Защи́та персональных данных — комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных).
Защита персональных данных включена в раздел охраны труда на предприятии, является самостоятельным элементом. Государство[какое?] гарантирует работникам защиту их персональных данных, а также их права на труд, с учетом использования их персональных данных (например, паспорт).
Обязательные[почему?] (в том числе предварительные) этапы работ по защите персональных данных:
Определить все ситуации, когда требуется проводить обработку персональных данных.
Выделить бизнес-процессы, в которых обрабатываются персональные данные.
Выбрать ограниченное число бизнес-процессов для проведения аналитики. На этом этапе формируется перечень подразделений и сотрудников компании, участвующих в обработке ПДн в рамках своей служебной деятельности.
Определить круг информационных систем и совокупность обрабатываемых ПДн.
Провести категорирование ПДн и предварительную классификацию информационных систем (ИС).
Выработать меры по снижению категорий обрабатываемых ПДн.
Сформировать актуальную модель угроз для каждой информационной системы обработки персональных данных (ИСПДн).
Провести уточнение классов ИС, с последующей подготовкой рекомендаций по использованию технических средств защиты ПДн.
Подать уведомление о начале обработки персональных данных в Уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) для регистрации в качестве оператора ПДн.
Отправить заявку на получение экземпляров руководящих документов ФСТЭК России по организации системы защиты.
Разработать требования для конкретной ИСПДн, с учетом присвоенного класса защиты.
Получение лицензий регулирующих органов (ФСБ, ФСТЭК). Лицензия ФСТЭК России на Техническую защиту конфиденциальной информации нужна только в случае если организация оказывает услуги по созданию системы защиты персональных данных для других лиц. При создании системы защиты персональных данных силами организации (для собственных нужд) как техническими средствами, так и организационными — данная лицензия не нужна.