Нужно ли оформлять акт проверки доступа к ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, оформление акта проверки доступа к персональным данным является хорошей практикой, а в ряде случаев — обязательным элементом внутреннего контроля. Такой акт фиксирует, как в организации соблюдается порядок разграничения прав сотрудников, каким образом предоставляется и отзывается доступ к ПДн, а также подтверждает, что компания выполняет требования ФЗ-152.

Что должно быть в акте проверки доступа

- Дата и место проведения проверки.
- Основание (приказ о проверке, план внутреннего контроля).
- Состав комиссии или проверяющих (ФИО, должности).
- Проверяемые объекты: журналы доступа, информационные системы, списки сотрудников с доступом.
- Результаты проверки: кто имеет доступ, есть ли нарушения (например, сотрудник уволен, но доступ не отозван).
- Заключение и выводы: соответствует ли порядок доступа требованиям закона и внутренним актам.
- Рекомендации по устранению нарушений (если выявлены).
- Подписи членов комиссии.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям закона.
• Ст. 19 ФЗ-152 — среди мер по обеспечению безопасности ПДн — ограничение доступа к ним и учёт лиц, имеющих доступ.
• Приказы ФСТЭК России № 21 от 18.02.2013 и методические материалы Роскомнадзора рекомендуют вести контроль прав доступа и документировать такие проверки.

Практика проверок Роскомнадзора
Роскомнадзор на проверках часто требует показать документы, подтверждающие порядок предоставления и отзыва доступа к данным. В одной организации был представлен акт плановой проверки доступа с перечнем сотрудников и журнал допуска, что подтвердило исполнение требований. В другой — не было ни актов, ни списка сотрудников с доступом. Инспекторы указали на нарушение ст. 19 ФЗ-152 и вынесли предписание устранить недостатки.

Что важно учесть

• Акт нужен не только для внутреннего контроля, но и как доказательство при проверке.
• Проверки рекомендуется проводить планово (например, раз в полгода или ежегодно).
• В акт можно включать приложения: перечень сотрудников с доступом, копии журналов регистрации.

Рекомендации и выводы
Да, акт проверки доступа к ПДн — важный документ, подтверждающий, что компания реально контролирует, кто и как получает доступ к персональным данным. Чтобы соответствовать требованиям ФЗ-152 и снизить риски:

1. Разработайте форму акта проверки доступа.
2. Проводите регулярные проверки и фиксируйте их результаты.
3. Утвердите порядок ведения актов во внутреннем регламенте по ПДн.

Компания ICTech может подготовить для вашей организации шаблон акта проверки доступа и встроить его в пакет документов по ФЗ-152. Это позволит без проблем подтвердить соответствие при проверках Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге