Отчёт о корректирующих мерах — это документ, который организация готовит после выявления нарушений в обработке или защите персональных данных (по итогам внутреннего аудита, инцидента или предписания Роскомнадзора). Его цель — зафиксировать, какие шаги предприняты для устранения недостатков и приведения деятельности в соответствие с ФЗ-152.
Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан принимать организационные и технические меры и документировать их.
- Ст. 18.1 ФЗ-152 — предусматривает обязанность оператора утверждать внутренние документы по обработке ПДн.
- Ст. 23 ФЗ-152 — Роскомнадзор контролирует устранение нарушений, выдает предписания и требует отчётности.
- ГОСТ Р 57580.1-2017 (рекомендательный стандарт) — указывает на необходимость документирования корректирующих действий при инцидентах и проверках.
Структура отчёта о корректирующих мерах
- Вводная часть
- Основание для подготовки отчёта (внутренний аудит, инцидент, предписание Роскомнадзора).
- Дата составления и реквизиты организации.
- Описание выявленных нарушений
- Конкретные пункты, где зафиксированы несоответствия (например, отсутствие акта об уничтожении ПДн, отсутствие политики обработки, нарушение сроков хранения).
- Принятые меры
- Перечень корректирующих действий (например: издан приказ, утверждена политика, внедрено шифрование, проведено обучение сотрудников).
- Сроки выполнения.
- Ответственные лица.
- Результаты
- Подтверждение устранения нарушений (ссылки на приказы, акты, протоколы, журналы).
- Дата завершения работ.
- Выводы и рекомендации
- Заключение комиссии или ответственного за ПДн о том, что корректирующие меры выполнены.
- Рекомендации по недопущению повторных нарушений.
- Подписи
- Ответственного за ПДн, членов комиссии (если создавалась), утверждение руководителем.
Практика проверок Роскомнадзора
При проверках Роскомнадзор часто запрашивает именно отчёт о корректирующих мерах вместе с приложением подтверждающих документов. Например, после инцидента с утечкой клиентских данных компания представила отчёт с перечнем мер (обновление антивируса, ограничение доступа, новые инструкции), приложила приказы и акты. Проверяющие признали меры достаточными и предписание было закрыто.
Рекомендации и выводы
Да, отчёт о корректирующих мерах необходим. Он должен содержать перечень выявленных нарушений, выполненные действия, результаты и подтверждающие документы.
Оформлять отчёт лучше по единому шаблону, хранить в архиве у ответственного за ПДн и использовать для отчётности перед Роскомнадзором.
Компания ICTech разработает для вашей организации удобный шаблон отчёта о корректирующих мерах, поможет правильно фиксировать устранение нарушений и готовить доказательную базу для проверок.
