Алексей Ветров
Эксперт по защите данных IC-TECH
Да, оформление журнала передачи персональных данных — обязательная практика для организаций, где ПДн передаются внутри компании (между отделами, ответственным сотрудникам) или вовне (подрядчикам, государственным органам). Такой журнал фиксирует факт передачи данных и позволяет контролировать, кто, когда и на каком основании получил доступ.
Для чего нужен журнал передачи ПДн:
- обеспечивает прозрачность процессов передачи;
- служит доказательством при проверках Роскомнадзора;
- помогает отслеживать соблюдение принципа «доступ только при необходимости»;
- снижает риск несанкционированного распространения данных.
Для чего нужен журнал передачи ПДн:
- обеспечивает прозрачность процессов передачи;
- служит доказательством при проверках Роскомнадзора;
- помогает отслеживать соблюдение принципа «доступ только при необходимости»;
- снижает риск несанкционированного распространения данных.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры по предотвращению несанкционированного доступа к ПДн, в том числе путём ведения учёта действий с ними.
- Ст. 19 ФЗ-152 — оператор должен фиксировать факты доступа к ПДн и обеспечивать возможность последующего контроля.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует документального оформления порядка доступа и учёта действий с ПДн.
- Ст. 13.11 КоАП РФ — нарушение порядка передачи и защиты ПДн влечёт административную ответственность.
Практика проверок Роскомнадзора
- В одной компании данные сотрудников передавались между отделами устно или по e-mail, но журнал не вёлся. РКН признал это нарушением и обязал завести журнал учёта передачи.
- В другой организации журнал был оформлен как бумажный документ: указывались ФИО сотрудника, получателя, дата и цель передачи. Проверка подтвердила правильность подхода.
- Хорошей практикой Роскомнадзор называет внедрение электронных систем учёта доступа и передачи ПДн, но для большинства компаний достаточно бумажного или Excel-журнала.
Важные моменты
- Журнал должен содержать обязательные реквизиты: дата передачи, категория данных, отправитель, получатель, основание передачи, подписи сторон.
- Он может быть бумажным (в виде книги учёта) или электронным (таблица, база данных).
- Важно фиксировать не только внешние, но и внутренние передачи (например, из отдела кадров в бухгалтерию).
- Журнал должен храниться в течение установленного срока и быть доступен при проверках.
Рекомендации и выводы
Да, журнал передачи ПДн обязателен. Его отсутствие создаёт риск штрафа и претензий со стороны Роскомнадзора. Чтобы соответствовать закону:
- Утвердите форму журнала в локальных актах.
- Ведите учёт всех случаев передачи данных внутри компании и за её пределы.
- Обеспечьте регулярное обновление и хранение журнала.
- Используйте журнал вместе с актами передачи и соглашениями о конфиденциальности.
Компания ICTech подготовит для вашей организации формы журналов передачи и доступа к ПДн, а также полный комплект документов по ФЗ-152. Это поможет доказать соблюдение законодательства и пройти проверку без штрафов.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
