Обоснование по законодательству
- Ст. 3 ФЗ-152 — обработка ПДн включает действия по записи, хранению, копированию, распространению.
- Ст. 18.1 ФЗ-152 — оператор обязан утверждать локальные акты, определяющие порядок обработки ПДн.
- Ст. 19 ФЗ-152 — требует фиксировать и ограничивать доступ к носителям персональных данных.
- Приказ ФСТЭК № 21 и ГОСТ Р 57580.1-2017 — предусматривают регламентацию работы с носителями информации, в том числе при копировании и сканировании.
Практика проверок
Роскомнадзор на проверках часто обращает внимание на то, как в компании регулируются действия сотрудников с бумажными и электронными носителями. Если работники свободно копируют документы с ПДн, а порядок их дальнейшего использования или уничтожения копий не установлен, это фиксируется как нарушение организационных мер. В предписаниях обычно указывается на необходимость принять локальный акт о порядке копирования и сканирования.
Что должно быть в документе
- Основания для копирования и сканирования (например, только по распоряжению руководителя или ответственного за ПДн).
- Перечень лиц, уполномоченных на выполнение этих действий.
- Учет копий и сканов (включая электронные файлы).
- Требования к хранению копий.
- Сроки уничтожения ненужных копий и порядок их уничтожения.
- Ответственность сотрудников за нарушение порядка.
Рекомендации и выводы
Да, документ о порядке копирования и сканирования ПДн нужен, особенно для компаний, которые регулярно работают с бумажными документами и архивами. Он подтверждает выполнение требований ст. 18.1 и 19 ФЗ-152, снижает риски утечек и будет запрошен при проверке.
Компания ICTech разработает для вашей организации регламент по копированию и сканированию персональных данных и включит его в пакет документов по 152-ФЗ.
