Алексей Ветров
Эксперт по защите данных IC-TECH
При проверках Роскомнадзор уделяет особое внимание тому, как в организации организовано хранение персональных данных. Для этого инспекторы запрашивают определённый набор документов, которые должны подтвердить, что компания выполнила требования ФЗ-152.
Чаще всего первую очередь проверяются:
- Политика в отношении обработки ПДн — должна быть утверждена и опубликована, содержать порядок хранения данных.
- Положение об обработке ПДн — внутренний документ с описанием процедур хранения, доступа, уничтожения.
- Приказ о назначении ответственного за ПДн — кто отвечает за организацию хранения и контроль доступа.
- Перечень помещений и носителей, где хранятся ПДн — с указанием ответственных лиц.
- Регламент хранения бумажных и электронных носителей — порядок архивирования, защиты, сроков хранения.
- Журналы учёта: доступа к архивам, передачи носителей, уничтожения документов.
- Акты об уничтожении ПДн — подтверждают, что данные не хранятся дольше установленного срока.
- Инструкции для сотрудников — порядок хранения ПДн на рабочих местах и в электронных системах.
Чаще всего первую очередь проверяются:
- Политика в отношении обработки ПДн — должна быть утверждена и опубликована, содержать порядок хранения данных.
- Положение об обработке ПДн — внутренний документ с описанием процедур хранения, доступа, уничтожения.
- Приказ о назначении ответственного за ПДн — кто отвечает за организацию хранения и контроль доступа.
- Перечень помещений и носителей, где хранятся ПДн — с указанием ответственных лиц.
- Регламент хранения бумажных и электронных носителей — порядок архивирования, защиты, сроков хранения.
- Журналы учёта: доступа к архивам, передачи носителей, уничтожения документов.
- Акты об уничтожении ПДн — подтверждают, что данные не хранятся дольше установленного срока.
- Инструкции для сотрудников — порядок хранения ПДн на рабочих местах и в электронных системах.
Обоснование по законодательству
- ФЗ-152, ст. 18.1 — оператор обязан утвердить документы, определяющие политику и порядок обработки ПДн.
- ФЗ-152, ст. 19 — оператор должен принимать организационные меры по обеспечению сохранности данных.
- Постановление Правительства РФ № 1119 — требует документального подтверждения защиты в ИСПДн.
- Приказ Роскомнадзора № 996 от 30.05.2017 — описывает порядок проведения проверок.
Практика проверок РКН
При проверках РКН часто выявляют:
- отсутствие перечня мест хранения ПДн;
- несоответствие фактического порядка хранения документам;
- ведение журналов формально (подписи и даты проставлены задним числом).
Инспекторы могут проверять не только документы, но и реальные условия хранения: закрываются ли шкафы, ограничен ли доступ к архиву, есть ли пароли на базах данных.
Что важно учесть организациям
- Документы должны быть не «для галочки», а реально отражать процессы.
- Ответственный должен иметь актуальные списки помещений, носителей и архивов.
- Журналы учёта и акты должны вестись постоянно, а не оформляться только перед проверкой.
Рекомендации и выводы
Чтобы избежать претензий, организации нужно иметь полный пакет документов по хранению ПДн и вести их в актуальном состоянии. Это не только требование закона, но и защита при проверках.
Компания ICTech разработает для вашей организации комплект документов по хранению ПДн, включая политику, приказы, журналы и акты, чтобы при проверке РКН у вас был полный порядок.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
