Защита персональных данных в организации

Аверченков В.И., Рытов М.Ю., 
Гайнулин Т.Р. 

ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ 
В ОРГАНИЗАЦИИ 

Монография 

4-е издание, стереотипное

Москва 
Издательство «ФЛИНТА» 
2021

УДК 347.775
ББК  16.84 
         А19 

Р е ц е н з е н т ы : 

кафедра «Проектирование и технология 
электронных и вычислительных систем» 
Орловского государственного технического университета, 
доктор технических наук, профессор Лозбинев Ф.Ю. 

А19       

Аверченков В.И.  
Защита персональных данных в организации: монография  / В.И. 
Аверченков, М.Ю. Рытов, Т.Р. Гайнулин. – 4-е изд., стер. – Москва : ФЛИНТА, 
2021. – 124 с. – ISBN 978-5-9765-1273-3. – Текст : электронный.

Рассмотрены 
общие 
вопросы 
обработки 
персональных 
данных 
в организации, 
нормативно-правовая 
база 
в 
области 
обработки и защиты персональных данных Российской Федерации, 
сформированы 
требования 
по 
защите 
персональных 
данных, 
предложена методика защиты персональных данных. Кроме того, 
рассмотрены 
структура 
и 
возможность 
использования 
специализированной 
автоматизированной 
системы 
оценки 
организации на соответствие требованиям по защите персональных 
данных. 
Монография предназначена для  руководителей и сотрудников 
служб безопасности и служб защиты информации при организации защиты 
персональных данных на объекте защиты, а также может быть полезна 
преподавателям и студентам, обучающимся по специальностям, 
связанным с информационной безопасностью. 

УДК 347.775
ББК  16.84 

ISBN 978-5-9765-1273-3
© Коллектив авторов, 2016 
© Издательство «ФЛИНТА», 2016 

Оглавление 

 
Предисловие………………………………………………

 

6 

1. 
Общие понятия в сфере защиты персональных 
данных ……………………………………………………..

 

 
9 

 
1.1. 
Общие понятия в сфере персональных 
данных в организации……………………………
 
10 
 
1.2. 
Общие требования при обработке 
персональных данных и гарантии их защиты 
 
14 
 
1.3. 
Хранение и использование персональных 
данных в организации……………………………
 
17 
 
1.4. 
Организация передачи персональных 
данных……………………………………………...
20 

 
1.5. 
Права работников с целью обеспечения 
защиты персональных данных, хранящихся у 
работодателя……………………………………...

 
 
21 
 
1.6. 
Биометрические персональные данные……... 23 
 
1.7. 
Особенности обработки персональных 
данных в государственных или 
муниципальных информационных системах 
персональных данных…………………………...

 
 
27 

 
1.8. 
Структура комплексной системы защиты 
персональных данных в организации………… 
 
28 
 
 
 
 
2. 
Нормативная база в сфере обработки и защиты 
персональных данных работника…………………...
  

 
32 

 
2.1. 
Краткий обзор законодательства о защите 
персональной информации граждан в мире…
 
33 
 
2.2. 
Краткий обзор нормативно-правовых актов, 
затрагивающих 
вопросы 
защиты 
персональных 
данных 
в 
Российской 
Федерации…………………………………………

 
 
36 

 
2.3. 
Федеральный закон Российской Федерации 
 

от 27 июля 2006 года  ФЗ-№152 «О 
персональных данных»………………………….
 
41 
 
2.4. 
Ответственность за нарушение правил 
работы с персональными данными 
работников…………………………………………

 
49 

 
 
 
 
3. 
Формирование 
требований 
по 
защите 
персональных данных …………………………………
 

 
55 

 
3.1. 
Принципы обработки персональных данных.. 55 
 
3.2. 
Требования к организации работ по защите 
персональных данных работников…………….
 
57 
 
3.3. 
Технические требования, предъявляемые к 
обработке персональных данных……………...
 
63 
 
3.4. 
Требования, предъявляемые к обработке 
персональных данных в режиме 
конфиденциальной информации………………

 
 
65 
 
 
 
 
4. 
Методика 
защиты 
персональных 
данных 
в 

организации………………………………………………. 
 

 
67 

 
4.1. 
Основные рекомендации по защите 
персональных данных…………………………...
 
68 
 
4.2. 
Порядок обеспечения защиты персональных 
данных при традиционном 
конфиденциальном документообороте……… 

 
 
71 
 
4.3. 
Особенности 
обработки 
персональных 
данных, осуществляемой без использования 
средств автоматизации………………………….

 
 
74 
 
4.4. 
Порядок обеспечения защиты персональных 
данных при эксплуатации 
автоматизированной системы………………….

 
 
79 
 
4.5. 
Защита персональных данных при 
использовании съёмных накопителей 
большой ёмкости для автоматизированных 
рабочих мест на базе автономных ПЭВМ……

 
 
 
83 
 
4.6. 
Защита персональных данных в локальных 
вычислительных сетях…………………………..
 
85 
 
4.7. 
Защита персональных данных в Интернет….. 86 

4.8. 
Защита персональных данных при 
межсетевом взаимодействии…………………..
 
88 
 
4.9. 
Защита персональных данных при работе с 
СУБД………………………………………………..
89 

 
4.10. 
Особенности защиты персональных данных 
в кадровой и бухгалтерской деятельности…..
 
90 
 
4.11. 
Применение методики защиты персональных 
данных ……………………………………………..
 
94 
 
 
 
 
5. 
Автоматизированная система оценки 
организации на соответствие требованиям по 
защите персональных данных ……………………… 
 

 
 
97 

 
5.1. 
Структура автоматизированной системы 
оценки организации на соответствие 
требованиям по защите персональных 
данных……………………………………………...

 
 
98 

 
5.2. 
 Порядок проведения оценки организации на 
соответствие 
требованиям 
по 
защите 
персональных 
данных 
с 
помощью 
автоматизированной системы………………….
 

 
 
 
104 

 
 
 
 
 
Заключение………………………………………………..
 
106 

 
Список литературы……………………………………...
 
107 

 
Приложения………………………………………………. 

 

110 

 

Предисловие 

“Каждый имеет право на неприкосновенность 
частной жизни, личную и семейную тайну, защиту 
своей чести и доброго имени.” 
Ст. 23.ч.1. Конституции 
Российской Федерации 
 
Защита персональных данных была и остается одной из наиболее 
острых проблем в информационных отношениях между гражданами, 
государством и негосударственными организациями. В Конституции (гл. 
2. “Права и свободы гражданина и человека”) и законах Российской 
Федерации можно найти положения, которые признают важность одного 
из фундаментальных прав человека – права на неприкосновенность 
частной жизни. Однако целостной системы и эффективного механизма 
защиты этого права в России до недавнего времени практически не 
было. Между тем, практика вторжения в частную жизнь в настоящее 
время приобрела угрожающие масштабы. Повсеместно собираются 
избыточные персональные данные, отсутствуют гарантии уничтожения 
этих данных; когда цель сбора достигнута, собранные данные 
бесконтрольно 
передаются 
третьим 
лицам, 
мнение 
владельцев 
персональных данных игнорируется.  
Несмотря на важность рассматриваемой проблемы,  в нашей 
стране до недавнего времени не уделялось достаточного внимания 
выполнению работ, связанных с обеспечением информационной 
безопасности персональных данных граждан. Особенно остро данная 
проблема стоит в организациях и на предприятиях. Очевидно, что 
большинство граждан нашей страны являются работающими людьми и 
при трудоустройстве работодатель собирает их персональные данные, 
не всегда обеспечивая надежную защиту. Кроме того, фактически все 
граждане, 
так 
или 
иначе, 
в 
качестве 
клиентов 
и 
партнеров 
взаимодействуют с различными организациями, передавая им свои 
персональные данные без надлежащей защиты. Это было связано, 
прежде 
всего, 
с 
отсутствием 
необходимой 
нормативной 
базы, 
неподготовленностью специалистов и недостаточным практическим 
опытом в области защиты персональных данных. Для предотвращения 
бесконтрольного оборота персональных сведений граждан и защиты 

частной жизни граждан в Российской Федерации 27 июля 2006 года  
принят Федеральный закон №152 «О персональных данных», который 
выдвигает в области защиты информации самые общие требования, не 
опускаясь до конкретных мероприятий, являясь, таким образом, лишь 
набором общих рекомендаций. Так, данный закон гласит, что “оператор 
персональных данных обязан принимать необходимые организационные 
и технические меры … для защиты персональных данных от 
неправомерного или случайного доступа к ним”. Конкретные мероприятия 
по защите персональных данных должна определять организация,  
исходя из собственных возможностей. В 2007 году премьер-министр 
России 
подписал 
“Положение 
об 
обеспечении 
безопасности 
персональных данных при их обработке в информационных системах 
персональных данных”, которым обязал уполномоченные органы ФСБ и 
ФСТЭК разработать более детальные нормативы к Федеральному закону 
№152 «О персональных данных» к 18 февраля 2008 г. При этом к 
означенной дате никаких нормативов не появилось. Лишь во второй 
половине 2008 года опубликован ряд Постановлений Правительства РФ 
[13,14,15], имеющих разъяснительный характер по организации защиты 
персональных данных. Однако данные документы рассматривают лишь 
отдельные аспекты защиты персональных данных. Поэтому в настоящее 
время особо актуальной является необходимость разработки методики, 
позволяющей комплексно решить проблему защиты персональных 
данных. 
Предлагаемая 
работа 
ориентирована 
преимущественно 
на 
рассмотрение нормативно - методических основ защиты персональных 
данных в организации. Общая структура работы включает следующую 
последовательность рассматриваемых вопросов: 
 приводятся основные понятия в сфере персональных данных; 
 излагаются 
вопросы 
хранения, 
обработки 
и 
передачи 
персональных данных в организации; 
 анализируются основные российские и зарубежные нормативноправовые документы и стандарты, используемые при обеспечении 
защиты персональных данных; 
 приводятся требования по защите и обработке персональных 
данных, в том числе и в режиме конфиденциальной информации; 

 даются конкретные методические рекомендации по защите 
персональных данных в организации; 
 представляется 
структура 
специализированной 
автоматизированной системы защиты персональных данных; 
 рассматривается порядок проведения оценки организации на 
соответствие требованиям по защите персональных данных с помощью 
специализированной автоматизированной системы. 
Выбор описанной структуры был сделан с целью максимальной 
ориентации руководителей и специалистов по защите информации на 
практическое 
использование 
рассматриваемого 
материала 
при 
обеспечении защиты персональных данных, а также при создании и 
модернизации комплексных систем защиты информации. 

1. Общие понятия в сфере защиты

персональных данных  

В Трудовом кодексе Российской Федерации N 197 ФЗ от 30.12.2001 
впервые 
появилась 
специальная 
глава, 
посвященная 
защите 
персональных 
данных 
работника 
в 
организации 
(ст. 
85-90). 
Работодатель всегда собирал данные о личности работника. Для этой 
цели использовались «Личный листок» и различные анкеты, а также 
письменные характеристики и т.д. Однако официальная правовая 
регламентация 
обработки 
этих 
данных, 
доступная 
работнику, 
отсутствовала. 
Персональные данные являются важнейшим активом любой 
современной организации и в то же время её серьезной проблемой. 
Утечка персональных данных не выгодна ни организации: она 
испытывает серьезные репутационные потери и получает конфликт с 
законом, ни владельцам этой информации, так как они испытывают как 
минимум беспокойство, а нередко становятся жертвами различных 
афер. При этом, как показывают социологические опросы, российские 
граждане относительно высоко ценят свое право на неприкосновенность 
частной жизни, в то время как требования по защите персональных 
данных выполняются не всегда (рис. 1.1) [23]. 

20,3 % 

46,3 % 

33,4 % 

Все требования выполняются 

Требования выполняются 
частично 

Требования  не выполняются 

Рис. 1.1. Статистический анализ выполнения требований  
ФЗ № 152“О персональных данных” 

1.1. Общие понятия в сфере персональных данных 
в организации 

В Федеральном законе № 197-ФЗ “ Трудовой кодекс Российской 
Федерации ” от 30.12.01 (с изменениями) (далее по тексту – ТК РФ) под 
персональными 
данными 
работника 
понимается 
информация, 
необходимая работодателю в связи с трудовыми отношениями и 
касающаяся конкретного работника (ч.1 ст.85 ТК РФ) [19]. 
Легко заметить, что под указанное определение можно подвести 
любую информацию о работнике. И работодатели нередко собирают о 
сотруднике всю информацию, мотивируя это тем, что хотят иметь 
максимально полное представление о нем. 
Довольно часто от работника требуют сообщить исчерпывающую 
информацию о его семейном положении и ближайших родственниках, о 
жилищных условиях, состоянии здоровья, о фактах привлечения к 
уголовной ответственности, о наличии постоянной регистрации по месту 
жительства и многое другое. Но такого рода информация никаким 
образом не относится к трудовой деятельности работника. Наоборот, 
тем самым работодатель переходит тонкую грань, отделяющую 
персональные данные от сведений, составляющих тайну частной жизни, 
личную или семейную тайну гражданина. 

В свою очередь, принятие Федерального закона Российской 

Федерации от 27 июля 2006 года ФЗ-№152 «О персональных данных» 
(далее по тексту – ФЗ-№152  «О персональных данных») явилось 
ответом законодательной ветви власти на один из наиболее острых 
вызовов современной России – бесконтрольному обороту персональных 
сведений граждан, неуважение к частным данным вообще, а также 
повсеместное распространение личных записей россиян в виде баз 
данных. Настоящим федеральным законом регулируются отношения, 
связанные с обработкой персональных данных, осуществляемой 
федеральными 
органами 
государственной 
власти, 
органами 

государственной власти субъектов Российской Федерации, иными 
государственными 
органами 
(далее 
- 
государственные 
органы), 

органами местного самоуправления, не входящими в систему органов 
местного 
самоуправления 
муниципальными 
органами 
(далее 
- 

муниципальные органы), юридическими лицами, физическими лицами с 
использованием средств автоматизации или без использования таких 
средств, если обработка персональных данных без использования таких 
средств соответствует характеру действий (операций), совершаемых с 
персональными данными с использованием средств автоматизации [21]. 
Согласно 
ст.3 
ФЗ-№152 
«О 
персональных 
данных», 
к 
персональным данным относят любую информацию, принадлежащую 
определенному или определяемому на основании такой информации 
физическому лицу (субъекту персональных данных), в том числе его 
фамилию, имя, отчество, год, месяц, дату и место рождения, адрес, 
семейное, 
социальное, 
имущественное 
положение, 
образование, 
профессию, доходы и другую информацию. 

Объектом 
правоотношений 
здесь 
выступает 
право 
на 

персональные данные — информацию (зафиксированную на любом 
материальном носителе) о конкретном человеке, которая отождествлена или может быть отождествлена с ним. Кроме того, к 
персональным данным в Российской Федерации могут быть отнесены 
сведения, использование которых без согласия субъекта персональных 
данных может нанести вред его чести, достоинству, деловой репутации, 
доброму имени, иным нематериальным благам и имущественным 
интересам (рис. 1.2.). 

Субъектами права здесь выступают: 
• 
лица, к которым относятся соответствующие данные, и их 

наследники; 

• 
держатели персональных данных — органы государственной 

власти и органы местного самоуправления, юридические и физические 
лица, осуществляющие на законных основаниях сбор, хранение, 
передачу, уточнение, блокирование, обезличивание, уничтожение 
персональных данных (баз персональных данных) [21]. 
В ФЗ-№152 «О персональных данных» определены основные 
понятия, которые используются в Российской Федерации при работе с 
персональными данными: 
Обработка персональных данных работника – это действия 
(операции) 
с 
персональными 
данными, 
включающие 
сбор, 
систематизацию, 
накопление, 
хранение, 
уточнение 
(обновление, 

изменение), использование, распространение (в том числе передачу), 
обезличивание, блокирование, уничтожение персональных данных. 

Рис.1.2. Виды персональных данных 

 
Распространение 
персональных 
данных 
- 
действия, 
направленные на передачу персональных данных определенному кругу 
лиц (передача персональных данных) или на ознакомление с 
персональными данными неограниченного круга лиц, в том числе 
обнародование 
персональных 
данных 
в 
средствах 
массовой 
информации, размещение в информационно-телекоммуникационных 
сетях или предоставление доступа к персональным данным каким-либо 
иным способом. 
Использование персональных данных - действия (операции) с 
персональными данными, совершаемые оператором с целью принятия 
решений или совершения иных действий, порождающих юридические 
последствия в отношении субъекта персональных данных или других 

Персональные 
данные 

Биографические, опознавательные 
данные (в т.ч. об обстоятельствах 
рождения, усыновления, развода) 

Сведения 
о 
семейном 
положении (в т.ч. сведения 
о семейных отношениях) 

Сведения об имущественном, 
финансовом положении 

Личные характеристики 
(в т.ч. сведения о личных 
привычках и наклонностях)

Сведения о состоянии 
здоровья 

лиц либо иным образом затрагивающих права и свободы субъекта 
персональных данных или других лиц. 
Блокирование персональных данных - временное прекращение 
сбора, систематизации, накопления, использования, распространения 
персональных данных, в том числе их передачи. 
Уничтожение персональных данных - действия, в результате 
которых невозможно восстановить содержание персональных данных в 
информационной системе персональных данных или в результате 
которых уничтожаются материальные носители персональных данных. 
Обезличивание персональных данных - действия, в результате 
которых невозможно определить принадлежность персональных данных 
конкретному субъекту персональных данных. 
Информационная 
система 
персональных 
данных 
- 
информационная 
система, 
представляющая 
собой 
совокупность 
персональных данных, содержащихся в базе данных, а также 
информационных технологий и технических средств, позволяющих 
обрабатывать такие персональные данные с использованием средств 
автоматизации или без использования таких средств. 
Конфиденциальность персональных данных - обязательное 
для 
соблюдения 
оператором 
или 
иным 
получившим 
доступ 
к 
персональным 
данным 
лицом 
требование 
не 
допускать 
их 
распространение без согласия субъекта персональных данных или 
наличия иного законного основания. 
Трансграничная передача персональных данных - передача 
персональных данных оператором через государственную границу 
Российской Федерации органу власти иностранного государства, 
физическому или юридическому лицу иностранного государства. 
Общедоступные 
персональные 
данные 
- 
персональные 
данные, доступ неограниченного круга лиц к которым предоставлен с 
согласия субъекта персональных данных или на которые в соответствии 
с 
федеральными 
законами 
не 
распространяется 
требование 
соблюдения конфиденциальности. 
Конфиденциальность, сохранность и защита персональных 
данных на предприятиях и в организациях Российской Федерации 
обеспечивается отнесением их к конфиденциальной информации.