ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ НА ПРЕДПРИЯТИЯХ МАЛОГО БИЗНЕСА

PERSONAL DATA PROTECTION IN SMALL BUSINESSES

Alisheva Aina Arsenovna

student, Faculty of Mechanics and Mathematics, Department of Information Systems Security, Samara State University,

Russia, Samara

Patsyuk Alexander Dmitrievich

scientific supervisor, PhD in Technical Sciences, Associate Professor, Department of Information Systems Security, Samara State University,

Russia, Samara

АННОТАЦИЯ

Рассмотрены вопросы обеспечения защиты персональных данных в организациях малого и среднего бизнеса.

Представлены основные нормативно-правовые документы, регулирующие вопросы обеспечения защиты персональных данных.

Сформулированы рекомендации по защите ПДн для малого бизнеса.

ABSTRACT

The issues of ensuring the protection of personal data in small and medium-sized businesses are considered.

The main regulatory documents regulating the issues of personal data protection are presented.

Recommendations on the protection of personal data for small businesses are formulated.

Ключевые слова: информационная безопасность, персональные данные, защита информации.

Keywords: information security, personal data, information protection.

Введение

Защита персональных данных (ПДн) на предприятиях малого бизнеса имеет ряд особенностей по сравнению с крупными компаниями. Эти отличия связаны с ограниченными ресурсами, структурой управления и спецификой обработки данных. Однако важно понимать, что закон №152-ФЗ [4] «О персональных данных» распространяется на все организации, включая малый бизнес, и требует соблюдения базовых требований.

Специфические особенности малых предприятий по защите информации

К особенностям работы малых предприятий по защите информации можно отнести следующие.

Ограниченные ресурсы

Малые предприятия часто работают с меньшим бюджетом и штатом, что влияет на подходы к защите ПДн:

• Меньше технических возможностей. Не всегда есть средства на внедрение сложных систем защиты (DLP, межсетевые экраны, криптографические решения). В таких случаях акцент делается на простых и доступных мерах, например, использовании паролей, шифровании данных в облачных сервисах или виртуальных серверах.
• Ограниченное количество сотрудников. В малых компаниях часто нет специализированного отдела информационной безопасности. Обязанности по защите ПДн могут возлагаться на одного сотрудника (например, руководителя, бухгалтера или кадровика), который совмещает эту работу с другими задачами.

Упрощённая структура управления

В малом бизнесе процессы обычно менее формализованы, что требует адаптации подходов:

• Назначение ответственного. Ответственным за обработку ПДн может быть сам ИП или руководитель организации, если сотрудников немного. Это упрощает координацию, но требует от ответственного глубокого понимания требований закона.
• Локальные документы. Пакет документов (политика обработки данных, положения, приказы) может быть менее объёмным, чем в крупных компаниях, но должен включать ключевые элементы: цели обработки, права субъектов данных, порядок доступа и уничтожения данных. Часто используются шаблоны, адаптированные под специфику малого бизнеса.

Специфика обработки данных

Малые предприятия часто работают с меньшим объёмом данных и в более простых системах:

• Использование типовых инструментов. Данные могут храниться в таблицах Excel, Google-Таблицах, CRM-системах или на личных компьютерах сотрудников. Это требует особого внимания к безопасности этих инструментов: например, настройки доступа в облачных сервисах, использование паролей для файлов.
• Меньшая автоматизация. В малых компаниях чаще встречается неавтоматизированная обработка данных (на бумажных носителях). В этом случае акцент делается на физической защите: хранение в сейфах, ограничение доступа к помещениям.

Особенности регистрации и взаимодействия с Роскомнадзором

• Обязательность уведомления. Малые предприятия, как и крупные, обязаны уведомить Роскомнадзор о начале обработки ПДн, если нет оснований для освобождения (например, при неавтоматизированной обработке). С 2025 года форма уведомления изменилась, и для каждой цели обработки нужно указывать категории данных, субъектов, способы обработки и правовое основание.
• Упрощённые процедуры. Для малого бизнеса могут быть доступны онлайн-сервисы для подачи уведомлений через сайт Роскомнадзора или Госуслуги, что упрощает процесс.

Риски и ответственность

Малые предприятия подвержены тем же штрафам за нарушения, что и крупные компании, но их финансовые последствия могут быть более ощутимыми:

• Штрафы. Например, за отсутствие уведомления в Роскомнадзоре юрлицу грозит штраф до 300 тыс. рублей, ИП — до 50 тыс.руб. За утечку данных штрафы могут достигать значительных сумм.
• Репутационные риски. Нарушения могут привести к потере доверия клиентов и сотрудников, что особенно критично для малого бизнеса.

Основные нормативно-правовые документы по защите ПДн

Основными нормативно-правовыми документами, регулирующими работу с ПДн и обеспечение их безопасности, являются следующие:

1. Федеральный закон «О персональных данных» № 152 [4].
2. Постановление Правительства РФ № 1119 [1]. Описывает требования и меры по защите персональных данных при их обработке в информационных системах. Цель документа – установление требований к защите персональных данных и уровням их защищенности.
3. Приказ ФСТЭК № 21. [3]. Описывает организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах.
4. Приказ ФСБ РФ № 378 [2]. Описывает применение криптографических средств для защиты ПДн. Для работы малых предприятий документ мало актуален.

Рекомендации для малого бизнеса

1. Использовать готовые решения. Например, шаблоны документов, облачные сервисы с встроенной защитой данных, сервисы для получения согласий.
2. Фокусироваться на ключевых мерах. Ограничить доступ к данным только для необходимых сотрудников, использовать шифрование при передаче данных, регулярно менять пароли.
3. Проводить обучение сотрудников. Даже в малых компаниях важно информировать работников о правилах работы с ПДн и последствиях нарушений.
4. Регулярно обновлять документы. Учитывать изменения в законодательстве, например, новые требования к согласиям с 2025 года.
5. Проводить аудит. Хотя бы раз в год проверять соответствие процессов обработки данных требованиям закона, можно с привлечением внешних экспертов.

Выводы

1. Предприятия малого и среднего бизнеса обладают значительно меньшими материальными и кадровыми ресурсами по сравнению с крупными предприятиями, однако требования нормативных документов по защите информации одинаковы для всех.
2. Представленные рекомендации позволяют малым предприятиям обеспечить требуемый уровень защищенности информационных ресурсов.

Список литературы:

1. Нормативно-правовой акт. Постановление Правительства РФ от 1 ноября 2012 г. № 1119 [Электронный ресурс].  –  URL: https://base.garant.ru/ 70252506 (дата обращения: 10.02.2026).
2. Нормативно-правовой акт. Приказ ФСБ РФ от 10 июля 2014 г. № 378 [Электронный ресурс]. – URL: https://base.garant.ru/70727118/ (дата обращения: 10.02.2026).
3. Нормативно-правовой акт. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. –  URL: https://fstec.ru/dokumenty/vse-dokumenty/ prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 10.02.2026).
4. Нормативно-правовой акт. Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ [Электронный ресурс]/ КонсультантПлюс – URL: https://www.consultant.ru/document/cons_doc_LAW_61801/ (дата обращения: 10.02.2026).