Обоснование по законодательству
- Ст. 21 ФЗ-152 — обязывает оператора прекратить обработку и уничтожить персональные данные по требованию субъекта, если нет законных оснований для их дальнейшего хранения.
- Ст. 19 ФЗ-152 — закрепляет обязанность оператора документально оформлять организационные меры по защите и обработке ПДн.
- Ст. 18.1 ФЗ-152 — требует принятия внутренних актов, определяющих порядок обработки обращений субъектов.
Таким образом, ведение журнала прямо вытекает из обязанности фиксировать процесс рассмотрения запросов и подтверждать его документами.
Что фиксирует журнал
- Порядковый номер записи.
- Дата поступления запроса субъекта.
- Ф.И.О. или идентификатор субъекта (без избыточных данных).
- Суть запроса (удаление, блокировка, исправление и др.).
- Дата исполнения.
- Результат (данные удалены, отказ с обоснованием).
- Ответственный сотрудник.
Практика проверок Роскомнадзора
На проверках РКН регулярно требует представить журнал регистрации обращений субъектов. В одной компании при проверке было установлено, что запросы рассматривались, но записи о них не фиксировались. В результате Роскомнадзор квалифицировал это как нарушение организационных мер (ст. 19 ФЗ-152), так как отсутствовали доказательства документирования.
Рекомендации и выводы
Журнал регистрации запросов на удаление данных позволяет:
- подтвердить исполнение требований субъекта;
- показать наличие внутреннего порядка обработки обращений;
- снизить риски претензий регулятора.
Он может вестись в бумажной или электронной форме (например, в защищённой базе с ограниченным доступом).
Компания ICTech подготовит для вашей организации шаблон журнала и внедрит порядок его ведения. Это позволит вашей компании документально подтвердить выполнение ФЗ-152 и избежать штрафов.
