Каждый инцидент, связанный с обработкой персональных данных (утечка, потеря носителя, несанкционированный доступ, ошибочная отправка), должен фиксироваться документально. Это требование закона и практика Роскомнадзора: оператор обязан не только предотвращать нарушения, но и документировать их, чтобы подтвердить исполнение ст. 18.1 и 19 ФЗ-152.
Какие документы оформляются при инцидентах с ПДн:
- Акт о выявленном инциденте — фиксирует факт происшествия (дата, время, обстоятельства, какие данные пострадали, кто был вовлечён).
- Запись в журнале регистрации нарушений — краткая фиксация события и ссылка на акт.
- Докладная записка/отчёт ответственного за ПДн — направляется руководителю с описанием инцидента и предложениями мер реагирования.
- Приказ или распоряжение руководителя — о проведении служебного расследования и мерах по устранению последствий.
- Акт об устранении последствий — документ, подтверждающий, что инцидент локализован и риск повторения снижен.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан осуществлять внутренний контроль и аудит соответствия обработки ПДн требованиям законодательства.
- Ст. 19 ФЗ-152 — оператор обязан документировать факты несанкционированного доступа к ПДн и принимать меры по реагированию.
- ГОСТ Р 57580.1-2017 и методические рекомендации ФСТЭК и ФСБ указывают на необходимость фиксировать инциденты и вести учёт.
Практика проверок Роскомнадзора
В ходе проверок Роскомнадзор требует представить доказательства того, что инциденты фиксируются и расследуются. Например, в одной организации выявили утечку данных через почту, но документы о её фиксации отсутствовали — это было признано нарушением. В другой компании все инциденты фиксировались актами и журналами, а по каждому был приказ о мерах устранения. Проверка подтвердила соответствие требованиям.
Что важно учитывать
- Документировать нужно любой случай нарушения, даже если последствия минимальны.
- Форма актов и журналов утверждается внутри компании приказом.
- В документах должны быть отражены: дата и время, описание события, пострадавшие данные, виновные лица (если установлены), принятые меры.
- Важно фиксировать не только факт инцидента, но и действия по его устранению.
Рекомендации и выводы
Да, документирование инцидентов с ПДн обязательно. Чтобы действовать правильно:
- Утвердите формы актов, журналов и приказов.
- Обеспечьте обязанность сотрудников сообщать об инцидентах ответственному за ПДн.
- Ведите журнал нарушений и прикладывайте к нему акты и отчёты.
- Включите порядок документирования инцидентов в комплект документов по ФЗ-152.
Компания ICTech разработает для вашей организации систему документирования инцидентов с ПДн: акты, журналы, приказы и регламенты. Это позволит пройти проверку Роскомнадзора без претензий и подтвердить, что организация выполняет закон.
