Алексей Ветров
Эксперт по защите данных IC-TECH
Да, акт о блокировке персональных данных обязателен. Согласно ФЗ-152, оператор обязан приостановить обработку данных субъекта в случае его требования (например, если сведения оказались неточными или незаконно обрабатываются). Чтобы подтвердить исполнение этого требования, организация должна оформить внутренний документ — акт о блокировке ПДн.
Зачем нужен акт:
- подтверждает, что оператор выполнил требование субъекта;
- фиксирует дату и основания блокировки;
- указывает, какие данные заблокированы и в какой системе;
- защищает компанию при проверках Роскомнадзора и в случае споров с субъектом.
Зачем нужен акт:
- подтверждает, что оператор выполнил требование субъекта;
- фиксирует дату и основания блокировки;
- указывает, какие данные заблокированы и в какой системе;
- защищает компанию при проверках Роскомнадзора и в случае споров с субъектом.
Обоснование по законодательству
- Ст. 21 ФЗ-152 — субъект вправе требовать блокирования своих ПДн при выявлении нарушений.
- Ст. 5 ФЗ-152, ч. 6 — оператор обязан обеспечивать точность и актуальность данных, а при выявлении неточностей — блокировать их.
- Ст. 19 ФЗ-152 — среди мер защиты названы документированные процедуры, включая фиксацию действий с ПДн.
- Ст. 13.11 КоАП РФ — нарушение порядка обработки данных (в том числе непринятие мер по блокировке) влечёт административную ответственность.
Практика проверок Роскомнадзора
В практике РКН были случаи, когда оператор заявлял, что данные по требованию субъекта были заблокированы, но акт составлен не был. Проверка признала это нарушением, так как компания не смогла документально подтвердить выполнение требований. В организациях, где велись акты блокировки и журналы обращений субъектов, претензий не возникало.
Что важно учесть при оформлении
- Акт оформляется на каждое обращение субъекта.
- В документе указываются: дата, ФИО субъекта, основание блокировки (например, заявление субъекта или предписание Роскомнадзора), перечень заблокированных данных, срок блокировки.
- Акт подписывается ответственным за ПДн и руководителем.
- При хранении электронных данных блокировка должна подтверждаться техническими средствами (например, ограничение доступа в системе).
Рекомендации и выводы
Да, акт о блокировке ПДн по запросу субъекта обязателен. Без него организация не сможет доказать выполнение требований закона. Чтобы соответствовать ФЗ-152:
- Разработайте форму акта блокировки и утвердите приказом руководителя.
- Ведите журнал регистрации таких актов.
- Назначьте ответственного за ПДн, который будет оформлять и хранить документы.
- Храните акты вместе с журналами обращений субъектов.
Компания ICTech разработает для вашей организации форму акта блокировки ПДн, журнал регистрации и встроит их в полный пакет документов по ФЗ-152. Это позволит избежать штрафов и показать Роскомнадзору реальное выполнение закона.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
