Должен ли быть отчёт о выполнении требований ФЗ-152?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, отчёт о выполнении требований ФЗ-152 рекомендуется оформлять и хранить как внутренний документ. Хотя закон прямо не содержит обязанности готовить именно «отчёт о выполнении требований», ФЗ-152 (ст. 18.1 и ст. 19) обязывает операторов осуществлять внутренний контроль и аудит обработки ПДн, а также документировать соблюдение мер защиты. На практике Роскомнадзор при проверках требует подтверждения, что организация регулярно анализирует выполнение требований и устраняет нарушения.

Что включается в отчёт о выполнении требований ФЗ-152:

- Общие сведения — дата, ответственные лица, основания для составления отчёта.
- Оценка нормативных документов — наличие политики, положения, инструкций, приказов и журналов.
- Анализ организационных мер — назначение ответственного за ПДн, ведение согласий, обучение сотрудников.
- Анализ технических мер — защита информационных систем, резервное копирование, контроль доступа.
- Результаты внутреннего аудита — выявленные несоответствия и принятые меры.
- Выводы о соответствии — степень выполнения требований ФЗ-152.
- Предложения по улучшению — корректирующие мероприятия и план действий.

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан проводить внутренний контроль и аудит соответствия обработки ПДн требованиям закона.
• Ст. 19 ФЗ-152 — оператор обязан документировать факты нарушений и меры по их устранению.
• Постановление Правительства РФ № 1119 — требует документального подтверждения выполнения организационных и технических мер защиты.

Практика Роскомнадзора

РКН в ходе проверок требует представить документы, подтверждающие, что организация реально выполняет ФЗ-152. В одной компании аудиты проводились, но не фиксировались в виде отчётов — это признали нарушением. В другой компании был отчёт о выполнении требований, подписанный руководителем, где отражены все меры и планы по устранению нарушений. Проверка подтвердила соответствие закону.

Что важно учитывать

• Отчёт лучше оформлять ежегодно или после каждого внутреннего аудита.
• Документ должен подписываться ответственным за ПДн и утверждаться руководителем.
• В отчёт можно включать ссылки на акты, журналы и приказы, подтверждающие конкретные действия.
• Это один из ключевых документов, которые Роскомнадзор рассматривает как доказательство добросовестности.

Рекомендации и выводы

Да, отчёт о выполнении требований ФЗ-152 необходим для подтверждения внутреннего контроля и защиты ПДн. Чтобы он выполнял свою функцию:

1. Включайте в отчёт все разделы по организационным и техническим мерам.
2. Подтверждайте выполнение требований ссылками на локальные акты и журналы.
3. Утверждайте отчёт приказом руководителя.
4. Храните документ вместе с пакетом по ПДн для предъявления при проверках.

Компания ICTech разработает для вашей организации форму отчёта о выполнении требований ФЗ-152 и поможет включить его в систему внутреннего контроля. Это позволит пройти проверку Роскомнадзора без нарушений и подтвердить соответствие закону.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге