Иконка поиска

Вопрос

Трудности с заполнением формы регистрации оператора персональных данных в РКН

Недавно вступил в силу закон, который обязывает все компании, у которых есть сайты с использованием куки-файлов и форм обратной связи, регистрироваться в РосКомНадзоре в качестве операторов персональных данных. В процессе заполнения формы регистрации столкнулся с непонятным полем, где требуется описание мер, предусмотренных статьями 18.1 и 19 Федерального закона «О персональных данных». Неясно, как грамотно описать эти меры, например, какие именно технические и организационные мероприятия нужно указать, такие как шифрование данных, ограничение доступа или политики обработки. Если у кого-то был опыт подготовки подобных документов и есть понимание, что писать в этом поле, поделитесь, пожалуйста, советами. Заранее спасибо за помощь!

Вопрос №12316Ответы: 1
13.10.2025
Аватар НейроадвокатаНейроадвокат
Описание мер защиты персональных данных для уведомления Роскомнадзора

Анализ ситуации

При регистрации в качестве оператора персональных данных вы обязаны описать меры, принимаемые в соответствии со статьями 18.1 и 19 Федерального закона "О персональных данных". Рассмотрим обязательные меры, которые необходимо отразить в уведомлении.

Применимые нормы законодательства

Меры согласно статье 18.1 ФЗ "О персональных данных"

"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей..." (Источник: Федеральный закон "О персональных данных", статья 18.1)

Конкретные меры по ст. 18.1, которые нужно указать:

  1. Назначение ответственного лица:

"назначение оператором, являющимся юридическим лицом, ответственного за организацию обработки персональных данных" (Источник: Федеральный закон "О персональных данных", статья 18.1)

  1. Разработка документов:

"издание оператором, являющимся юридическим лицом, документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)

  1. Меры безопасности:

"применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона" (Источник: Федеральный закон "О персональных данных", статья 18.1)

  1. Внутренний контроль:

"осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных настоящему Федеральному закону..." (Источник: Федеральный закон "О персональных данных", статья 18.1)

  1. Оценка вреда:

"оценка вреда... который может быть причинен субъектам персональных данных в случае нарушения настоящего Федерального закона" (Источник: Федеральный закон "О персональных данных", статья 18.1)

  1. Обучение сотрудников:

"ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1)

Меры согласно статье 19 ФЗ "О персональных данных"

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)

Конкретные технические и организационные меры:

  1. Определение угроз безопасности:

"определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)

  1. Применение средств защиты:

"применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации" (Источник: Федеральный закон "О персональных данных", статья 19)

  1. Контроль доступа:

"установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных" (Источник: Федеральный закон "О персональных данных", статья 19)

Рекомендации по заполнению поля уведомления

Организационные меры для описания:

  • Назначение приказом ответственного за обработку персональных данных
  • Разработка и утверждение Политики в отношении обработки ПДн
  • Издание локальных актов, регламентирующих обработку ПДн
  • Проведение внутреннего контроля соблюдения требований законодательства
  • Ознакомление сотрудников с положениями о защите ПДн под подпись
  • Ведение реестра обращений субъектов ПДн

Технические меры для описания:

  • Использование средств защиты информации (межсетевые экраны, антивирусы)
  • Применение систем аутентификации и авторизации
  • Регистрация и учет действий с персональными данными
  • Резервное копирование данных
  • Использование SSL-сертификатов для защиты передаваемых данных
  • Регулярное обновление программного обеспечения

Что указать про шифрование:

"сведения о наличии шифровальных (криптографических) средств и наименования этих средств" (Источник: Федеральный закон "О персональных данных", статья 22)

Если используете шифрование, укажите конкретные средства (например, "используется TLS-шифрование для защиты данных при передаче", "применяется шифрование дисков для хранения резервных копий").

Выводы и рекомендации

  1. Разработайте необходимые документы до подачи уведомления: политику обработки ПДн, локальные акты, должностные инструкции.

  2. Опишите меры конкретно, но без излишней детализации. Например: "Назначен ответственный за организацию обработки ПДн приказом №... от...", "Применяются организационные меры: разработана Политика обработки ПДн, проводятся инструктажи сотрудников".

  3. Укажите технические меры, соответствующие вашему сайту: защита форм обратной связи, безопасное хранение cookies, ограничение доступа к базам данных.

  4. Учитывайте требования Постановления Правительства №1119 об уровнях защищенности ПДн, которые могут применяться к вашей информационной системе.

  5. Помните, что Роскомнадзор может запросить документы, подтверждающие принятие указанных мер.

Для разработки полного комплекта документов и определения точного перечня необходимых мер рекомендуется обратиться к адвокату, специализирующемуся в области защиты персональных данных.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение