</h5> <blockquote> <p>"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей... К таким мерам, в частности, относятся: ... 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1, часть 1)</p> </blockquote> <h5 id="2">2. Конкретные меры по обеспечению безопасности данных</h5> <blockquote> <p>"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)</p> </blockquote> <h5 id="3-4-">3. Требования для 4-го уровня защищенности (наиболее вероятного в вашем случае)</h5> <blockquote> <p>"Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:<br /> а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;<br /> б) обеспечение сохранности носителей персональных данных;<br /> в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;<br /> г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз." (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)</p> </blockquote> <p>Более детальный состав организационных и технических мер для выполнения этих требований (особенно при использовании средств шифрования) раскрывается в ведомственных актах, например:</p> <blockquote> <p>"Для выполнения требования... необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях... которое достигается путем: оснащения Помещений входными дверьми с замками... утверждения правил доступа в Помещения... утверждения перечня лиц, имеющих право доступа в Помещения." (Источник: Приказ ФСБ России от 10.07.2014 N 378, пункт 6)</p> </blockquote> <h4 id="_4">Ответы на ваши вопросы</h4> <h5 id="1_1">1. Минимально необходимый перечень организационных и технических мер</h5> <p>Учитывая ваш статус ИП и малый масштаб обработки, фокус должен быть на <strong>практически реализуемых и документально оформленных мерах</strong>.</p> <p><strong>Организационные меры:</strong><br /> * <strong>Документ, определяющий политику в отношении обработки персональных данных.</strong> В нем вы описываете цели, состав данных, сроки хранения, порядок уничтожения.<br /> * <strong>Документ, определяющий перечень лиц, имеющих доступ к персональным данным.</strong> Даже если доступ имеете только вы, этот факт стоит зафиксировать.<br /> * <strong>Локальный акт (инструкция) по обращению с персональными данными.</strong> Для себя (и возможных будущих сотрудников) — простые правила: где хранить бумажные копии паспортов, как защищен компьютер, пароли, запрет на пересылку данных в мессенджерах и т.д.<br /> * <strong>Меры по обеспечению сохранности носителей:</strong> хранение бумажных документов и флеш-накопителей в запираемом месте (сейф, шкаф).<br /> * <strong>Организация режима безопасности помещений:</strong> обеспечение физической защиты офиса или места хранения документов.</p> <p><strong>Технические меры:</strong><br /> * Защита компьютера паролем.<br /> * Использование антивирусного программного обеспечения.<br /> * <strong>Шифрование (криптографическая защита) данных</strong> на электронных носителях (жестких дисках, флеш-накопителях) или в почтовой переписке, если она используется для передачи данных. Использование средств шифрования, прошедших оценку соответствия (например, сертифицированных СКЗИ), является прямым требованием для нейтрализации актуальных угроз.<br /> * Регулярное обновление программного обеспечения.</p> <h5 id="2-181-19">2. Различие между требованиями ст. 18.1 и ст. 19 и их отражение в документах</h5> <ul> <li><strong>Статья 18.1</strong> — это <strong>рамочная норма</strong>. Она обязывает оператора принять комплекс мер для выполнения всех своих обязанностей по закону. Эти меры включают не только безопасность, но и документирование политики, внутренний контроль, обучение (если есть работники) и т.д. Меры по ст. 19 являются <strong>частью</strong> этого комплекса.</li> <li><strong>Статья 19</strong> — это <strong>специальная норма</strong>, посвященная именно <strong>мерам безопасности</strong> (правовым, организационным и техническим), направленным непосредственно на защиту данных от угроз.</li> </ul> <p><strong>На практике:</strong> В документах (например, в Политике оператора или в Уведомлении в Роскомнадзор) вы не обязаны формально разделять меры по статьям. Вы описываете <strong>комплекс принимаемых вами мер</strong>. Однако логично, чтобы в описании были отражены как общие организационные моменты (политика, назначение ответственного — самого себя), так и конкретные шаги по безопасности (шифрование, правила доступа).</p> <h5 id="3">3. Допустимо ли описывать меры единым текстом?</h5> <p><strong>Да, допустимо и часто практикуется.</strong> Главное — чтобы из вашего описания было ясно, что вы выполнили требования обеих статей. Вы можете создать единый раздел в Политике под названием "Принимаемые меры по обеспечению безопасности персональных данных" и последовательно перечислить в нем:<br /> 1. Как вы документируете свою деятельность (политика, перечень лиц с доступом).<br /> 2. Какие организационные правила установили (хранение носителей, режим доступа в помещение).<br /> 3. Какие технические средства применяете (шифрование, антивирусы, пароли).</p> <h4 id="_5">Выводы и конкретные рекомендации</h4> <ol> <li><strong>Определите уровень защищенности.</strong> Для вашего случая с высокой вероятностью это 4-й уровень. Рекомендуется провести (самостоятельно или с консультантом) оценку возможного вреда и актуальных угроз, чтобы подтвердить этот уровень.</li> <li><strong>Разработайте минимальный пакет документов:</strong><ul> <li>Политика в отношении обработки персональных данных.</li> <li>Приказ (или запись в документах ИП) о возложении на себя ответственности за организацию обработки ПДн.</li> <li>Перечень лиц (себя), имеющих доступ к ПДн.</li> <li>Простая инструкция по обработке ПДн.</li> </ul> </li> <li><strong>Внедрите ключевые практические меры:</strong><ul> <li>Храните бумажные копии паспортов в сейфе или запираемом шкафу.</li> <li>Установите на компьютер пароль и антивирус.</li> <li><strong>Используйте шифрование для электронных копий документов</strong> (например, с помощью сертифицированных средств).</li> <li>Ограничьте физический доступ в помещение, где хранятся данные.</li> </ul> </li> <li><strong>Опишите принятые меры единым текстом</strong> в соответствующем разделе вашей Политики. Этого описания будет достаточно для выполнения требований закона и, при необходимости, для направления уведомления в Роскомнадзор (если вы не подпадаете под исключения, например, если обработка ведется с использованием средств автоматизации).</li> <li><strong>Обратите внимание:</strong> Если вы обрабатываете данные <strong>исключительно без использования средств автоматизации</strong> (только бумажные носители), то у вас может быть освобождение от направления уведомления в Роскомнадзор (п. 8 ч. 2 ст. 22 ФЗ-152). Однако обязанность по защите данных и принятию мер по ст. 18.1 и 19 при этом <strong>сохраняется</strong>.</li> </ol> <p>Учитывая специфику требований к техническим средствам защиты (СКЗИ), для корректного выбора и настройки средств шифрования рекомендуется проконсультироваться со специалистом в области информационной безопасности или <strong>адвокатом</strong>, специализирующимся на цифровом праве.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>