Как документировать инциденты при передаче персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Инциденты при передаче персональных данных (например, отправка на неверный адрес, утеря бумажных носителей, пересылка без шифрования) обязательно должны фиксироваться в документах компании. Это подтверждает выполнение требований ФЗ-152 и позволяет показать регуляторам, что организация реагирует на нарушения и принимает меры для предотвращения повторных случаев.

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан принимать меры для предотвращения нарушений и фиксировать факты инцидентов.
• Постановление Правительства РФ № 1119 — требует документировать действия при выявлении инцидентов и хранить подтверждающие материалы.
• Приказ ФСТЭК № 21 — обязывает вести учёт событий безопасности, связанных с обработкой и передачей ПДн.
• ГОСТ Р 57580.1-2017 (рекомендательный стандарт) — содержит требования по регистрации и реагированию на инциденты информационной безопасности.

Какие документы использовать для фиксации инцидентов

1. Журнал учёта инцидентов с ПДн
   • фиксируются дата, время, описание инцидента, лица, причастные к событию, и последствия;
   • отмечаются меры по устранению и лица, ответственные за их выполнение.
2. Акт о факте инцидента
   • составляется комиссией или ответственным за ПДн;
   • содержит подробное описание инцидента и принятые меры;
   • подписывается всеми членами комиссии.
3. Протокол заседания комиссии по ПДн (если создаётся комиссия)
   • документирует коллективное обсуждение причин инцидента и решений по устранению нарушений.
4. Отчёт о корректирующих мерах
   • фиксирует, какие действия предприняты для предотвращения подобных случаев в будущем (например, изменение регламента, обучение сотрудников, внедрение дополнительного контроля).

Практика проверок Роскомнадзора
Роскомнадзор при проверках требует показать журналы и акты инцидентов. Важный момент — наличие подтверждения, что организация не замалчивает нарушения, а анализирует их и корректирует внутренние процессы. При отсутствии документации по инцидентам часто делают вывод, что оператор формально подходит к требованиям закона.

Рекомендации и выводы

• Все инциденты при передаче ПДн фиксируйте в журнале.
• Для серьёзных случаев оформляйте отдельный акт и протокол комиссии.
• Дополняйте документацию отчётами о корректирующих мерах.

ICTech может помочь вам внедрить систему документирования инцидентов: журналы, акты, шаблоны протоколов и регламенты реагирования, чтобы ваша компания выглядела подготовленной при проверке.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге