Нужно ли вести журнал доступа к архивам с ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, журнал доступа к архивам с персональными данными вести необходимо. Это один из способов подтвердить выполнение требований ФЗ-152 о разграничении доступа и контроле за обращением с ПДн. Особенно важно фиксировать доступ к архивам, где хранятся документы на бумажных носителях или электронные архивные базы, так как именно они чаще всего становятся предметом проверок Роскомнадзора.

Что должно быть в журнале доступа к архивам

- Дата и время доступа.
- ФИО и должность лица, получившего доступ.
- Основание для доступа (например, служебная необходимость, приказ, поручение).
- Наименование документов или дел, с которыми производилась работа.
- Форма доступа — просмотр, копирование, выдача на руки.
- Подписи сотрудника, получившего доступ, и ответственного за архив.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и фиксировать факты обработки ПДн.
• Ст. 19 ФЗ-152 — обеспечение безопасности ПДн включает ограничение доступа к ним и регистрацию всех действий.
• Федеральный закон № 125-ФЗ «Об архивном деле» — закрепляет правила хранения и доступа к архивным документам.
• Методические рекомендации Роскомнадзора указывают на необходимость документально подтверждать, кто и на каком основании имел доступ к данным.

Практика проверок Роскомнадзора
Инспекторы часто запрашивают журналы доступа при проверке архивов. В одной компании сотрудники могли брать архивные папки без фиксации в журнале, что было признано нарушением порядка обеспечения безопасности ПДн. В другой — велся журнал с подписями сотрудников и отметками о возврате документов: это подтвердило прозрачность и контроль.

Что важно учесть

• Журнал может вестись как на бумаге, так и в электронном виде (например, в системе электронного архива).
• Отсутствие журнала или его формальное ведение расценивается как несоблюдение ст. 19 ФЗ-152.
• Для электронных архивов важно фиксировать логины пользователей и действия в системе.

Рекомендации и выводы
Да, журнал доступа к архивам с ПДн обязателен для подтверждения, что компания обеспечивает контроль за данными на всём цикле их жизни. Чтобы соответствовать требованиям:

1. Утвердите форму журнала (бумажного или электронного).
2. Назначьте ответственного за его ведение.
3. Регулярно проверяйте корректность заполнения.

Компания ICTech подготовит для вашей организации шаблон журнала доступа к архивам с ПДн и включит его в пакет документов по ФЗ-152. Это позволит подтвердить контроль над архивами и избежать претензий при проверках.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге