Может ли проверяющий Роскомнадзора запросить доступ к базам данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, проверяющий Роскомнадзора имеет право запросить доступ к базам данных организации, если они содержат персональные данные. Инспекторы оценивают не только наличие документов, но и фактическую организацию обработки и хранения данных. Доступ может быть предоставлен для проверки корректности ведения реестра обработки, наличия согласий субъектов данных, соблюдения технических и организационных мер защиты, а также для подтверждения выполнения предписаний по устранению нарушений. При этом организация обязана обеспечить проверяющему возможность ознакомиться с базами данных в объёме, необходимом для проверки, но соблюдая внутренние меры безопасности, чтобы не допустить утечки или несанкционированного доступа.

Обоснование по законодательству

— Федеральный закон №152-ФЗ «О персональных данных» — ст. 24 (обеспечение мер по защите персональных данных, включая контроль доступа и учет обработки данных).
— Приказ Роскомнадзора от 1 июня 2017 г. №136 — регламентирует порядок проведения проверок, включая возможность проверки систем обработки данных.
— Методические рекомендации Роскомнадзора по проведению проверок операторов персональных данных и доступу к информационным системам.

Типичные ошибки организаций

— Отказ предоставлять доступ к базам данных или ограничение доступа без законных оснований, что расценивается как препятствие проверке.
— Неорганизованная структура баз данных, затрудняющая проверку реестров и согласий субъектов данных.
— Отсутствие журналов учета доступа и действий пользователей, что не позволяет продемонстрировать соблюдение мер безопасности.

Практические особенности

Роскомнадзор не требует передачи данных инспекторам на их устройства — проверка обычно проводится на месте с обеспечением контроля доступа. В случае использования облачных сервисов проверяющие могут запросить доступ к панели администрирования или выгрузку данных для проверки. Важно заранее подготовить внутренние регламенты и инструкции, чтобы инспекторы могли безопасно ознакомиться с базами данных без нарушения правил безопасности и разглашения информации.

Рекомендации и выводы

1. Обеспечьте возможность проверяющему безопасного доступа к базам данных с соблюдением внутренних мер безопасности.

2. Подготовьте структурированные отчёты и выгрузки, подтверждающие ведение реестра обработки, наличие согласий и выполнение мер защиты.

3. Ведите журналы учета действий пользователей и контроля доступа к базам данных.

4. При использовании облачных сервисов убедитесь, что права доступа и контроль мер защиты соответствуют требованиям 152-ФЗ.

5. Для полного соответствия законодательству и подготовки к проверке рекомендуется воспользоваться услугой ICTech «Разработка комплекта документов по защите персональных данных 152-ФЗ для организаций», которая включает аудит баз данных, настройку мер контроля доступа и подготовку инструкций для инспекторов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге