Нужно ли вести журнал передачи ПДн третьим лицам?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, ведение журнала передачи персональных данных третьим лицам — это обязательная мера, подтверждающая законность и контролируемость передачи ПДн. Такой журнал фиксирует все случаи, когда данные сотрудников, клиентов или партнёров передаются подрядчикам, государственным органам или иным организациям.

Без него невозможно доказать, что передача данных осуществлялась на законных основаниях, в пределах заявленных целей и с соблюдением условий согласия субъекта.

Что должно быть в журнале
Обычно в журнал включают:

- Дата передачи.
- Кому переданы данные (организация/ФИО, реквизиты).
- Основание передачи (согласие субъекта, договор, закон).
- Какие именно данные были переданы.
- Цель передачи.
- Должность и подпись лица, передавшего данные.
- Подпись лица, получившего данные (если передача физическая).

Обоснование по законодательству

• Ст. 6 ФЗ-152 — передача ПДн допускается только при наличии согласия субъекта или иного законного основания.
• Ст. 18.1 ФЗ-152 — оператор обязан фиксировать факты обработки, включая передачу ПДн третьим лицам.
• Ст. 19 ФЗ-152 — оператор обязан вести учёт операций с ПДн для обеспечения их безопасности.
• Ст. 13.11 КоАП РФ — нарушение требований к обработке и передаче ПДн влечёт административную ответственность.

Опыт проверок Роскомнадзора
На практике инспекторы требуют предъявить журнал передачи ПДн, особенно если компания работает с подрядчиками (например, бухгалтерия на аутсорсе, IT-поддержка, службы доставки). Там, где журнал отсутствует или заполняется формально, выдаются предписания и назначаются штрафы. В компаниях, где фиксировались все факты передачи с указанием оснований, проверка признаёт порядок ведения учёта корректным.

На что обратить внимание компаниям

• Журнал должен быть утверждён приказом руководителя.
• Должен вестись в бумажной или электронной форме (с ограничением на редактирование задним числом).
• Передача данных подрядчику фиксируется даже при наличии договора — это важно для доказательства контроля.
• Внутренние передачи (между подразделениями) в этот журнал обычно не заносятся, они отражаются в журнале доступа.

Рекомендации и выводы
Да, журнал передачи ПДн третьим лицам обязателен. Его ведение помогает компании:

1. Доказать законность каждой передачи данных.
2. Защититься от претензий Роскомнадзора.
3. Показать, что оператор контролирует, кому и какие данные передаются.

Компания ICTech разработает для вашей организации правильную форму журнала передачи ПДн, включит её в пакет документов и поможет настроить процесс так, чтобы при проверке у инспектора не возникло сомнений в законности передачи данных.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге