Журнал регистрации входа сотрудников в архив с персональными данными — один из ключевых инструментов учёта и контроля доступа к помещениям, где хранятся ПДн на бумажных или электронных носителях. Он подтверждает, что доступ к архиву ограничен и фиксируется, что прямо соответствует требованиям ст. 19 ФЗ-152 и Приказа ФСТЭК № 21.
Что включить в журнал
При оформлении журнала необходимо предусмотреть следующие графы:
- Дата входа в архив.
- Время входа и выхода.
- Фамилия, имя, отчество сотрудника.
- Должность или подразделение.
- Основание для входа (служебное задание, распоряжение, работа с документами и т. д.).
- Подпись сотрудника.
- Подпись ответственного за архив (или лица, открывающего доступ).
Форма журнала
Журнал может вестись:
- в бумажной форме — прошнурованный, пронумерованный, скреплённый подписью руководителя и печатью (если есть);
- в электронной форме — с обеспечением невозможности корректировки записей и с регистрацией событий (например, через систему контроля доступа).
Обоснование по законодательству
- Ст. 19 ФЗ-152 — обязывает оператора обеспечивать учёт и контроль доступа к помещениям с ПДн.
- Приказ ФСТЭК № 21 — прямо требует фиксировать факты доступа к архивам и иным помещениям, где обрабатываются ПДн.
- ГОСТ Р 57580.1-2017 — рекомендует ведение журналов учёта для подтверждения контроля доступа.
Практика проверок Роскомнадзора
На проверках Роскомнадзор и ФСТЭК часто требуют показать журнал входа в архив. Если журнал отсутствует или ведётся формально (например, только ответственным лицом, без подписей сотрудников), это фиксируется как нарушение организационных мер защиты. В ряде случаев операторы получали предписания разработать или скорректировать форму журнала.
Что важно учитывать компаниям
- Журнал должен вестись ежедневно, без пропусков и «задним числом».
- Ответственный за архив контролирует заполнение граф и хранение самого журнала.
- Если используется электронная система, организация обязана обеспечить выгрузку данных в отчётной форме при проверке.
Рекомендации и выводы
Журнал входа в архив с ПДн обязателен. Он должен содержать дату, время, ФИО, должность сотрудника, основание входа и подписи. Это один из документов, которые проверяющие требуют в первую очередь.
Компания ICTech разработает для вашей организации готовый журнал учёта входа в архив ПДн, утвердит его приказом и включит в пакет документов по 152-ФЗ.
