Какие документы нужны для фиксации каналов передачи ПДн

ФЗ-152 и подзаконные акты прямо не называют конкретный документ, фиксирующий каналы передачи персональных данных. Но оператор обязан обеспечить безопасность ПДн на всех этапах обработки, включая передачу. Для этого в организациях формируется комплект локальных документов, где каналы передачи ПДн (электронные, бумажные, устные, через информационные системы) должны быть отражены и закреплены.

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан принимать необходимые правовые, организационные и технические меры для обеспечения безопасности ПДн.
• Постановление Правительства РФ № 1119 от 01.11.2012 — требует описания и защиты способов передачи ПДн в информационных системах.
• Приказ ФСТЭК № 21 от 18.02.2013 — предусматривает организационные меры по ограничению и контролю каналов передачи информации.

Какие документы фиксируют каналы передачи ПДн

1. Регламент (положение) об обработке ПДн — указывает допустимые способы передачи данных (почта, защищённые ИТ-системы, мессенджеры, физическая доставка документов).
2. Перечень информационных систем ПДн — фиксирует, в каких системах обрабатываются и передаются данные.
3. Приказ о порядке передачи ПДн — утверждает ответственных и разрешённые каналы передачи (шифрованные каналы, курьерская доставка и др.).
4. Журнал передачи ПДн — регистрирует факт передачи и способ (электронный файл по защищённому каналу, бумажные копии и т. д.).
5. Договоры и соглашения с контрагентами — должны содержать условия по каналам передачи и мерам защиты.
6. Инструкции для сотрудников — разъясняют порядок использования корпоративной почты, мессенджеров, файловых хранилищ.

Практика проверок и рекомендации Роскомнадзора
На проверках Роскомнадзор часто уточняет, каким образом оператор контролирует передачу данных по каналам связи. В качестве подтверждения обычно требуют приказы и регламенты, где закреплено использование защищённых каналов, а также документы о факте передачи. В некоторых случаях компании штрафовали именно за использование незащищённых мессенджеров без утверждённых правил.

Рекомендации и выводы

Чтобы выполнить требования закона, компания должна:

1. Утвердить внутренний регламент передачи ПДн.
2. Вести журналы или электронные системы учёта передачи.
3. Обеспечить использование только тех каналов связи, которые разрешены внутренними документами.
4. Включить требования к каналам передачи в договоры с подрядчиками.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге