Нужно ли утверждать положение о работе с носителями информации?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, наличие такого документа рекомендуется и в ряде случаев является обязательным элементом системы защиты персональных данных. Носители информации (бумажные документы, флеш-накопители, жёсткие диски, резервные копии и т. п.) прямо связаны с обработкой ПДн, и порядок работы с ними должен быть урегулирован внутренними актами.

ФЗ-152 и подзаконные акты не требуют именно документа с названием «Положение о работе с носителями информации». Однако они обязывают оператора персональных данных:

- определить порядок доступа к ПДн;
- закрепить правила хранения и уничтожения носителей;
- исключить несанкционированный доступ к ним.

На практике это оформляется отдельным положением или разделом в общем регламенте обработки ПДн.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан утверждать локальные акты, устанавливающие правила обработки и защиты ПДн.
• Ст. 19 ФЗ-152 — оператор должен применять организационные меры, включая разграничение доступа и порядок хранения носителей.
• Приказ ФСТЭК № 21 от 18.02.2013 — требует документировать правила учёта, хранения и уничтожения машинных носителей информации, содержащих ПДн.
• ГОСТ Р 57580.1-2017 — фиксирует необходимость локальных процедур по работе с носителями.

Практика проверок Роскомнадзора
В ходе проверок инспекторы часто требуют предъявить документы, где описан порядок работы с бумажными и электронными носителями. В организациях, где таких правил не было, указывалось на нарушение ст. 19 ФЗ-152. Там, где было отдельное положение или включённый в регламент раздел «Порядок работы с носителями информации», претензий не возникало.

Что важно учесть
В положении должны быть прописаны:

• виды носителей, на которых хранятся ПДн;
• правила доступа сотрудников;
• порядок хранения (например, бумажные документы — в шкафах с ограниченным доступом, электронные носители — в зашифрованном виде);
• правила уничтожения (акты, журналы);
• ответственность сотрудников за нарушение порядка.

Рекомендации и выводы
Да, документ обязателен в той или иной форме. Он может быть самостоятельным положением или частью общего регламента по защите ПДн. Главное, чтобы в компании были закреплены правила хранения, использования и уничтожения носителей с персональными данными.

Компания ICTech разработает для вашей организации положение о работе с носителями информации с учётом требований ФЗ-152, ФСТЭК и практики проверок РКН, чтобы снизить риски и пройти проверку без штрафов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге