Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан закреплять правила учёта действий с ПДн.
- Ст. 19 ФЗ-152 — требует фиксировать доступ к персональным данным и предпринимать меры по их защите.
- Приказ ФСТЭК № 21 — предписывает вести учёт носителей и фиксировать все операции с ними (в том числе копирование, передачу и предоставление доступа).
- ГОСТ Р 57580.1-2017 — указывает на необходимость документирования всех операций с ПДн, включая доступ и передачу.
Опыт проверок Роскомнадзора
На практике РКН часто требует именно наличие журналов, подтверждающих, что оператор контролирует доступ и движение ПДн. При этом в предписаниях нет обязательного указания на два отдельных документа. Если компания предоставляет сводный журнал с отдельными колонками для доступа и для передачи, это признаётся допустимым. Главное условие — чтобы запись позволяла однозначно понять, какое действие было совершено и кем.
Как лучше организовать объединённый журнал
- Ввести отдельные графы для вида операции: «Доступ» или «Передача».
- Фиксировать дату, ФИО сотрудника или подразделения, описание данных, объём или носитель, способ передачи/форму доступа.
- Указывать ответственного за операцию.
- Предусмотреть подписи получателя и лица, предоставившего доступ или передачу.
Рекомендации и выводы
Да, объединение журналов доступа и передачи возможно, но оно должно быть сделано грамотно: с разными графами, чёткой детализацией и возможностью легко выделить каждое событие. Такой подход даже удобнее для бизнеса, так как позволяет сократить документооборот, но при этом отвечает требованиям ФЗ-152.
Компания ICTech разработает для вашей организации унифицированный журнал, который учтёт и доступ к ПДн, и их передачу, а также подготовит инструкции для сотрудников, как правильно фиксировать действия. Это позволит вашей компании пройти проверку Роскомнадзора без замечаний.
