Алексей Ветров
Эксперт по защите данных IC-TECH
Да, приказ (или иной локальный акт) о предоставлении доступа сотрудников к конкретным базам персональных данных должен быть. Закон не требует прямо именно «приказа», но закрепляет обязанность оператора разграничивать доступ к ПДн. На практике это реализуется через:
- приказы руководителя о допуске конкретных сотрудников к отдельным информационным системам или архивам;
- журналы учёта доступа, где фиксируется, кому и на каких основаниях предоставлен доступ;
- регламент или положение о доступе, утверждённое руководителем, где указаны категории сотрудников и их права.
Таким образом, приказ о доступе к конкретным базам ПДн — это наиболее удобная и проверяемая форма, которую Роскомнадзор принимает как подтверждение выполнения требований закона.
- приказы руководителя о допуске конкретных сотрудников к отдельным информационным системам или архивам;
- журналы учёта доступа, где фиксируется, кому и на каких основаниях предоставлен доступ;
- регламент или положение о доступе, утверждённое руководителем, где указаны категории сотрудников и их права.
Таким образом, приказ о доступе к конкретным базам ПДн — это наиболее удобная и проверяемая форма, которую Роскомнадзор принимает как подтверждение выполнения требований закона.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры, направленные на предотвращение несанкционированного доступа к ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 (требования к защите ПДн в ИСПДн) — устанавливает необходимость разграничения доступа и учёта полномочий пользователей.
- ГОСТ Р 57580.1-2017 — требует фиксировать порядок предоставления и прекращения доступа к данным.
Практика Роскомнадзора
При проверках Роскомнадзор часто требует документы, подтверждающие, что доступ сотрудников к базам ПДн формализован. Там, где действовали приказы с конкретным перечнем сотрудников, инспекторы признавали это достаточной мерой. В случаях, когда доступ предоставлялся устно, без фиксации, организации получали предписания устранить нарушения.
Что важно учитывать компаниям
- Приказы должны содержать: ФИО сотрудника, его должность, перечень баз или архивов, к которым предоставляется доступ, и уровень прав (просмотр, изменение, администрирование).
- Следует оформлять отдельный приказ при изменении состава сотрудников или уровня доступа.
- Важно вести учёт отзыва доступа — например, при увольнении или переводе сотрудника.
Рекомендации и выводы
Да, приказ о доступе к конкретным базам ПДн является обязательным элементом системы защиты. Чтобы соответствовать ФЗ-152:
- Издайте приказы или распоряжения о предоставлении доступа с конкретизацией прав сотрудников.
- Ведите журнал учёта и отзывов доступа.
- Обновляйте документы при изменении кадрового состава.
Компания ICTech поможет вашей организации разработать приказы о доступе, регламенты и журналы, чтобы ваша система защиты ПДн соответствовала требованиям Роскомнадзора и ФСТЭК.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
