Обоснование по законодательству
Федеральный закон № 152-ФЗ «О персональных данных»:
-
ст. 19 — оператор обязан ограничить доступ к персональным данным и обеспечить возможность определения лиц, которым предоставлен такой доступ;
-
ст. 18.1 ч. 1 п. 7 — оператор обязан утвердить перечень лиц, имеющих доступ к ПДн, и организовать контроль за действиями этих лиц;
-
ст. 22.1 ч. 3 — ответственное лицо обеспечивает соблюдение законодательства о ПДн, в том числе порядок доступа.
Таким образом, отказ сотруднику без законных оснований в доступе — это исполнение закона, а не нарушение.
Типичные ошибки организаций
— Предоставляют доступ к ПДн всем сотрудникам без разграничения.
— Не утверждают перечень должностей, имеющих право работать с персональными данными.
— Формально назначают ответственного, но фактически он не контролирует доступ.
— Нет системы регистрации и контроля обращений к базам с персональными данными.
Особенности применения на практике
В кадровых отделах доступ к ПДн сотрудников есть только у кадровиков и бухгалтера. В интернет-магазинах доступ ограничивают отделом продаж и логистикой, а маркетологи работают только с обезличенными данными. Ответственный обязан отказывать в запросах на доступ, если они выходят за пределы служебных обязанностей сотрудника, и ссылаться на утверждённые регламенты.
Рекомендации и выводы
Ответственный за ПДн должен контролировать и при необходимости ограничивать доступ сотрудников к персональным данным. Для этого организация обязана утвердить перечень должностей, имеющих право на доступ, и регламентировать порядок его предоставления. Если сотрудник запрашивает доступ, который ему не положен по должностным обязанностям, ответственный обязан отказать.
Чтобы система разграничения доступа в вашей организации была оформлена корректно и соответствовала требованиям 152-ФЗ, обратитесь в ICTech. Мы подготовим полный пакет документов по обработке персональных данных для вашей компании: приказы, регламенты, перечни лиц с доступом и инструкции для ответственного. Это позволит избежать претензий Роскомнадзора и обеспечит безопасность персональных данных ваших сотрудников и клиентов.
