Алексей Ветров
Эксперт по защите данных IC-TECH
Да, журнал доступа сотрудников к персональным данным является обязательным элементом организационных мер по защите ПДн. Его задача — фиксировать, кому, когда и на каких основаниях был предоставлен доступ к документам и базам данных, а также когда доступ был отозван.
Наличие такого журнала позволяет:
- документально подтвердить разграничение прав доступа;
- доказать, что организация контролирует обработку данных;
исключить претензии Роскомнадзора о «бесконтрольном» доступе к ПДн.
Что должно быть в журнале
Рекомендуется включить следующие графы:
- ФИО и должность сотрудника.
- Подразделение.
- Дата предоставления доступа.
- Вид персональных данных или база (например, «кадровый архив», «база клиентов CRM»).
- Уровень доступа (чтение, редактирование, администрирование).
- Основание предоставления доступа (приказ, распоряжение, трудовая функция).
- Дата и причина отзыва доступа (увольнение, перевод, приказ).
- Подпись ответственного за регистрацию доступа.
Наличие такого журнала позволяет:
- документально подтвердить разграничение прав доступа;
- доказать, что организация контролирует обработку данных;
исключить претензии Роскомнадзора о «бесконтрольном» доступе к ПДн.
Что должно быть в журнале
Рекомендуется включить следующие графы:
- ФИО и должность сотрудника.
- Подразделение.
- Дата предоставления доступа.
- Вид персональных данных или база (например, «кадровый архив», «база клиентов CRM»).
- Уровень доступа (чтение, редактирование, администрирование).
- Основание предоставления доступа (приказ, распоряжение, трудовая функция).
- Дата и причина отзыва доступа (увольнение, перевод, приказ).
- Подпись ответственного за регистрацию доступа.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан применять меры по предотвращению несанкционированного доступа к ПДн.
- Приказ ФСТЭК № 21 от 18.02.2013 — обязывает вести учёт предоставленных и отозванных прав доступа в ИСПДн.
- ГОСТ Р 57580.1-2017 — закрепляет необходимость ведения учёта доступа и контроля полномочий пользователей.
- Методические рекомендации Роскомнадзора — подчёркивают важность документального подтверждения разграничения доступа.
Практика проверок Роскомнадзора
Инспекторы регулярно запрашивают журналы доступа при проверках. Там, где доступ предоставлялся устно или не фиксировался документально, организациям выдавались предписания об устранении нарушений. В компаниях, где журналы вели систематически и приказы о доступе были приложены, проверка проходила без претензий.
Что важно учитывать компаниям
- Журнал должен быть утверждён приказом руководителя.
- Он ведётся ответственным за ПДн или администратором системы.
- Все изменения (например, перевод сотрудника в другой отдел) фиксируются своевременно.
- Электронный журнал допустим, если исключена возможность редактирования записей задним числом.
Рекомендации и выводы
Да, журнал доступа сотрудников к ПДн — это обязательный документ для любой компании, которая обрабатывает персональные данные. Чтобы действовать правильно:
- Утвердите форму журнала приказом.
- Ведите его систематически с фиксацией всех фактов предоставления и отзыва доступа.
- Храните журнал вместе с приказами о доступе и отзывах.
Компания ICTech поможет вашей организации разработать журнал доступа сотрудников к ПДн, встроить его в пакет документов и наладить процесс его ведения так, чтобы пройти проверку Роскомнадзора без нарушений.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
