Хранение персональных данных в сейфе прямо законом не установлено как обязательное требование, но оператор обязан обеспечить такие условия хранения, при которых исключается несанкционированный доступ. Сейф или металлический шкаф с замком — это одно из наиболее надёжных решений, особенно когда речь идёт о документах с чувствительными данными (паспортные копии, сведения о здоровье, финансовая информация).
Когда хранение в сейфе особенно необходимо:
- при обработке специальных категорий данных (например, о здоровье сотрудников или клиентов);
- при наличии ограниченного доступа к документам (должны иметь доступ только уполномоченные лица);
- при хранении документов, которые легко могут быть использованы злоумышленниками (копии паспортов, СНИЛС, ИНН).
Когда допустимы другие способы хранения:
- если речь идёт об общих документах (например, анкеты без чувствительных данных), их можно хранить в закрытых шкафах или комнатах с ограниченным доступом;
- если помещение оборудовано системами охраны и доступ строго контролируется.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать правовые, организационные и технические меры для защиты ПДн от неправомерного доступа.
- Приказ ФСТЭК России № 21 и Методические рекомендации Роскомнадзора — указывают на необходимость ограничения доступа к материальным носителям с ПДн.
- ГОСТ Р 57580 — рекомендует хранить бумажные носители с ПДн в запирающихся шкафах или сейфах.
Практика и позиция Роскомнадзора
Роскомнадзор в проверках обращает внимание, как именно хранятся бумажные носители с ПДн. Если документы находятся в открытом доступе (например, на столах сотрудников или в незапертых шкафах), это трактуется как нарушение ФЗ-152.
Пример: при проверке одной организации Роскомнадзор выявил, что личные дела сотрудников хранились в картотеке без замка. Было вынесено предписание хранить их в закрытых шкафах с ограниченным доступом. В другом случае при работе с медицинскими данными РКН рекомендовал использовать сейфы как обязательную меру защиты.
Важный момент для организаций
Закон не требует именно сейфа, но ключевое условие — ограничение доступа. Для стандартных документов может хватить металлического шкафа с замком, а для чувствительных сведений (здоровье, финансы, паспортные данные) предпочтительнее именно сейф.
Рекомендации и выводы
Нет, хранение ПДн в сейфе не является универсальной обязанностью, но это эффективный способ защиты. Чтобы выполнить требования ФЗ-152:
- Определите, какие данные обрабатываются, и оцените их уровень чувствительности.
- Для документов с особыми категориями ПДн используйте сейф или металлический шкаф с замком.
- В локальных актах закрепите порядок хранения бумажных носителей.
- Контролируйте доступ сотрудников к этим документам.
- Включите правила хранения ПДн в комплект документов по ФЗ-152.
Компания ICTech поможет вашей организации выстроить систему хранения персональных данных: определить уровни доступа, подготовить локальные акты и внедрить практические меры защиты, включая организацию хранения в сейфах.
