Какие журналы обязательны по ПДн?

Закон 152-ФЗ прямо не перечисляет обязательные журналы, но устанавливает требование к оператору фиксировать действия, связанные с обработкой и защитой персональных данных. На практике Роскомнадзор при проверках обращает внимание на наличие следующих журналов, которые считаются необходимыми для соблюдения требований:

1. Журнал ознакомления сотрудников с политикой и локальными актами по ПДн — фиксирует факт, что сотрудники ознакомлены с политикой обработки ПДн и внутренними инструкциями.
2. Журнал учёта согласий субъектов ПДн — отражает получение письменных согласий и их отзыв.
3. Журнал учёта обращений субъектов ПДн — фиксирует запросы субъектов (о доступе, исправлении, уничтожении данных) и действия компании.
4. Журнал учёта предоставления и отзыва доступа сотрудников к ПДн — подтверждает разграничение прав доступа.
5. Журнал регистрации инцидентов/нарушений в работе с ПДн — фиксирует факты утечек, нарушений и меры реагирования.
6. Журнал передачи ПДн третьим лицам — подтверждает законность передачи данных подрядчикам, органам власти и др.

В некоторых случаях также применяются:

• Журнал инструктажа сотрудников по ПДн;
• Журнал уничтожения носителей и документов с ПДн;
• Журнал резервного копирования и восстановления данных (если организация работает с информационными системами).

Обоснование по законодательству

• Ст. 18.1 ФЗ-152 — оператор обязан принять локальные акты, необходимые для соблюдения закона.
• Ст. 19 ФЗ-152 — оператор обязан фиксировать действия с ПДн для обеспечения их безопасности.
• Приказ ФСТЭК № 21 от 18.02.2013 — требует вести учёт предоставления и отзыва доступа.
• Методические рекомендации Роскомнадзора — указывают на необходимость документального подтверждения ознакомления сотрудников и фиксации обращений субъектов.

Практика проверок Роскомнадзора
На проверках инспекторы запрашивают журналы ознакомления и учёта обращений субъектов практически всегда. Отсутствие этих документов признаётся нарушением. Журнал учёта доступа к базам данных также входит в число приоритетных. Там, где журналы ведутся формально (например, пустые таблицы без подписей), Роскомнадзор делает предписания об устранении нарушений.

Что важно учитывать компаниям

• Формы журналов можно разработать самостоятельно, но они должны быть утверждены приказом.
• Ведение журналов должно быть регулярным и документально подтверждённым.
• Электронные журналы допустимы, если обеспечено сохранение записей и возможность предоставить их при проверке.

Рекомендации и выводы
Да, журналы — это обязательная часть пакета документов по ПДн. Чтобы соответствовать ФЗ-152 и пройти проверку Роскомнадзора:

1. Ведите журналы ознакомления сотрудников, учёта согласий, обращений субъектов и доступа к данным.
2. Для компаний с ИСПДн добавьте журналы резервного копирования и инцидентов.
3. Утвердите формы журналов приказом и назначьте ответственных за их ведение.

Компания ICTech разработает для вашей организации полный комплект журналов по ПДн, утвердит их локальными актами и обучит сотрудников правильно их заполнять.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге