Какие документы нужны для отчёта о реагировании на утечку персональных данных?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

При утечке персональных данных организация обязана не только устранить последствия, но и документально зафиксировать все действия. Такой отчёт служит доказательством выполнения обязанностей оператора и демонстрирует Роскомнадзору, что компания предпринимает реальные меры защиты.

Обоснование по законодательству

• ФЗ-152, ст. 19 — оператор обязан выявлять факты неправомерной обработки ПДн, принимать меры по восстановлению нарушенных прав и обеспечению безопасности данных.
• Постановление Правительства РФ № 1119 — требует документировать выявленные инциденты и меры реагирования.
• Приказ ФСТЭК № 21 — обязывает фиксировать события безопасности, составлять акты и отчёты по инцидентам.
• ГОСТ Р 57580.1-2017 — рекомендует вести документацию о расследовании и корректирующих действиях.

Документы, которые формируют отчёт о реагировании

1. Акт об инциденте (утечке ПДн)
   — фиксирует факт происшествия: дата, характер утечки, затронутые данные, масштабы.
2. Протокол комиссии по расследованию
   — отражает ход анализа причин инцидента, участников, выявленные слабые места.
3. Журнал регистрации инцидентов
   — вносится запись о случае с кратким описанием и ссылкой на акт.
4. План корректирующих и предупреждающих мер
   — содержит конкретные шаги по устранению последствий (например, уведомление субъектов, настройка защиты, обучение сотрудников).
5. Отчёт о реализации мер
   — документирует, что план действительно выполнен: даты, ответственные лица, достигнутые результаты.

Практика проверок Роскомнадзора

РКН требует показывать не только факт фиксации инцидента, но и доказательства устранения последствий. На проверках обращают внимание, что отчёт должен быть целостным: акт + анализ + меры + подтверждение их выполнения. Если организация ограничивается только журналом или единичным актом, это расценивается как недостаточное реагирование.

Рекомендации и выводы

• Для отчёта об утечке ПДн нужен полный пакет: акт, протокол, журнал, план мер и отчёт об их выполнении.
• Все документы должны быть связаны друг с другом (каждый акт — ссылка в журнал, меры — в отчёте).
• Это позволит при проверке доказать, что компания не только зафиксировала проблему, но и реально её устранила.

Компания ICTech готова подготовить для вашей организации полный комплект документов для реагирования на утечки ПДн, включая шаблоны актов, протоколов и отчётов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге