Должен ли быть документ о назначении ответственного за архивы с ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, в организациях, которые хранят персональные данные в бумажных архивах или специальных хранилищах, целесообразно оформлять отдельный документ о назначении ответственного за архив. Закон прямо не устанавливает обязанность выделять именно "ответственного за архив", но в совокупности требований ФЗ-152 и архивного законодательства (ФЗ-125 "Об архивном деле") вытекает, что должен быть назначен сотрудник, который обеспечивает сохранность и защиту архивных документов с персональными данными.

На практике это оформляется приказом руководителя организации, где указывается:

- ФИО сотрудника;
- его должность;
- перечень обязанностей (соблюдение мер защиты, контроль доступа, взаимодействие с Роскомнадзором и иными органами при проверках).

Таким образом, организация должна либо возложить функции по архивам на уже назначенного ответственного за обработку ПДн, либо закрепить их за отдельным сотрудником, если масштабы деятельности этого требуют.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принимать организационные меры для защиты ПДн, в том числе назначать ответственных лиц.
• Ст. 22.1 ФЗ-152 — оператор обязан документально подтверждать меры по обеспечению безопасности ПДн.
• ФЗ-125 «Об архивном деле в РФ», ст. 17 — руководитель организации обеспечивает сохранность архивных документов.
• Приказ Минкультуры РФ № 558 от 31.03.2015 — требует назначать лиц, ответственных за организацию архивного хранения документов.

Практика проверок Роскомнадзора

РКН при проверках уделяет внимание архивам с бумажными документами. В ряде случаев штрафы назначались не за утечки из информационных систем, а за несоблюдение правил хранения бумажных носителей (отсутствие контроля доступа, хранение без учёта). Организации, где был назначен отдельный ответственный за архивы и велся журнал доступа, проходили проверки без замечаний.

Что важно учитывать компаниям

Если архив небольшой, обязанности можно закрепить за ответственным по ПДн в общем приказе. Если архив обширный (например, в медучреждениях, школах, банках), логично оформить отдельный приказ и регламент, где будут расписаны правила доступа, хранения и уничтожения документов.

Рекомендации и выводы

Да, документ о назначении ответственного за архивы с ПДн необходим — это подтверждает, что организация выполнила требование о мерах защиты бумажных носителей. Рекомендуем:

1. Издать приказ руководителя о назначении ответственного за архивы.
2. Закрепить его обязанности в должностной инструкции и локальном положении об архиве.
3. Вести журналы доступа и учёта документов.
4. Включить архивные процессы в общий пакет документов по ФЗ-152.

Компания ICTech может подготовить полный пакет документов, включая приказы, положения и журналы, которые закроют все вопросы по архивам с ПДн и обеспечат соответствие ФЗ-152 и архивному законодательству.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге