Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры для обеспечения безопасности ПДн, включая предотвращение несанкционированного доступа.
- Приказ ФСТЭК № 21 от 18.02.2013 — определяет меры по разграничению прав доступа к ПДн.
- ГОСТ Р 57580.1-2017 (рекомендательный стандарт) — требует документальной фиксации разграничения доступа, в том числе к архивам.
Какие документы оформляются на практике
- Перечень лиц, имеющих доступ к архиву — утверждённый руководителем список сотрудников с правом работы с архивами.
- Приказ о допуске к архиву с ПДн — закрепляет конкретных работников, которым предоставлен доступ.
- Положение или регламент доступа к архивам — определяет порядок входа, хранения и работы с документами, условия сопровождения и ответственности.
- Журнал входа в архивное помещение — фиксирует каждое посещение, что подтверждает соблюдение правил.
- Обязательства сотрудников о неразглашении ПДн — дополнительно закрепляют ответственность за работу с архивами.
Практика Роскомнадзора
На проверках инспекторы уделяют особое внимание разграничению доступа к архивам, где хранятся бумажные носители с персональными данными. Там, где нет приказов о допуске или перечня лиц с правом доступа, Роскомнадзор расценивает это как отсутствие организационных мер защиты ПДн. В организациях, где есть формализованные списки и журналы, нарушений не выявляется.
Вывод
Для подтверждения разграничения доступа к архивам с ПДн компания должна иметь как минимум: приказ о допуске сотрудников, перечень лиц с правом доступа и журнал посещений архива. Эти документы показывают, что контроль организован, а доступ к данным ограничен и управляем.
Компания IC-TECH поможет с разработкой полного пакета документов, включая приказы, журналы и регламенты о допуске сотрудников к архивам с ПДн.
