Как составить перечень лиц, имеющих доступ к ПДн?

Перечень лиц, имеющих доступ к персональным данным, — один из обязательных документов по ФЗ-152. Он подтверждает, что оператор ограничивает круг сотрудников, работающих с данными, и выполняет требование минимизации доступа. Такой документ обязателен при проверке Роскомнадзора, и его отсутствие рассматривается как нарушение организационных мер защиты ПДн.

Как правильно составить перечень:

1. Определите процессы обработки — кадровый учёт, бухгалтерия, работа с клиентской базой, IT-поддержка.
2. Определите категории сотрудников, которым необходим доступ: кадровики, бухгалтеры, юристы, администраторы систем, маркетологи (если они работают с клиентскими контактами).
3. Составьте список сотрудников с доступом — ФИО, должность, подразделение.
4. Укажите уровень доступа: просмотр, редактирование, ввод, уничтожение, передача.
5. Установите основание доступа — служебные обязанности по должностной инструкции или приказ о допуске.
6. Закрепите документ приказом руководителя и обновляйте при изменениях в штате или должностных функциях.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан ограничивать доступ к ПДн только тем сотрудникам, которым он необходим для выполнения обязанностей.
• Ст. 19 ФЗ-152 — требует принятия мер по предотвращению несанкционированного доступа.
• Приказ ФСТЭК № 21 от 18.02.2013 — предписывает вести учёт сотрудников, допущенных к работе с ПДн.
• Ст. 90 ТК РФ — закрепляет обязанность работников сохранять конфиденциальность персональных данных.

Практика проверок Роскомнадзора

В одной компании не смогли предоставить перечень сотрудников, имеющих доступ к базе клиентов. Проверка признала это нарушением и обязала составить документ. В другой организации был подготовлен детализированный перечень с разграничением прав доступа. РКН отметил такой подход как пример корректного выполнения закона.

Что важно учесть при составлении

• Перечень должен обновляться при приёме, переводе или увольнении сотрудников.
• Лучше указывать не только имена, но и объекты доступа (например, «база 1С», «договоры в архиве», «журнал обращений клиентов»).
• В документе должны быть подписи ответственного за ПДн и руководителя.
• Для систем с техническим доступом (IT-администраторы) важно указать особенности и ограничения их прав.

Рекомендации и выводы

Да, перечень лиц, имеющих доступ к ПДн, обязателен. Чтобы составить его правильно:

1. Проанализируйте все процессы, где обрабатываются ПДн.
2. Составьте список сотрудников и их уровней доступа.
3. Утвердите документ приказом руководителя.
4. Регулярно обновляйте и храните вместе с приказами о допуске и журналами доступа.

Компания ICTech разработает для вашей организации перечень сотрудников с доступом к ПДн, а также полный пакет документов по ФЗ-152. Это позволит доказать законность доступа и пройти проверку без нарушений.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге