Иконка поиска
Логотип Все адвокаты
Иконка поиска

Вопрос

Интеллектуальная собственность и информационное право

Заполнение пункта описания мер защиты персональных данных по ст. 18.1 и 19 ФЗ для ИП главы фермерского хозяйства при работе с арендодателями

Как заполнить этот пункт про меры, которые надо по ст. 18.1 и 19 ФЗ о персональных данных, если я инд предприниматель, руковожу фермерским хозяйством и только с арендодателями дело имею? Например, у них беру данные паспорта, адреса, телефоны для договоров аренды земли. Что конкретно писать в мерах – технические штуки типа шифрования или организационные вроде инструкций для сотрудников, если их почти нет? И надо ли разделять по статьям или можно одним текстом обойтись, а то в законе как-то запутано написано.

Вопрос №60087Ответы: 1
18.04.2026
Аватар НейроадвокатаНейроадвокат
Интеллектуальная собственность и информационное правоНужен документ
Минимальные меры защиты персональных данных для ИП — главы фермерского хозяйства

Анализ вашей ситуации

Вы являетесь индивидуальным предпринимателем (ИП) и главой фермерского хозяйства. В рамках своей деятельности вы обрабатываете персональные данные (паспорт, адрес, телефон) ограниченного круга лиц — арендодателей земельных участков. Цель обработки — заключение и исполнение договоров аренды. Обработка носит регулярный характер, число сотрудников, имеющих доступ к данным, минимально или отсутствует. В данном контексте вы выступаете в роли оператора персональных данных.

Исходя из характера обрабатываемых данных (это не специальные категории, не биометрические данные) и их объема (явно менее 100 000 субъектов), с высокой долей вероятности для вашей информационной системы устанавливается 4-й уровень защищенности персональных данных.

Применимые правовые нормы и требования

1. Общие обязанности оператора по обеспечению защиты данных

"Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей... К таким мерам, в частности, относятся: ... 3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии со статьей 19 настоящего Федерального закона;" (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 18.1, часть 1)

2. Конкретные меры по обеспечению безопасности данных

"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных", статья 19, часть 1)

3. Требования для 4-го уровня защищенности (наиболее вероятного в вашем случае)

"Для обеспечения 4-го уровня защищенности персональных данных при их обработке в информационных системах необходимо выполнение следующих требований:
а) организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
б) обеспечение сохранности носителей персональных данных;
в) утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным, обрабатываемым в информационной системе, необходим для выполнения ими служебных (трудовых) обязанностей;
г) использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства Российской Федерации в области обеспечения безопасности информации, в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз." (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)

Более детальный состав организационных и технических мер для выполнения этих требований (особенно при использовании средств шифрования) раскрывается в ведомственных актах, например:

"Для выполнения требования... необходимо обеспечение режима, препятствующего возможности неконтролируемого проникновения или пребывания в помещениях... которое достигается путем: оснащения Помещений входными дверьми с замками... утверждения правил доступа в Помещения... утверждения перечня лиц, имеющих право доступа в Помещения." (Источник: Приказ ФСБ России от 10.07.2014 N 378, пункт 6)

Ответы на ваши вопросы

1. Минимально необходимый перечень организационных и технических мер

Учитывая ваш статус ИП и малый масштаб обработки, фокус должен быть на практически реализуемых и документально оформленных мерах.

Организационные меры:

  • Документ, определяющий политику в отношении обработки персональных данных. В нем вы описываете цели, состав данных, сроки хранения, порядок уничтожения.
  • Документ, определяющий перечень лиц, имеющих доступ к персональным данным. Даже если доступ имеете только вы, этот факт стоит зафиксировать.
  • Локальный акт (инструкция) по обращению с персональными данными. Для себя (и возможных будущих сотрудников) — простые правила: где хранить бумажные копии паспортов, как защищен компьютер, пароли, запрет на пересылку данных в мессенджерах и т.д.
  • Меры по обеспечению сохранности носителей: хранение бумажных документов и флеш-накопителей в запираемом месте (сейф, шкаф).
  • Организация режима безопасности помещений: обеспечение физической защиты офиса или места хранения документов.

Технические меры:

  • Защита компьютера паролем.
  • Использование антивирусного программного обеспечения.
  • Шифрование (криптографическая защита) данных на электронных носителях (жестких дисках, флеш-накопителях) или в почтовой переписке, если она используется для передачи данных. Использование средств шифрования, прошедших оценку соответствия (например, сертифицированных СКЗИ), является прямым требованием для нейтрализации актуальных угроз.
  • Регулярное обновление программного обеспечения.

2. Различие между требованиями ст. 18.1 и ст. 19 и их отражение в документах

  • Статья 18.1 — это рамочная норма. Она обязывает оператора принять комплекс мер для выполнения всех своих обязанностей по закону. Эти меры включают не только безопасность, но и документирование политики, внутренний контроль, обучение (если есть работники) и т.д. Меры по ст. 19 являются частью этого комплекса.
  • Статья 19 — это специальная норма, посвященная именно мерам безопасности (правовым, организационным и техническим), направленным непосредственно на защиту данных от угроз.

На практике: В документах (например, в Политике оператора или в Уведомлении в Роскомнадзор) вы не обязаны формально разделять меры по статьям. Вы описываете комплекс принимаемых вами мер. Однако логично, чтобы в описании были отражены как общие организационные моменты (политика, назначение ответственного — самого себя), так и конкретные шаги по безопасности (шифрование, правила доступа).

3. Допустимо ли описывать меры единым текстом?

Да, допустимо и часто практикуется. Главное — чтобы из вашего описания было ясно, что вы выполнили требования обеих статей. Вы можете создать единый раздел в Политике под названием "Принимаемые меры по обеспечению безопасности персональных данных" и последовательно перечислить в нем:

  1. Как вы документируете свою деятельность (политика, перечень лиц с доступом).
  2. Какие организационные правила установили (хранение носителей, режим доступа в помещение).
  3. Какие технические средства применяете (шифрование, антивирусы, пароли).

Выводы и конкретные рекомендации

  1. Определите уровень защищенности. Для вашего случая с высокой вероятностью это 4-й уровень. Рекомендуется провести (самостоятельно или с консультантом) оценку возможного вреда и актуальных угроз, чтобы подтвердить этот уровень.
  2. Разработайте минимальный пакет документов:
    • Политика в отношении обработки персональных данных.
    • Приказ (или запись в документах ИП) о возложении на себя ответственности за организацию обработки ПДн.
    • Перечень лиц (себя), имеющих доступ к ПДн.
    • Простая инструкция по обработке ПДн.
  3. Внедрите ключевые практические меры:
    • Храните бумажные копии паспортов в сейфе или запираемом шкафу.
    • Установите на компьютер пароль и антивирус.
    • Используйте шифрование для электронных копий документов (например, с помощью сертифицированных средств).
    • Ограничьте физический доступ в помещение, где хранятся данные.
  4. Опишите принятые меры единым текстом в соответствующем разделе вашей Политики. Этого описания будет достаточно для выполнения требований закона и, при необходимости, для направления уведомления в Роскомнадзор (если вы не подпадаете под исключения, например, если обработка ведется с использованием средств автоматизации).
  5. Обратите внимание: Если вы обрабатываете данные исключительно без использования средств автоматизации (только бумажные носители), то у вас может быть освобождение от направления уведомления в Роскомнадзор (п. 8 ч. 2 ст. 22 ФЗ-152). Однако обязанность по защите данных и принятию мер по ст. 18.1 и 19 при этом сохраняется.

Учитывая специфику требований к техническим средствам защиты (СКЗИ), для корректного выбора и настройки средств шифрования рекомендуется проконсультироваться со специалистом в области информационной безопасности или адвокатом, специализирующимся на цифровом праве.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение