Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать необходимые организационные меры, в том числе обеспечивать учёт носителей ПДн.
- ФЗ-152, ст. 18.1 — внутренние документы оператора должны содержать порядок хранения и доступа к персональным данным.
- Правила архивного хранения документов (утв. Приказом Минкультуры РФ № 526 от 31.03.2015) — предусматривают ведение учётных форм архивных документов.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документально фиксировать контроль доступа к носителям информации, содержащим персональные данные.
Практика и рекомендации
На проверках Роскомнадзор и трудинспекция часто требуют показать, каким образом организация контролирует архивные дела с ПДн. Отсутствие учёта может быть расценено как риск несанкционированного доступа. Обычно используют:
- журнал учёта архивных дел (с указанием наименования, даты, ответственного лица и срока хранения);
- журнал выдачи дел из архива;
- акты приёма-передачи дел при сдаче и возврате.
Такой журнал позволяет подтвердить, что организация контролирует весь цикл работы с архивными документами: приём, хранение, выдачу, возврат и уничтожение по окончании срока хранения.
Вывод
Журнал архивных дел с ПДн не является обязательным документом по ФЗ-152, но его ведение считается надлежащей практикой и помогает доказать соблюдение принципов учёта и контроля доступа. Для организаций с большим объёмом архивных документов этот журнал фактически становится необходимым.
Компания IC-TECH поможет разработать для Вас полный пакет документов по ФЗ-152, чтобы избежать возможных штрафов и предписаний от регуляторов.
