Хранение архивов с персональными данными (ПДн) требует отдельного документального оформления, так как связано с соблюдением сроков хранения, обеспечением безопасности и регламентированием доступа. При проверках Роскомнадзор всегда обращает внимание на архивы, особенно бумажные.
Перечень обязательных документов
- Положение (или регламент) об архивном хранении ПДн — определяет порядок передачи данных в архив, сроки хранения, условия доступа, порядок уничтожения по окончании сроков.
- Перечень документов, содержащих ПДн, с указанием сроков хранения — составляется на основе законодательства и внутренних потребностей компании.
- Приказ о назначении ответственного за архив — закрепляет должностное лицо, которое обеспечивает сохранность и контроль доступа к архиву.
- Журнал передачи дел в архив — фиксирует, какие документы и в каком виде переданы на хранение.
- Журнал доступа в архив — отражает, кто, когда и для каких целей получал доступ к архивным материалам.
- Акты уничтожения архивных дел по окончании сроков хранения — подтверждают, что организация соблюдает требования по срокам и корректно утилизирует документы.
- Инструкции по обеспечению безопасности архивов — устанавливают физическую и техническую защиту (сейфы, замки, ограниченный доступ, пароли).
Обоснование по законодательству
- Ст. 5 ФЗ-152 (ч. 7) — хранение ПДн должно осуществляться не дольше, чем это требуется целями обработки, после чего данные подлежат уничтожению или обезличиванию.
- Ст. 18.1 ФЗ-152 — оператор обязан документировать действия по обработке данных, в том числе порядок хранения.
- Ст. 19 ФЗ-152 — оператор должен принимать меры безопасности, включая организационные документы.
- Федеральный закон № 125-ФЗ «Об архивном деле в РФ» — регулирует общие правила архивного хранения документов.
Практика и подход Роскомнадзора
При проверках инспекторы часто запрашивают именно журналы передачи документов в архив и приказы о назначении ответственных. В одной организации архив хранился в шкафах без учёта доступа — Роскомнадзор признал это нарушением. В другой компании был полный пакет: регламент, журналы, акты уничтожения — это подтвердило системный подход и сняло претензии.
Что важно учесть
- Архивы с ПДн должны храниться отдельно от текущей документации, с ограниченным доступом.
- Документы с истекшими сроками хранения подлежат обязательному уничтожению с составлением акта.
- Для электронных архивов должен быть отдельный регламент (например, использование защищённых серверов, ограничение прав доступа).
Рекомендации и выводы
Для правильного хранения архивов с ПДн необходимо иметь целый комплекс документов: регламент, перечень документов, приказы, журналы и акты. Это докажет, что организация контролирует весь жизненный цикл ПДн — от обработки до архивирования и уничтожения.
Компания ICTech подготовит для вашей организации полный комплект документов для архивного хранения ПДн, включая шаблоны журналов и актов. Это обеспечит соответствие ФЗ-152 и снизит риски претензий Роскомнадзора.
