Оформление допуска сотрудника к персональным данным — это целый комплекс действий, который должен быть закреплён документально. Важно понимать: простой устной договорённости или факта приёма на работу недостаточно. Допуск нужно подтвердить внутренними документами, чтобы компания могла доказать Роскомнадзору, что доступ ограничен и контролируется.
Этапы оформления допуска сотрудника к ПДн:
- Определение круга сотрудников — руководитель или ответственный за ПДн определяет, кому доступ необходим для выполнения обязанностей.
- Издание приказа — утверждается приказ о допуске к ПДн, где указываются ФИО сотрудника, должность и объём его прав (чтение, ввод, изменение, передача и т.д.).
- Заключение обязательства о неразглашении — сотрудник подписывает документ о сохранении конфиденциальности и ответственности за утечку.
- Ознакомление с локальными актами — сотрудника под роспись знакомят с политикой в области ПДн, положением об обработке, регламентами доступа и уничтожения.
- Инструктаж и обучение — проводится инструктаж по работе с ПДн и фиксируется в журнале.
- Документирование — все действия (приказ, обязательства, ознакомления) хранятся в личном деле сотрудника или в отдельной папке по ПДн.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — доступ к ПДн должен иметь только ограниченный круг сотрудников.
- Ст. 19 ФЗ-152 — оператор обязан принимать организационные меры по защите ПДн, включая разграничение доступа.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документального оформления порядка допуска к ПДн.
- Ст. 13.11 КоАП РФ — нарушение порядка допуска к ПДн квалифицируется как административное правонарушение.
Практика проверок Роскомнадзора
- В одной компании сотрудники отдела маркетинга имели фактический доступ к базе клиентов, хотя приказа о допуске не было. РКН указал на нарушение принципа ограниченного доступа.
- В другой организации приказы, обязательства и журналы инструктажей были оформлены и хранились централизованно. Проверка подтвердила полное соответствие требованиям закона.
- Роскомнадзор также отмечает, что «допуск по умолчанию» (например, у всех сотрудников отдела) недопустим — права доступа должны быть индивидуально зафиксированы.
Важные моменты
- В приказе желательно указывать не только имя сотрудника, но и конкретные информационные системы или документы, к которым предоставлен доступ.
- Сотрудника следует ознакомить с ответственностью за нарушения (например, дисциплинарной и административной).
- При увольнении или переводе доступ должен быть аннулирован отдельным приказом.
- Допуск оформляется не один раз, а корректируется по мере изменения состава сотрудников или их функций.
Рекомендации и выводы
Да, допуск сотрудника к ПДн оформляется строго документально. Чтобы правильно организовать этот процесс:
- Определите круг лиц, которым нужен доступ.
- Издайте приказ с указанием прав доступа.
- Подпишите с сотрудником обязательство о неразглашении.
- Ознакомьте его с локальными актами и проведите инструктаж.
- Обеспечьте хранение документов и своевременное обновление.
Компания ICTech поможет вашей организации правильно оформить доступ сотрудников к ПДн: разработает приказы, обязательства, журналы и инструкции. Это не только обеспечит соответствие ФЗ-152, но и реально защитит бизнес от претензий и штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
