⁉️ Уничтожили персональные данные? Правильно оформите этот факт!

Завершение обработки персональных данных — такая же важная процедура, как и их сбор. Недостаточно просто удалить файл или запись в базе. Факт уничтожения необходимо документально подтвердить. Это прямое требование законодательства РФ (ч.7 ст.21 ФЗ-152, Приказ Роскомнадзора № 179 от 28.10.2022).

🎯 Когда требуется уничтожение ПДн?

Организация обязана уничтожить персональные данные в следующих случаях:
🚫 Выявление неправомерной обработки
Пример: Новый менеджер добавил в рассылку компании клиентов с предыдущего места работы без их согласия. Эти контакты придётся удалить, т.к. основание для их обработки отсутствует.
🎯 Достижение цели обработки
Пример: Резюме соискателя, не прошедшего по конкурсу, хранилось в кадровом резерве. Срок хранения, предусмотренный согласием кандидата, истек, соответсвенно цель обработки достигнута — данные подлежат уничтожению.
📣 Отзыв субъектом согласия на обработку
Пример: Клиент направил в компанию заявление об отзыве согласия на обработку своих ПДн для маркетинговых рассылок. Его контактные данные (email, телефон) необходимо удалить из всех рассылочных сервисов.

📄 Как правильно оформить уничтожение?
Факт уничтожения фиксируется в Акте об уничтожении персональных данных. Форма акта должна соответствовать требованиям Приказа РКН № 179.
Что обязательно указать в акте:
✔️ Перечень данных (например, ФИО, паспортные данные, контакты).
✔️ Тип носителя (бумажный документ, электронный носитель, база данных и т.п.).
✔️ Способ уничтожения (физическое уничтожение носителя, стирание электронных данных, удаление записи в БД).
✔️ Причину (отзыв согласия, истечение срока хранения и т.д.).
✔️ Дату проведения процедуры.
✔️ Состав комиссии или данные ответственного лица.

💻 Особый случай: удаление из ИСПДн
Если данные хранились в информационной системе (ИСПДн), одного акта недостаточно. Требуется техническое подтверждение:
🔎 Лог-файл (выгрузка из журнала событий). Этот файл доказывает, что запись была удалена из системы.

🗃️ Срок хранения доказательств
Сам акт об уничтожении и приложенный к нему лог-файл — также подлежат хранению.
⚠️ Срок их хранения составляет 3 года с даты уничтожения соответствующих персональных данных.

Ликвидируем безграмотность в области персональных данных. Подписаться 💙

#уничтожение

📚 Законный интерес для обработки персональных данных: как использовать без рисков?

1️⃣ Проверяем, разрешено ли это законом
2️⃣ Формулируем конкретное право, а не размытые цели
3️⃣ Оцениваем, не нарушаем ли мы права субъекта

Главное правило: всё должно быть задокументировано!
Как это сделать — читайте в нашей статье 💡

При подготовке использовался
аналитический материал RPPA

Ликвидируем безграмотность в области персональных данных. Подписаться 💙

#основание #чтоДелать

🔐 Шпаргалка для работодателя: работа с персональными данными

Соблюдение требований закона о персональных данных — это юридическая безопасность работодателей и HR-специалистов. Напоминаем основные шаги, которые нельзя пропустить.

Чек-лист самопроверки:

📋 1. Подайте уведомление в Роскомнадзор

Сделать это можно на сайте pd.rkn.gov.ru;
• в электронном виде (с использованием профиля на госуслугах или с ЭЦП);
• на бумажном носителе (сгенерируйте уведомление и отправьте почтой).
Если уже включены в реестр — проверьте актуальность данных по ИНН

📂 2. Подготовьте пакет документов

В него должны входить:
• Политика обработки ПДн;
• Приказ о назначении ответственного;
• Положение об обработке и защите ПДн;
• Инструкции по работе с ПДн, журналы и акты;
• Формы необходимых согласий.

✍️ 3. Придерживайтесь новых правил получения согласия

Передача данных работника третьим лицам возможна только на основании согласия или в соответствии с утверждённым ЛНА.
Важно: все согласия должны быть приведены в соответствие с требованиями от 1 сентября 2025 года и должны подписываться отдельно от других документов.

🔒 4. Обеспечьте безопасное хранение

Электронные данные — только на российских IT-решениях (ПО, облака, серверы). Не забудьте про информационную безопасность — обязательны стойкие пароли, антивирусное ПО, а также другие меры защиты (проконсультируйтесь с Айтишниками).
Бумажные носители — в закрытых помещениях и сейфах. Доступ только у уполномоченных специалистов (HR, бухгалтерия, кадры).

🎯 5. Обрабатывайте данные строго в соответствии с заранее определёнными целями

Запрещено запрашивать лишнюю информацию у сотрудников и соискателей.
Обучите HR и рекрутеров, проинформируйте об ответственности за нарушения.

⚠️ Помните: работа с персональными данными — это зона повышенной правовой ответственности. Регулярно обновляйте документы и проводите внутренние проверки.

Ликвидируем безграмотность в области персональных данных. Подписаться 💙

#кадры #чтоДелать

❗️Топ ошибок в работе с персональными данными, которые могут привести к многомиллионным штрафам

➡️ Скачайте чек-лист в закрепленном сообщении

ОБЯЗАТЕЛЬНО 💙 ПОДПИШИТЕСЬ

📝 Топ 100 случаев, когда требуется согласие

❗️ Этот список — реальные кейсы из практики, когда оператору необходимо получить согласие на обработку персональных данных.
‼️ В остальных случаях обычно применимы иные правовые основания (исполнение договора или требований закона и т.п.). Список ориентировочный и не является исчерпывающим.

📙 Часть 3

IV. Безопасность и пропускной режим

62. Оформление разового пропуска посетителю с записью его персональных данных в электронную базу.
63. Сканирование паспорта посетителя (создание цифровой копии).
64. Ведение журнала посещений в бумажном виде (если в нем избыточные данные).
65. Фотографирование посетителя для выдачи пропуска.
66. Формирование и ведение электронной базы постоянных посетителей бизнес‑центра (ФИО, номер паспорта, номер автомобиля) с выдачей им долгосрочных пропусков для упрощенного доступа на территорию.
67. Передача данных посетителей в охранное предприятие (ЧОП).
68. Использование аудиозаписи на линиях технической поддержки или в колл-центрах для последующего анализа и разбора инцидентов.
69. Снятие отпечатков пальцев для доступа в помещения (биометрия).
70. Запись голоса для голосовой идентификации.
71. Передача данных о посетителе в государственные органы по запросу, который не оформлен официально и не является юридически обязательным для компании.

V. Здоровье и другие спец. категории (Ст. 10 152-ФЗ). Всегда требуется письменное согласие, кроме экстренных случаев спасения жизни

72. Обработка сведений о здоровье фитнес-клубом (для подбора нагрузок).
73. Сбор данных об аллергиях в ресторане или службе доставки еды.
74. Передача медицинских данных пациента в страховую компанию (вне ОМС).
75. Телемедицинские консультации.
76. Сообщение диагноза родственникам пациента (при отсутствии запрета, но с согласия).
77. Публикация фото «До и После» пластической хирургии или косметологии.
78. Распространение (публикация) сведений об участии субъекта в общественном объединении или профсоюзе.
79. Сбор данных о религиозных убеждениях (например, для организации халяльного/постного питания).
80. Сбор данных о состоянии здоровья клиента для оказания бытовых услуг (например, наличие противопоказаний к массажу в спа-салоне).
81. Использование данных о расовой принадлежности.

VI. Образование и дети

82. Публикация результатов олимпиад и конкурсов с ФИО детей.
83. Видеосъемка утренников в детском саду приглашенным оператором.
84. Передача данных учеников фотографу для выпускного альбома.
85. Организация экскурсий (передача списков в транспортную компанию/музей).
86. Регистрация ребенка на сторонних образовательных порталах учителем.
87. Публикация творческих работ учеников с подписью авторства.
88. Создание родительских чатов с централизованным сбором телефонов.
89. Передача данных в лагеря отдыха.
90. Сбор сведений о социальном статусе семьи (если это не для льгот).
91. Психологическое тестирование школьников.

VII. Распространение (публикация) данных (Ст. 10.1 152-ФЗ). С 2021 года требует отдельного согласия на распространение:

92. Размещение списка участников конференции в открытом доступе.
93. Публикация реестра сертифицированных специалистов (в случаях, не предусмотренных законодательством).
94. Раскрытие списка победителей розыгрыша (ФИО полностью).
95. Создание справочника внутренних телефонов, доступного неограниченному кругу лиц.
96. Размещение на корпоративном портале или в офисе доски почета с фотографиями и должностями лучших сотрудников месяца.
97. Размещение видеозаписи вебинара, где видны лица участников.
98. Размещение ФИО должников на стенде ТСЖ/СНТ.
99. Размещение данных авторов статей/блога.
100. Обмен данными в рамках группы компаний (холдинга), если это разные юрлица.

Есть что добавить? Ждем вас в комментариях!

С дополнительными пояснениями к списку согласий можно ознакомиться на нашем сайте 💙

⚡️ Утечка «по ошибке сотрудника»: Как коммерческая тайна уходит к конкурентам

​Многие компании фокусируются на внешних угрозах (хакеры), но 80% утечек происходят по вине собственных сотрудников — по злому умыслу или небрежности. Если ценная база клиентов, финансовые планы или технические разработки попадут к конкурентам, ущерб может измеряться миллионами и стоить бизнесу репутации.

​Для защиты бизнеса необходимо внедрить режим коммерческой тайны. Это не просто приказ, а комплекс юридических (обязательства о неразглашении, маркировка документов) и технических мер.

⚠️Важно помнить:
если не установлен четкий режим, доказать факт ущерба и наказать виновного будет практически невозможно. Отсутствие защиты равносильно несанкционированному доступу к вашим критическим данным.

​Что делать обязательно: разработать пакет внутренних документов и внедрить DLP-системы (защита от утечек) для контроля каналов передачи данных (почта, мессенджеры, USB-накопители).

💙 Центр безопасности данных поможет вам построить надежный юридически защищенный режим коммерческой тайны, провести аудит процессов и внедрить необходимые технические средства, чтобы защитить вас от инсайдеров.
​Наш сайт: https://data-sec.ru/

🚨 КИИ: Вы точно знаете, что ваш IT-ресурс — не «объект КИИ»? Риски игнорирования 187-ФЗ.

​Федеральный закон №187-ФЗ обязывает компании, работающие в ключевых отраслях (финансы, транспорт, энергетика, связь и др.), провести категорирование своих информационных систем (ИС). Многие считают, что это касается только госкорпораций, однако под требования часто попадают частные компании, чьи ИС обеспечивают непрерывность процессов. Игнорирование этого требования создает серьезные риски.

⚠️ ​Если ваша система будет признана объектом КИИ и вы не выполнили требования закона (включая регистрацию, категорирование и аттестацию), при инциденте или проверке ФСТЭК или ФСБ вы рискуете получить высокие штрафы. В случае серьезного сбоя или кибератаки это может обернуться уголовной ответственностью для руководителя или ответственного лица.

​Обязательные шаги для бизнеса: Немедленно провести аудит и категорирование информационных систем для определения, являются ли они объектами КИИ. Если являются — разработать план мероприятий по их защите.

💙 ​Наш сайт: https://data-sec.ru/

🕵️‍♂️ Сайт-шпион: 3 ошибки в политике конфиденциальности
​Стандартный шаблон из интернета — это «мина» замедленного действия.

Сегодня Роскомнадзор использует автоматизированные системы мониторинга, которые за секунды выявляют несоответствие вашего сайта требованиям 152-ФЗ.

⚠️ Главные ошибки: использование общих фраз без указания конкретных целей сбора данных, отсутствие перечня используемых метрических программ (Cookies) и неуказание способов отзыва согласия.
​Игнорирование этих нюансов превращает ваш ресурс в объект для внеплановой проверки.

⚠️ Риски колоссальны: от блокировки сайта до штрафов, которые по новым поправкам в КоАП могут достигать сотен тысяч рублей за каждое нарушение в цепочке обработки ПДн. Шаблон не учитывает специфику вашего бизнеса, а значит — не защищает.

​Чек-лист безопасности:

1. ​Проверьте актуальность целей обработки.
2. ​Укажите все сторонние сервисы (Яндекс.Метрика и др.).
3. ​Обеспечьте легкий доступ к тексту политики с любой страницы.

💙​ Наш сайт: https://data-sec.ru

👤 Биометрия в офисе: Удобство или ловушка?

​FaceID на входе и учет времени по отпечатку пальца — это удобно, но с точки зрения 152-ФЗ это обработка биометрических персональных данных.

❗️Главная ошибка бизнеса — собирать такие данные без письменного согласия в строгой форме или передавать их третьим лицам (например, охране БЦ) без надлежащего договора.

⚠️ ​Риски стали критическими: нарушение порядка обработки биометрии теперь выделено в отдельный состав КоАП с огромными штрафами. Если база данных «утечет» или проверка выявит отсутствие регистрации в Единой биометрической системе (ЕБС) при необходимости, компании грозят санкции и судебные иски от сотрудников. Биометрия требует максимального уровня защиты от НСД и четкого правового обоснования.

💙 ​Наш сайт: https://data-sec.ru

🏢 Кто на самом деле является субъектом КИИ?

​Мнение о том, что КИИ касается только оборонных заводов и АЭС — опасный миф. В зону действия 187-ФЗ попадают организации из 13 отраслей, включая здравоохранение, финансы и транспорт. Если у вашей частной клиники есть система записи пациентов, у банка — мобильное приложение, а у транспортной компании — GPS-мониторинг грузов, вы с высокой вероятностью являетесь субъектом критической информационной инфраструктуры.

⚠️ ​Игнорирование статуса субъекта КИИ не освобождает от ответственности!

Риски включают не только административные штрафы по КоАП РФ до 500 000 рублей за непредставление сведений во ФСТЭК, но и уголовную ответственность (ст. 274.1 УК РФ) до 10 лет лишения свободы для руководителей, если кибератака на незащищенную систему приведет к сбоям в работе инфраструктуры. В 2025 году критерии категорирования стали жестче, а автоматизированный контроль — глубже.

❓Что нужно сделать сейчас:
​Провести инвентаризацию всех ИТ-систем.
​Проверить ОКВЭД и наличие лицензий в «критических» сферах.
​Подать актуализированные данные о категорировании во ФСТЭК.

💙​ Наш сайт: https://data-sec.ru

​⚖️ Категорирование КИИ: Как не завысить и не занизить показатели?

​Категорирование объектов КИИ по 187-ФЗ — это тонкий баланс между безопасностью и экономикой.
​Занижение показателей в надежде избежать «значимой» категории ведет к прямому конфликту со ФСТЭК: регулятор вправе вернуть документы на пересмотр или провести проверку, результатом которой станут штрафы по ст. 19.7.15 КоАП РФ. С другой стороны, неоправданное завышение категории накладывает на бизнес избыточные обязательства по закупке дорогостоящих СЗИ и внедрению строгих регламентов.

⚠️ ​Главный риск при неверном категорировании — юридическая уязвимость руководства. Ошибка в расчетах социального или экономического ущерба может квалифицироваться как халатность, особенно если инцидент ИБ приведет к реальным последствиям.
​Важно опираться на актуальные критерии из Постановления Правительства №127, детально анализировать каждый бизнес-процесс и помнить: с 1 сентября 2025 года требования к импортозамещению на значимых объектах КИИ стали обязательными.

​Как пройти по грани:

Тщательно обоснуйте отсутствие значимости для второстепенных систем.

​Используйте реальные финансовые показатели для расчета ущерба.

​Документируйте каждый шаг — корректная модель угроз защитит вас при проверке.

💙 ​Наш сайт: data-sec.ru

⏱️ Инцидент на объекте КИИ: 3 часа на доклад

​Скорость реакции в сфере КИИ теперь закреплена законодательно. Согласно требованиям 187-ФЗ и регламентам ФСБ, субъекты КИИ обязаны информировать о компьютерных инцидентах через систему ГосСОПКА. Для значимых объектов время на передачу первого отчета составляет всего 3 часа с момента обнаружения. Готов ли ваш IT-отдел к такому спринту, или дежурный администратор узнает об атаке только утром?

⚠️ ​Реальные риски — это не только технический простой. За нарушение сроков и порядка передачи данных предусмотрены административные штрафы до 500 000 рублей (ст. 13.12.1 КоАП РФ). А если сокрытие инцидента привело к тяжким последствиям, в силу вступает уголовная ответственность.

Без четко отлаженных процессов мониторинга и автоматизированных средств реагирования уложиться в норматив практически невозможно.

​Обязательные шаги для бизнеса:

Настроить круглосуточный мониторинг событий ИБ.
​Заключить соглашение о взаимодействии с НКЦКИ.
​Отработать регламент оповещения: кто, кому и в какой форме сообщает об атаке.

💙 ​Наш сайт: https://data-sec.ru

🤐 Режим коммерческой тайны vs. Простое «Тссс!»

​Для суда фраза «это наш секрет» не имеет юридической силы. Если в компании официально не введен режим коммерческой тайны (КТ) согласно 98-ФЗ, вы не сможете привлечь сотрудника к ответственности за слив клиентской базы или условий тендера. Судебная практика беспощадна: нет положения о КТ, нет грифа «Коммерческая тайна» на документах и нет подписи сотрудника об ознакомлении — значит, информация не была защищена, и её разглашение не является нарушением.

⚠️ ​Простое «соглашение о неразглашении» (NDA) без привязки к ЛНА компании — лишь декларация о намерениях. Риски для бизнеса сегодня критичны: с июля 2025 года ответственность по ст. 183 УК РФ ужесточена. За разглашение секретов, повлекшее крупный ущерб, теперь грозит штраф до 5 млн рублей и реальное лишение свободы на срок от 3 до 7 лет. Без юридически грамотного режима КТ вы остаетесь беззащитны перед промышленным шпионажем и недобросовестными кадрами.

❗️​Обязательные шаги для защиты:
​Утвердите четкий перечень сведений, составляющих КТ.
​Введите Положение о коммерческой тайне и ознакомьте с ним персонал под роспись.
​Нанесите гриф «Коммерческая тайна» на все материальные и электронные носители.

💙 ​Наш сайт: https://data-sec.ru

🌍 Удаленка без утечек: безопасность за пределами офиса

​Работа из кафе и разных стран — это не только свобода, но и огромная «дыра» в периметре компании. Согласно 152-ФЗ, работодатель несет полную ответственность за сохранность данных, даже если сотрудник работает с личного ноутбука через общественный Wi-Fi. Без внедрения мер защиты от НСД (несанкционированного доступа) любой выход в сеть из аэропорта превращается в риск перехвата трафика и кражи корпоративных паролей.

⚠️ ​Риски для бизнеса сегодня выходят за рамки штрафов Роскомнадзора!
Утечка данных из-за границы может быть расценена как нарушение правил трансграничной передачи ПДн, что грозит блокировками и санкциями до 15 млн рублей по новым нормам КоАП. Чтобы не потерять контроль, необходимо внедрить двухфакторную аутентификацию (2FA), зашифрованные VPN-каналы и системы класса DLP/EDR для мониторинга действий на конечных точках.

​Чек-лист для «удаленки»:
​Запретите доступ к критичным системам без VPN и 2FA.
​Проведите аудит прав доступа: только то, что нужно для работы.
​Закрепите в трудовых договорах правила работы с КТ и ПДн вне офиса.

💙 ​Наш сайт: https://data-sec.ru

💾 Флешка — враг компании: почему USB-порты всё еще опасны

В эпоху облачных сервисов обычный USB-накопитель остается «главной брешью» в безопасности. Согласно 152-ФЗ и требованиям ФСТЭК, бесконтрольное использование съемных носителей — это прямое нарушение режима защиты данных. Через обычную флешку в сеть попадает до 70% вредоносного ПО, а инсайдер может выгрузить гигабайты коммерческой тайны, не оставив следов в сетевом трафике.

⚠️ ​Риски для бизнеса колоссальны:
от полной шифровки серверов вирусом-вымогателем до оборотных штрафов за утечку ПДн, которые в 2025 году стали реальностью. Если ваша компания работает с КИИ (187-ФЗ), то отсутствие контроля USB-портов — это гарантированное предписание от регулятора и потенциальная уголовная ответственность для ответственных лиц при возникновении инцидента.

❓​Как закрыть брешь:
​Внедрите программный запрет на использование неавторизованных USB-устройств.
​Используйте только корпоративные зашифрованные накопители.
​Настройте аудит копирования файлов: кто, когда и что перенес на внешний носитель.

💙 ​Наш сайт: https://data-sec.ru