Алексей Ветров
Эксперт по защите данных IC-TECH
Инциденты при передаче персональных данных (например, отправка на неверный адрес, утеря бумажных носителей, пересылка без шифрования) обязательно должны фиксироваться в документах компании. Это подтверждает выполнение требований ФЗ-152 и позволяет показать регуляторам, что организация реагирует на нарушения и принимает меры для предотвращения повторных случаев.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры для предотвращения нарушений и фиксировать факты инцидентов.
- Постановление Правительства РФ № 1119 — требует документировать действия при выявлении инцидентов и хранить подтверждающие материалы.
- Приказ ФСТЭК № 21 — обязывает вести учёт событий безопасности, связанных с обработкой и передачей ПДн.
- ГОСТ Р 57580.1-2017 (рекомендательный стандарт) — содержит требования по регистрации и реагированию на инциденты информационной безопасности.
Какие документы использовать для фиксации инцидентов
- Журнал учёта инцидентов с ПДн
- фиксируются дата, время, описание инцидента, лица, причастные к событию, и последствия;
- отмечаются меры по устранению и лица, ответственные за их выполнение.
- Акт о факте инцидента
- составляется комиссией или ответственным за ПДн;
- содержит подробное описание инцидента и принятые меры;
- подписывается всеми членами комиссии.
- Протокол заседания комиссии по ПДн (если создаётся комиссия)
- документирует коллективное обсуждение причин инцидента и решений по устранению нарушений.
- Отчёт о корректирующих мерах
- фиксирует, какие действия предприняты для предотвращения подобных случаев в будущем (например, изменение регламента, обучение сотрудников, внедрение дополнительного контроля).
Практика проверок Роскомнадзора
Роскомнадзор при проверках требует показать журналы и акты инцидентов. Важный момент — наличие подтверждения, что организация не замалчивает нарушения, а анализирует их и корректирует внутренние процессы. При отсутствии документации по инцидентам часто делают вывод, что оператор формально подходит к требованиям закона.
Рекомендации и выводы
- Все инциденты при передаче ПДн фиксируйте в журнале.
- Для серьёзных случаев оформляйте отдельный акт и протокол комиссии.
- Дополняйте документацию отчётами о корректирующих мерах.
ICTech может помочь вам внедрить систему документирования инцидентов: журналы, акты, шаблоны протоколов и регламенты реагирования, чтобы ваша компания выглядела подготовленной при проверке.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
