Алексей Ветров
Эксперт по защите данных IC-TECH
Любая организация, обрабатывающая персональные данные, обязана вести внутренний контроль за соблюдением требований ФЗ-152. Выявленные нарушения должны быть зафиксированы документально — это позволяет доказать системный подход к защите ПДн и своевременное устранение недочётов.
Обоснование по законодательству
- ФЗ-152, ст. 18.1, ч. 1, п. 7 — оператор обязан принимать меры, направленные на предотвращение нарушений законодательства о ПДн.
- ФЗ-152, ст. 19 — предписывает осуществлять внутренний контроль соответствия обработки ПДн требованиям законодательства.
- Приказ ФСТЭК № 21 от 18.02.2013 — устанавливает необходимость документировать результаты контроля и выявленные несоответствия.
Какие документы использовать
- Акт проверки — основной документ, куда вносятся выявленные нарушения (например, отсутствие согласий, неактуальные локальные акты, ошибки в доступе к ПДн).
- Журнал учёта нарушений — ведётся для систематизации информации о несоответствиях, дате выявления и сроках устранения.
- Протокол заседания комиссии (если комиссия создана) — фиксирует коллективное рассмотрение нарушения и решений по нему.
- План корректирующих мероприятий — документ, где указывается, кто и в какие сроки обязан устранить нарушение.
- Отчёт об устранении нарушений — оформляется по завершении корректирующих действий.
Практика проверок Роскомнадзора
Инспекторы часто требуют показать не только сами акты проверок, но и документы, подтверждающие работу с выявленными нарушениями. Если нарушения фиксируются, но не оформляются планы устранения, Роскомнадзор считает это формальным подходом к внутреннему контролю.
Что важно учитывать
- Документация должна показывать не только факт нарушения, но и процесс его исправления.
- Удобнее всего вести журнал нарушений, где напротив каждого случая указывать дату выявления, ответственного и дату устранения.
- Акты и журналы должны храниться у ответственного за ПДн и предъявляться при проверках.
Рекомендации и выводы
Нарушения в работе с ПДн необходимо фиксировать актами проверок, журналами нарушений и планами корректирующих мероприятий. Это помогает доказать, что компания не скрывает проблемы, а системно работает над их устранением. Такой подход снижает риски штрафов при проверках Роскомнадзора и укрепляет доказательную базу оператора.
IC-TECH поможет с разработкой всех необходимых актов, журналов и планов для фиксации нарушений в работе с ПДн, включив их в полный пакет документов по ФЗ-152.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
