Алексей Ветров
Эксперт по защите данных IC-TECH
Да, журнал проверок доступа к персональным данным обязателен для операторов, поскольку он фиксирует, кто, когда и на каком основании имел доступ к данным. Этот документ позволяет контролировать соблюдение принципа «доступ только при необходимости» и доказывать, что организация выполняет требования ФЗ-152 и внутренних регламентов.
Зачем нужен журнал проверок доступа:
- фиксирует все случаи предоставления доступа к ПДн;
- позволяет отследить, кто именно работал с конкретными данными;
- помогает выявить нарушения или утечки;
- служит доказательством выполнения организационных мер при проверках Роскомнадзора.
Зачем нужен журнал проверок доступа:
- фиксирует все случаи предоставления доступа к ПДн;
- позволяет отследить, кто именно работал с конкретными данными;
- помогает выявить нарушения или утечки;
- служит доказательством выполнения организационных мер при проверках Роскомнадзора.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан ограничивать доступ к ПДн и вести учёт действий с ними.
- Ст. 19 ФЗ-152 — оператор обязан фиксировать факты доступа и обеспечивать возможность последующего контроля.
- Приказ ФСТЭК № 21 от 18.02.2013 — прямо предписывает документировать порядок доступа и действия сотрудников с ПДн.
- Ст. 13.11 КоАП РФ — нарушение порядка защиты ПДн, в том числе контроля доступа, влечёт административную ответственность.
Практика проверок Роскомнадзора
Роскомнадзор всё чаще требует у организаций журналы доступа. В одной компании сотрудники имели полный доступ к клиентской базе, но журнал проверок не вёлся. Проверка признала это нарушением и обязала вести учёт доступа. В другой организации был утверждён электронный журнал с фиксацией времени входа в систему и действий пользователя. РКН отметил это как лучшую практику.
Что важно учесть при ведении журнала
- Журнал может быть бумажным (например, для фиксирования передачи бумажных документов) или электронным (для учёта доступа в ИС).
- Обязательные реквизиты: дата, ФИО сотрудника, основание для доступа, перечень данных, подпись сотрудника или системная отметка.
- Проверки доступа должны проводиться регулярно, а результаты фиксироваться.
- Журнал хранится не менее срока, установленного внутренними регламентами (обычно 3–5 лет).
Рекомендации и выводы
Да, журнал проверок доступа к ПДн обязателен. Его отсутствие может быть признано нарушением ФЗ-152 и повлечь предписание или штраф. Чтобы соответствовать закону:
- Разработайте форму журнала и утвердите приказом руководителя.
- Ведите учёт всех случаев доступа к ПДн.
- Проводите регулярные проверки и фиксируйте их результаты.
- Организуйте хранение журналов вместе с другими документами по ПДн.
Компания ICTech подготовит для вашей организации журнал проверок доступа к ПДн и встроит его в полный пакет документов по ФЗ-152. Это позволит пройти проверку Роскомнадзора без нарушений и реально защитить данные.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
