Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ведение журнала регистрации уничтоженных носителей, на которых хранились персональные данные, рекомендуется и во многих случаях является необходимым элементом внутреннего контроля. Хотя ФЗ-152 прямо не называет такой журнал обязательным, его наличие позволяет оператору подтвердить соблюдение требований закона о защите ПДн и правил уничтожения носителей.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры по защите ПДн, включая их уничтожение.
- Приказ ФСТЭК № 21 — требует фиксировать действия по защите информации, в том числе удаление или уничтожение носителей.
- ГОСТ Р 57580.1-2017 — рекомендует документировать события безопасности, включая списание носителей информации.
Что отражается в журнале
- дата уничтожения;
- вид и идентификатор носителя (серийный номер, инвентарный номер);
- способ уничтожения (механический, программный, передача подрядчику);
- реквизиты акта об уничтожении;
- ФИО и подпись ответственного лица.
Практика проверок Роскомнадзора
При проверках часто требуют показать не только акты об уничтожении носителей, но и системный учёт этих процедур. Компании, у которых есть журнал, легче подтверждают соблюдение требований закона. В некоторых случаях фиксировались нарушения именно из-за отсутствия такой систематизации.
Вывод
Да, журнал регистрации уничтоженных носителей нужен. Он не только дисциплинирует процесс и облегчает внутренний контроль, но и служит важным доказательством при проверках.
Полный пакет документов, включая журналы, акты и приказы, для соответствия ФЗ-152 Вам поможет разработать IC-TECH.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
