Алексей Ветров
Эксперт по защите данных IC-TECH
Закон прямо не требует составления акта о каждой передаче персональных данных по электронной почте. Однако оператор обязан документально фиксировать сам факт передачи и обеспечивать контроль каналов связи, чтобы подтвердить законность и безопасность обработки.
Обоснование по законодательству
- ФЗ-152, ст. 19 — оператор обязан принимать меры для защиты ПДн, в том числе при их передаче.
- Постановление Правительства РФ № 1119 — требует установления правил доступа и передачи данных в информационных системах.
- Приказ ФСТЭК № 21 — закрепляет обязанность фиксировать события, связанные с доступом и передачей информации.
Как можно документировать передачу ПДн по e-mail
- Журнал передачи ПДн — можно вести в бумажной или электронной форме, где фиксируется дата, адресат, цель и перечень переданных данных.
- Регламент использования корпоративной почты — должен содержать правила отправки ПДн (например, только с рабочих адресов, с применением шифрования или защищённых вложений).
- Технические средства защиты — системы логирования корпоративной почты сами по себе являются доказательством передачи и могут использоваться как официальный источник.
- Акты передачи — целесообразно оформлять не для каждой e-mail отправки, а при массовой или разовой передаче значимого массива ПДн подрядчику или другому оператору.
Практика проверок Роскомнадзора
Роскомнадзор в ходе проверок не требует акта по каждому письму, но обращает внимание на:
- наличие внутреннего регламента передачи ПДн по почте;
- возможность оператора подтвердить факт передачи (логи, журналы, реестры);
- использование защищённых каналов связи.
Некоторые компании штрафовали за то, что сотрудники отправляли ПДн с личной почты без документального закрепления правил.
Рекомендации и выводы
- Отдельный акт по каждому письму оформлять не обязательно.
- Достаточно утвердить регламент передачи ПДн по электронной почте и вести журнал учёта таких случаев.
- Для разовых крупных передач (например, бухгалтерских баз или данных клиентов подрядчику) акт передачи целесообразен как дополнительная защита компании.
Компания IC-TECH поможет с разработкой полного пакета документов по ФЗ-152, включая акты, приказы и регламенты, необходимые при обработке ПДн.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
