Алексей Ветров
Эксперт по защите данных IC-TECH
Да, список помещений, где обрабатываются и хранятся персональные данные, обязателен. Этот документ относится к организационным мерам по обеспечению безопасности ПДн и необходим для контроля доступа. Его наличие проверяется Роскомнадзором и служит подтверждением того, что организация ограничивает доступ к помещениям, где есть базы данных, архивы, серверные или бумажные носители.
Зачем нужен список помещений:
- фиксирует, где именно находятся ПДн (кабинеты, архив, серверная, сейфы и т.д.);
- помогает назначить ответственных за физическую защиту данных;
- служит основанием для внедрения пропускного режима и ограничений;
- позволяет доказать выполнение требований ФЗ-152 при проверке.
Зачем нужен список помещений:
- фиксирует, где именно находятся ПДн (кабинеты, архив, серверная, сейфы и т.д.);
- помогает назначить ответственных за физическую защиту данных;
- служит основанием для внедрения пропускного режима и ограничений;
- позволяет доказать выполнение требований ФЗ-152 при проверке.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан ограничивать доступ к ПДн и принимать локальные акты, регламентирующие их защиту.
- Ст. 19 ФЗ-152 — среди мер защиты названы организационные и технические меры, включая контроль доступа.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует фиксировать, где хранятся носители с ПДн, и обеспечивать режим ограниченного доступа.
- Ст. 13.11 КоАП РФ — нарушение порядка защиты ПДн, в том числе отсутствия контроля доступа, влечёт административную ответственность.
Практика проверок Роскомнадзора
Роскомнадзор при проверках запрашивает список помещений. В одной организации документы хранились в разных кабинетах без утверждённого перечня, что было признано нарушением. В другой компании был разработан список, включающий номера кабинетов, назначены ответственные за доступ и установлены правила хранения документов. Такой подход РКН признал соответствующим требованиям.
Что важно учесть при составлении
- В списке указываются все помещения: архивы, сейфы, серверные, отдельные кабинеты, где хранятся бумажные или электронные носители.
- Документ должен быть утверждён приказом руководителя.
- Желательно закрепить ответственных за каждое помещение.
- Важно предусмотреть систему ограниченного доступа (ключи, замки, карты, журнал посещений).
- Список должен регулярно пересматриваться при изменении помещений или переезде.
Рекомендации и выводы
Да, список помещений, где хранятся ПДн, необходим и подлежит обязательному утверждению. Чтобы соответствовать закону:
- Определите все места хранения (бумажные архивы, серверные, базы в локальной сети).
- Составьте перечень и утвердите приказом.
- Ограничьте доступ к этим помещениям и назначьте ответственных.
- Храните список вместе с другими документами по ФЗ-152 для предъявления при проверке.
Компания ICTech подготовит для вашей организации список помещений с ПДн, разработает порядок доступа и встроит его в полный пакет документов по 152-ФЗ. Это позволит избежать штрафов и реально защитить данные.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
