Алексей Ветров
Эксперт по защите данных IC-TECH
Да, отзыв допуска сотрудника к персональным данным обязательно должен быть оформлен документально. Это часть процедуры разграничения доступа и обеспечения безопасности ПДн. Формой такого оформления чаще всего является приказ руководителя или распоряжение ответственного за ПДн, в котором фиксируется прекращение прав доступа сотрудника к определённым базам или носителям.
Если сотрудник уволился, переведён на другую должность или ему больше не требуется работать с ПДн, организация обязана официально отозвать его доступ, иначе Роскомнадзор может посчитать это нарушением мер защиты.
Если сотрудник уволился, переведён на другую должность или ему больше не требуется работать с ПДн, организация обязана официально отозвать его доступ, иначе Роскомнадзор может посчитать это нарушением мер защиты.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по предотвращению несанкционированного доступа к ПДн, включая организационные меры.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует фиксировать предоставление и отзыв прав доступа к информационным системам с ПДн.
- ГОСТ Р 57580.1-2017 — прямо указывает на необходимость ведения учёта предоставления и прекращения доступа пользователей к данным.
Практика Роскомнадзора
При проверках Роскомнадзор нередко запрашивает приказы об отзыве доступа у уволенных сотрудников. В организациях, где такого документа не было, но доступ технически сохранялся, фиксировались нарушения. Там, где приказы были оформлены, а доступ закрыт сразу после увольнения или перевода, претензий не возникало.
Что важно учитывать компаниям
- Приказ об отзыве допуска должен содержать: ФИО сотрудника, должность, дату прекращения доступа, перечень баз и носителей.
- Отзыв должен сопровождаться техническими мерами — отключением учётных записей, отзывом ключей, изъятием носителей.
- Документы об отзыве доступа необходимо хранить вместе с приказами о его предоставлении.
Рекомендации и выводы
Да, оформление приказа при отзыве допуска к ПДн — обязательная часть системы защиты. Это снижает риски утечек и доказывает, что компания соблюдает требования закона. Чтобы действовать правильно:
- Издавайте приказы об отзыве доступа при увольнении, переводе или изменении функций сотрудника.
- Фиксируйте факт выполнения технических мер (удаление учётных записей, изъятие ключей).
- Храните документы для подтверждения при проверке.
Компания ICTech поможет вашей организации разработать образцы приказов, регламент по предоставлению и отзыву доступа и вести полный комплект документов по 152-ФЗ.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
