Доступ сторонних лиц (например, подрядчиков, аудиторов, представителей госорганов) к персональным данным должен быть строго контролируемым и документируемым. Это не только требование ФЗ-152, но и ключевая мера для предотвращения несанкционированного использования данных.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры для предотвращения несанкционированного доступа к ПДн.
- Приказы ФСТЭК и ФСБ закрепляют необходимость фиксации всех случаев доступа к информации, содержащей персональные данные.
- ГОСТ Р 57580.1-2017 прямо указывает на ведение журналов и актов, подтверждающих доступ к конфиденциальной информации.
Какие документы используются
- Журнал регистрации доступа сторонних лиц
- фиксирует ФИО, организацию, основание доступа (приказ, договор, доверенность), дату, время входа/выхода, сотрудника, предоставившего доступ, и подписи обеих сторон.
- Акт предоставления доступа
- составляется при разовом или временном доступе, подписывается ответственным за ПДн и представителем сторонней организации.
- Приказ/договор/допсоглашение
- определяет правовые основания для доступа (например, выполнение услуг по договору).
Практика проверок Роскомнадзора
РКН при проверках часто запрашивает не только журнал, но и акты, подтверждающие, что доступ был предоставлен в рамках договора или поручения. В случаях, когда компания не могла показать документы по сторонним визитам (например, ИТ-подрядчика, получившего доступ к базе клиентов), это квалифицировалось как нарушение. Также РКН указывал, что устные распоряжения о доступе не соответствуют требованиям защиты ПДн.
Что важно учитывать
- Документация должна храниться у ответственного за ПДн.
- При электронном доступе (например, через VPN) факт доступа фиксируется в логах, но этого недостаточно — должен быть ещё и приказ или акт.
- Для подрядчиков в договоре нужно прописывать порядок доступа и обязательство по соблюдению конфиденциальности.
Рекомендации и выводы
Факт доступа сторонних лиц к ПДн документируется комплексно: через журналы, акты и договорные документы. Это даёт юридическое подтверждение законности доступа и снижает риски штрафов при проверках.
