Должен ли быть акт проверки журналов учёта ПДн?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, акт проверки журналов учёта персональных данных рекомендуется оформлять в рамках внутреннего контроля, а в организациях с высоким уровнем риска обработки ПДн — фактически обязателен. Такой документ фиксирует, что оператор не только ведёт необходимые журналы (например, журнал обращений субъектов, журнал уничтожения ПДн, журнал передачи данных), но и контролирует их корректность и актуальность.

Что должно быть в акте проверки журналов

- Реквизиты — дата, номер акта, название организации.
- Основание — приказ или план проведения внутреннего контроля.
- Состав комиссии или ответственного лица — ФИО, должность.
- Перечень проверенных журналов — например: журнал обращений субъектов ПДн, журнал инструктажа сотрудников, журнал уничтожения носителей.
- Результаты проверки — наличие журналов, полнота заполнения, актуальность записей, соответствие установленной форме.
- Нарушения — если есть (например, отсутствие подписей, неполные записи).
- Заключение — соответствуют ли журналы требованиям законодательства и внутренних актов.
- Рекомендации — что исправить или доработать.
- Подписи комиссии и утверждение руководителем.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям закона.
• Ст. 19 ФЗ-152 — предусматривает обязанность документировать меры по обеспечению безопасности данных, включая учёт действий сотрудников.
• Приказ ФСТЭК № 21 от 18.02.2013 указывает на необходимость фиксации действий, связанных с обработкой и защитой ПДн, что подтверждается в журналах.

Практика и подход Роскомнадзора
На проверках Роскомнадзор нередко требует показать журналы учёта и документы, подтверждающие их ведение. В одной компании была представлена папка с журналами и акты их внутренней проверки, что подтвердило системный контроль — замечаний не последовало. В другой организации журналы были, но проверок и актов не велось: инспекторы указали на формальный подход и выдали предписание наладить внутренний контроль.

Что важно учесть

• Проверка журналов должна проводиться планово, например, раз в полгода или раз в год.
• Акт лучше хранить вместе с самими журналами для доказательства полноты документооборота.
• Если журналов несколько (для разных процессов), проверка должна охватывать их все.

Рекомендации и выводы
Да, акт проверки журналов учёта ПДн — это доказательство, что компания не просто «ведёт журналы для галочки», а реально контролирует их заполнение. Это важно для снижения рисков и при проверках Роскомнадзора. Чтобы соответствовать требованиям:

1. Утвердите форму акта проверки журналов.
2. Назначьте ответственного за их регулярную проверку.
3. Храните акты вместе с журналами в пакете документов по ФЗ-152.

Компания ICTech разработает для вашей организации шаблон акта проверки журналов учёта ПДн и встроит его в систему документооборота. Это позволит доказать Роскомнадзору, что внутренний контроль действительно работает.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге