Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ведение журнала нарушений по персональным данным рекомендуется и в ряде случаев является необходимой частью системы внутреннего контроля. Такой журнал фиксирует все факты нарушений правил работы с ПДн (например, несанкционированный доступ, утечка, неправильное хранение, утеря бумажных документов). Его наличие подтверждает, что оператор не скрывает инциденты, а документирует их и принимает меры для устранения.
Что должно быть в журнале
Журнал нарушений обычно содержит:
- Дата выявления нарушения.
- ФИО сотрудника (или подразделение), допустившего нарушение.
- Суть нарушения (например, отправка ПДн по незащищённому каналу, потеря флешки с документами).
- Обстоятельства выявления (проверка, обращение субъекта, внутренний аудит).
- Принятые меры (замечание, обучение, технические меры).
- Должность и подпись лица, зарегистрировавшего нарушение.
- Подпись ответственного за ПДн о принятии мер.
- Обоснование по законодательству
Что должно быть в журнале
Журнал нарушений обычно содержит:
- Дата выявления нарушения.
- ФИО сотрудника (или подразделение), допустившего нарушение.
- Суть нарушения (например, отправка ПДн по незащищённому каналу, потеря флешки с документами).
- Обстоятельства выявления (проверка, обращение субъекта, внутренний аудит).
- Принятые меры (замечание, обучение, технические меры).
- Должность и подпись лица, зарегистрировавшего нарушение.
- Подпись ответственного за ПДн о принятии мер.
- Обоснование по законодательству
- Ст. 19 ФЗ-152 — оператор обязан фиксировать факты несанкционированного доступа к ПДн и принимать меры по их устранению.
- Приказ ФСТЭК России № 21 от 18.02.2013 — предусматривает ведение учёта нарушений безопасности и инцидентов в ИСПДн.
- ГОСТ Р 57580.1-2017 — требует регистрации инцидентов информационной безопасности, включая связанные с ПДн.
Практика проверок Роскомнадзора
Роскомнадзор при проверках часто спрашивает: как организация фиксирует нарушения и какие меры предпринимает для их устранения. Там, где журнал нарушений ведётся и прилагаются акты об устранении последствий, проверка признаётся успешной. В компаниях, где инциденты «замалчиваются» или фиксируются устно, Роскомнадзор указывает на системные нарушения и выдаёт предписания.
Что важно для компании
- Журнал нарушений помогает выявлять слабые места в защите ПДн.
- Он показывает регулятору, что оператор ведёт постоянный мониторинг и реагирует на инциденты.
- Даже если нарушение незначительное (например, сотрудник оставил распечатку на столе), его лучше зафиксировать и указать меры устранения.
Рекомендации и выводы
Да, вести журнал нарушений по ПДн необходимо. Это подтверждает, что оператор:
- Контролирует работу с данными.
- Реагирует на нарушения.
- Документально подтверждает исполнение требований ФЗ-152.
Компания ICTech поможет вашей организации разработать журнал нарушений по ПДн, включить его в пакет документов и выстроить процесс документирования инцидентов так, чтобы пройти проверку Роскомнадзора без рисков.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
