Лишение сотрудника доступа к персональным данным — это обязательная мера при увольнении, переводе на другую должность или при отзыве доверенности. Этот процесс должен быть оформлен документально, иначе компания рискует при проверке Роскомнадзора не доказать, что доступ был реально ограничен.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан обеспечить защиту ПДн, включая ограничение доступа только уполномоченным лицам.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документировать процедуры управления доступом.
- Трудовой кодекс РФ, ст. 22 — работодатель обязан фиксировать права и обязанности работников, а также корректировать их при изменении условий работы.
Какие документы использовать
- Приказ об отзыве допуска — основной документ, которым руководитель лишает сотрудника права работы с ПДн (например, «в связи с увольнением», «в связи с переводом»).
- Журнал учёта доступа — вносят запись о прекращении полномочий с указанием даты и основания.
- Акт передачи документов и носителей ПДн — фиксирует, что сотрудник сдал все материалы, к которым имел доступ.
- Протокол технических мер (при доступе к ИСПДн) — подтверждает блокировку учётных записей, отзыв паролей, ключей ЭЦП.
Практика проверок Роскомнадзора
РКН уделяет внимание именно документированию. Например, в одной проверке оператор уволил сотрудника, но не отозвал его права в ИСПДн — формально приказ был, но учётная запись продолжала работать. В предписании потребовали не только корректировать порядок отзыва доступа, но и вести акты блокировки технических средств.
Что важно учесть компаниям
- Лишение доступа должно сопровождаться не только приказом, но и фактическими действиями: блокировкой логина, сменой пароля, изъятием носителей.
- Все этапы фиксируются документально (акт, запись в журнале, отметка в протоколе).
- Ответственный за ПДн должен контролировать процедуру и хранить подтверждающие документы.
Рекомендации и выводы
Документировать отзыв доступа нужно комплексно: приказ, акт передачи материалов, журнал учёта и подтверждение технических мер. Такой подход покажет, что организация реально контролирует права доступа и выполняет требования закона. Компания ICTech может разработать для вас шаблоны приказов, журналов и актов для корректного документирования отзывов доступа к ПДн.
