Защита персональных данных в университетах: нормы и рекомендации. Часть 1

С такими вопросами отправились к экспертам. Консультант по информбезопасности компании «Киберинтеллектуальная трансформация» Наталья Лабынцева подготовила подробнейший материал, а мы дополнили его мнением директора дирекции по информбезопасности Томского государственного университета Тимура Газизова. Публикуем первую часть, в которой расскажем об истории вопроса, нормативных актах, мерах защиты и процедуре уведомления Роскомнадзора.

База

Персональные данные (или сокр. ПДн) — это вся информация, связанная с физическим лицом, которая позволяет прямо или косвенно установить его личность. Это могут быть такие сведения, как фамилия, имя, отчество, пол, дата и место рождения, адрес проживания, уровень образования, семейное положение и прочее. Важно подчеркнуть, что данные становятся персональными лишь тогда, когда они связаны с конкретным человеком. Простой электронный адрес или телефонный номер сами по себе не считаются персональными данными, однако если они сочетаются с именем и фамилией, то попадают под категорию персональных данных, так как позволяют однозначно идентифицировать физическое лицо.

История вопроса в России

Первое юридическое определение понятию «персональные данные» было дано в России в 1995 году, в Федеральном законе № 24-ФЗ «Об информации, информатизации и защите информации», принятом 20 февраля 1995 года. Статья 2 указанного закона определяет персональные данные как «сведения о фактах, событиях и обстоятельствах жизни гражданина, позволяющие идентифицировать его личность». Именно эта формулировка долгое время служила основой для правового регулирования вопросов, связанных с обработкой и защитой личных данных граждан.

Однако современное регулирование персональных данных главным образом основывается на другом федеральном законе — Федеральный закон № 152-ФЗ «О персональных данных», вступивший в силу в июле 2006 года. Этот закон расширил и уточнил содержание предыдущего определения, став основным инструментом регулирования отношений в области обработки персональных данных.

Сегодня

Для любого оператора ПДн, включая высшие учебные заведения, обязательны к выполнению требования, установленные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ) и его подзаконными актами, в частности:

• Постановление Правительства Российской Федерации (далее – РФ) от 01.11.2012 № 1119 «Об утверждении требований к защите ПДн при их обработке в информационных системах ПДн»;
• Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации»;
• Постановление Правительства РФ от 06.07.2008 № 512 «Об утверждении требований к материальным носителям биометрических ПДн и технологиям хранения таких данных вне информационных систем ПДн»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн»;
• Приказ ФСБ России от 10.07.2014 № 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством РФ требований к защите ПДн для каждого из уровней защищенности»;
• Приказ ФСБ России от 13.02.2023 № 77 «Об утверждении порядка взаимодействия операторов с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ, включая информирование ФСБ России о компьютерных инцидентах, повлекших неправомерную передачу (предоставление, распространение, доступ) ПДн»;
• Приказ Роскомнадзора от 19.06.2025 № 140 «Об утверждении требований к обезличиванию ПДн и методов обезличивания ПДн, за исключением случаев, указанных в пункте 9.1 части 1 статьи 6 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О ПДн»;
• Приказ Роскомнадзора от 28.10.2022 № 179 «Об утверждении Требований к подтверждению уничтожения ПДн».

Приведенный перечень не является исчерпывающим, существует еще множество нормативных и методических документов от регулирующих органов, которые необходимо учитывать и соблюдать при обработке ПДн. Стоит отметить, что установленные требования направлены не только на защиту ПДн как информации, но и на защиту самих субъектов ПДн (тех, к кому относятся обрабатываемые ПДн) и их прав.

Меры защиты, которые должен реализовать университет

• назначить ответственного за обработку ПДн в учреждении;
• определить актуальные угрозы безопасности ПДн при их обработке в автоматизированных системах вуза (например, системы 1С, Moodle и т.д.);
• для каждой автоматизированной системы определить уровень защищенности ПДн, который необходимо обеспечивать;
• определить организационные и технические меры по безопасности, которые будут обеспечивать заданный уровень защищенности ПДн, спроектировать и внедрить их (проще говоря, создать комплексную систему защиты ПДн);
• обеспечивать безопасность ПДн при неавтоматизированной обработке;
• вести учет машинных носителей ПДн;
• проводить периодические аудиты, внутренние контроли и оценки эффективности реализованных защитных мер;
• осуществлять ознакомление работников с внутренними документами, определяющими правила обработки и защиты ПДн, а также проводить обучение по соответствующим вопросам;
• уничтожать ПДн в соответствии с требованиями, установленными нормативными актами, и с использованием средств, в составе которых реализована функция уничтожения информации и в отношении которых проведена процедура оценки соответствия (сертификация или самостоятельная оценка);
• обнаруживать факты несанкционированного доступа к ПДн, взаимодействовать с ФСБ России и Роскомнадзором в случае обнаружения утечки ПДн, а также принимать меры по обнаружению, предупреждению и ликвидации последствий компьютерных атак и по реагированию на инциденты, в т.ч. восстанавливать ПДн при их модификации или уничтожении.

Для вуза 152‑ФЗ – это не «где‑то там закон», а чек‑лист, по которому вас будут штрафовать и по которому вас будут проверять. Базовый набор такой: понятные документы (политика ПДн, приказы, регламенты), назначенный ответственный, разграничение прав доступа и нормальная техническая защита – шифрование, антивирус, МЭ, контроль доступа, журналирование. В 2026 году на этом уже не остановиться: без сертифицированных СЗИ и нормального мониторинга (SIEM, EDR, VPN уровня ViPNet, как заложено в проекте по развитию ИБ ТГУ на 2026) вы просто живёте в режиме «на авось»

Процедура уведомления Роскомнадзора о сборе и обработке персональных данных

Когда уведомлять

Стоит отметить, что уведомить Роскомнадзор необходимо до начала сбора и обработки ПДн. То есть первоначально университет уведомляет о своем намерении обрабатывать ПДн и регистрирует себя как оператора ПДн в системе Роскомнадзора. Согласно статье 22 152-ФЗ, существует 3 исключения, когда можно обрабатывать ПДн без уведомления Роскомнадзора:

• обрабатываются ПДн, которые включены в государственные информационные системы, созданные в целях защиты безопасности государства и общественного порядка (исключение не относится к деятельности университета);
• ПДн обрабатываются исключительно без использования средств автоматизации, то есть только «бумажная обработка»;
• ПДн обрабатываются в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства (исключение не относится к деятельности вуза).

Таким образом, практически все университета обязаны уведомить Роскомнадзор о намерении обрабатывать ПДн.

Как уведомлять

Процедура уведомления Роскомнадзора представляет собой заполнение анкеты-уведомления и ее отправку в уполномоченный орган. Уведомление должно содержать следующие сведения:

• наименование и адрес оператора;
• цели обработки ПДн;
• категории ПДн, категории субъектов ПДн, правовые основания обработки, перечень действий с ПДн и способы их обработки (указываются для каждой цели);
• описание мер, предусмотренных статьями 18.1 и 19 152-ФЗ, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
• сведения об ответственном за организацию обработки ПДн (фамилия, имя, отчество или наименование юридического лица, контактные данные);
• дата начала обработки ПДн;
• срок или условия прекращения обработки ПДн;
• сведения об осуществлении (отсутствии) трансграничной передачи ПДн;
• сведения о местонахождении баз данных, в которых обрабатываются ПДн граждан РФ;
• фамилия, имя, отчество физического лица или наименование юридического лица, имеющих доступ и (или) осуществляющих на основании договора обработку ПДн, содержащихся в государственных и муниципальных информационных системах;
• сведения об обеспечении безопасности ПДн в соответствии с требованиями, установленными Постановлением Правительства РФ от 01.11.2012 № 1119.

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Стоит отметить, что уведомление в бумажном виде необходимо направить в территориальный орган Роскомнадзора по месту регистрации оператора. Бумажную форму для заполнения можно скачать с официального портала Роскомнадзора. На данном портале также можно сформировать уведомление и направить его в электронном виде с использованием средств аутентификации ЕСИА (Госуслуги) либо с использованием усиленной квалифицированной электронной подписи (должен быть установлен плагин КриптоПро ЭЦП Browser plug-in и настроена работа с ним). На портале Роскомнадзора опубликована памятка о заполнении соответствующей формы.

После получения анкеты-уведомления Роскомнадзор вносит всю предоставленную информацию в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности ПДн, являются общедоступными.

Изменения в данных

Вуз как оператор ПДн должен информировать Роскомнадзор об изменениях в данных, которые были указаны в уведомлении, то есть, проще говоря, информировать об изменениях в процессах обработки ПДн. При этом уведомить об изменениях необходимо не позднее 15-го числа месяца, следующего за месяцем, в котором возникли такие изменения. Например, если изменения возникли 18 февраля 2026 года, то подать актуальные данные необходимо до 15 марта. В случае прекращения обработки ПДн университет обязан уведомить об этом Роскомнадзор в течение 10 рабочих дней с даты прекращения. Формы уведомлений об изменениях в обработке ПДн или прекращении обработки так же опубликованы на официальном портале Роскомнадзора.

Политика обработки персональных данных вуза: требования регуляторов

Для того чтобы политика обработки ПДн соответствовала требованиям законодательства, в ней необходимо зафиксировать все фактически осуществляемые в университете процессы обработки ПДн. Так, согласно 152-ФЗ, политика обработки ПДн должна определять:

• цели обработки ПДн;
• законные основания для обработки ПДн;
• категории субъектов ПДн, чьи данные обрабатываются;
• категории обрабатываемых ПДн (специальные, биометрические, общедоступные и иные ПДн);
• полный перечень обрабатываемых ПДн;
• способы обработки ПДн;
• сроки обработки и хранения ПДн;
• порядок уничтожения ПДн;
• сведения о реализуемых требованиях к защите ПДн;
• обязанности и права ВУЗ как оператора ПДн;
• права субъектов ПДн, чьи данные обрабатываются.

Таким образом, политика отображает то, как вуз обрабатывает и защищает ПДн. При этом политика не должна содержать чувствительных данных, которые могут нанести вред учреждению или субъектам ПДн, поскольку политика является общедоступным документом. Согласно части 2 статьи 18.1 152-ФЗ, операторы обязаны обеспечить неограниченный доступ к политике – опубликовать ее на своем официальном сайте. При этом рекомендуется на каждой странице сайта разместить ссылку на соответствующую политику (например, закрепив ссылку в нижнем колонтитуле сайта). Данная рекомендация опирается на часть 2 статьи 18.1 152-ФЗ, где указано, что: «Оператор, осуществляющий сбор ПДн с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети, в том числе на страницах принадлежащего оператору сайта в сети «Интернет», с использованием которых осуществляется сбор ПДн, документ, определяющий его политику…».