Ведение журнала передачи персональных данных контрагентам прямо не предусмотрено ФЗ-152. Однако такой документ относится к числу организационных мер защиты ПДн и рекомендуется для внутреннего контроля, особенно если передача осуществляется регулярно.
Обоснование по законодательству
- ФЗ-152, ст. 18.1, ч. 1 — оператор обязан принимать необходимые меры для выполнения требований закона, включая организационные меры.
- ФЗ-152, ст. 19 — оператор должен обеспечивать предотвращение неправомерного доступа и фиксировать действия с ПДн.
- Постановление Правительства РФ № 687 от 15.09.2008 — указывает на необходимость контроля за действиями третьих лиц, обрабатывающих ПДн по поручению.
Зачем нужен журнал передачи ПДн
- Фиксирует, какие данные, когда и кому переданы.
- Позволяет отслеживать соблюдение принципа минимизации — передача только тех данных, которые необходимы.
- Обеспечивает доказательную базу при проверке Роскомнадзора или судебных спорах.
- Упрощает контроль возврата или уничтожения данных контрагентом после выполнения договора.
Практика проверок и рекомендации
Роскомнадзор при проверках нередко интересуется, каким образом оператор подтверждает факт передачи ПДн третьим лицам и какие меры контроля применяет. Журнал передачи — удобный инструмент, который показывает прозрачность процессов.
Некоторые организации ведут журнал в электронном виде с автоматической регистрацией операций, другие — в бумажной форме, подписывая записи ответственными лицами.
Что учитывать при ведении журнала
- Указывать дату передачи, ФИО и должность лица, передавшего и принявшего данные.
- Фиксировать состав переданных ПДн (без раскрытия всех сведений, но с указанием категорий данных).
- Отмечать основание передачи (договор, поручение, запрос госоргана).
- Подписывать ответственным сотрудником.
Рекомендации и выводы
Закон прямо не обязывает вести журнал передачи ПДн контрагентам, но такой документ помогает компании подтвердить соблюдение требований ФЗ-152 и упростить внутренний контроль. Особенно целесообразно его вести в организациях с большим количеством партнёров и регулярной передачей данных.
