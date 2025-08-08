РКН: в уведомление об обработке персданных не нужно просто копировать текст из примеров
Операторы персональных данных при заполнении уведомления в поле «Описание мер, предусмотренных ст. 18.1 и ст. 19 закона о персональных данных» иногда копируют текст из примеров для заполнения. Это неправильно, сообщает Роскомнадзор.
«Правильно: проанализировать предложенное в примере, и если применять какие-либо слова, то только те, которые относятся к деятельности Оператора», — пишет ведомство.
Так, в подразделе «средства обеспечения безопасности» нужно перечислить технические меры по обеспечению безопасности персональных данных при их обработке. Например – использование шифровальных (криптографических) средств для защиты персданных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий при их обработке.
Если используется ЭЦП, заполняют раздел «использование шифровальных (криптографических) средств», где обязательно пишут наименование, регистрационные номера и производителей ЭЦП + сведения об уровнях защиты (см. Методические рекомендации ФСБ от 21.02.2008 № 149/5-144).
Если проведена классификация информационных систем персданных, пишут к какому классу они относятся.
Что Роскомнадзор относит к техническим мерам:
определение угроз безопасности персданным при их обработке в ИС персональных данных;
обеспечение безопасности персональных данных при их обработке, необходимых для выполнения требований к защите персданных;
процедуры оценки соответствия средств защиты информации;
оценку эффективности принимаемых мер по обеспечению безопасности персданных до ввода в эксплуатацию информационной системы персональных данных;
учет машинных носителей персональных данных;
обнаружение фактов несанкционированного доступа к персданным и принятие мер;
восстановление персданных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установление правил доступа к персональным данным, обеспечение регистрации и учета всех действий, совершаемых с ними;
контроль за мерами по обеспечению безопасности персональных данных и уровнем защищенности ИС персданных.
Ранее РКН пояснил, что в уведомлении об обработке персданных нужно выбрать только те действия, которые реально проводят с ними.
В этой истории мне интересно вот что. Гигантскими штрафами пугают только мелкий бизнес и без того уже синий от всяких ужасов. А мать моя пошла в районную поликлинику, сдала кучу всяких анализов. И их все потеряли! Буднично так регистраторша маме сказала - ну потеряли, еще раз сдайте. А как же защита персональных данных? Анализы это вобще супер какие персональные данные. Это вам не номер телефона. Вот где то они же валяются. А если кто нехороший найдет? Там же вообще все... С этим как быть? Конечно, бизнес проще натянуть, оштрафовать, районную поликлинику разве оштрафуешь, клизмами закидают...