Алексей Ветров
Эксперт по защите данных IC-TECH
Да, фиксировать такие случаи рекомендуется, а в ряде случаев это прямо вытекает из обязанностей оператора по обеспечению документированной защиты ПДн. Журнал учёта передач подрядчикам помогает подтвердить законность и прозрачность обработки, а также является доказательством выполнения требований ФЗ-152.
Обоснование по законодательству
- ФЗ-152, ст. 18.1, ч. 1 — оператор обязан принимать меры, необходимые для выполнения обязанностей, в том числе вести учёт операций с ПДн.
- ФЗ-152, ст. 19, ч. 3 — при передаче данных подрядчику должны быть предусмотрены условия их сохранности и ограничения доступа.
- Приказ ФСТЭК России № 21 — требует фиксировать факты передачи и доступа к ПДн в информационных системах.
Зачем вести журнал передачи данных
- для доказательства законности передачи при проверке Роскомнадзора;
- для внутреннего контроля за соблюдением прав субъектов;
- чтобы отслеживать, кому, когда и какие данные были переданы;
- для проверки подрядчиков на предмет выполнения договорных обязательств.
Практика проверок Роскомнадзора
Роскомнадзор неоднократно отмечал, что при отсутствии журналов передачи организация не может подтвердить, кто именно и на каком основании получил ПДн. В ряде случаев предписывалось не только завести такие журналы, но и разработать регламент их ведения, чтобы обеспечить прозрачность передачи данных подрядчикам.
Рекомендации и выводы
Ведение журнала передачи ПДн подрядчикам — не формальность, а инструмент защиты компании. В журнале стоит фиксировать:
- дату и время передачи;
- наименование подрядчика;
- перечень переданных данных или категорий;
- основание передачи (договор, согласие субъекта, закон);
- ответственного сотрудника.
Такой журнал можно вести в бумажной или электронной форме, главное — обеспечить достоверность и сохранность записей.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
