Алексей Ветров
Эксперт по защите данных IC-TECH
Да, ведение журнала регистрации нарушений при обработке персональных данных относится к мерам внутреннего контроля и защиты ПДн. ФЗ-152 прямо не устанавливает форму и название такого документа, однако в ст. 18.1 и 19 закреплены обязанности оператора документировать действия с ПДн и обеспечивать их защиту. Роскомнадзор в ходе проверок требует подтверждения, что организация выявляет, фиксирует и устраняет инциденты, связанные с ПДн.
Для чего нужен журнал регистрации нарушений:
- фиксирует факты нарушений и инцидентов (несанкционированный доступ, утечка, потеря документов, ошибки сотрудников);
- помогает подтвердить, что оператор контролирует исполнение ФЗ-152 и принимает меры;
- является основанием для разработки корректирующих мероприятий;
- служит доказательством добросовестности организации при проверках.
Для чего нужен журнал регистрации нарушений:
- фиксирует факты нарушений и инцидентов (несанкционированный доступ, утечка, потеря документов, ошибки сотрудников);
- помогает подтвердить, что оператор контролирует исполнение ФЗ-152 и принимает меры;
- является основанием для разработки корректирующих мероприятий;
- служит доказательством добросовестности организации при проверках.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан принимать меры по предотвращению нарушений при обработке ПДн, включая внутренний контроль и аудит.
- Ст. 19 ФЗ-152 — оператор обязан документировать факты несанкционированного доступа к ПДн.
- ГОСТ Р 57580.1-2017 и методические рекомендации ФСТЭК и ФСБ (рекомендательные акты) предусматривают ведение учётных форм для фиксации инцидентов.
Позиция Роскомнадзора
На практике Роскомнадзор требует от организаций доказательства, что они отслеживают нарушения и инциденты. В одной компании не было документации по учёту нарушений — проверка признала, что организация не выполняет требования внутреннего контроля (ст. 18.1). В другой организации вёлся журнал регистрации нарушений, где фиксировались все инциденты, а также меры по их устранению — претензий не возникло.
Что важно учитывать
- Журнал может быть в бумажном или электронном виде.
- В него рекомендуется включать: дату, описание инцидента, вовлечённых сотрудников, последствия и меры устранения.
- Должен вестись ответственным за ПДн или уполномоченным сотрудником службы безопасности.
- Записи в журнале должны подтверждать, что организация реагирует на нарушения и минимизирует риски.
Рекомендации и выводы
Да, журнал регистрации нарушений по ПДн обязателен как часть внутренней системы контроля. Чтобы соответствовать ФЗ-152:
- Разработайте форму журнала и утвердите её приказом.
- Обеспечьте ведение записей обо всех инцидентах с ПДн.
- Фиксируйте не только нарушения, но и меры по их устранению.
- Включите журнал в общий пакет документов по ПДн.
Компания ICTech подготовит для вашей организации шаблон журнала регистрации нарушений и поможет встроить его в систему внутреннего контроля по ФЗ-152. Это позволит пройти проверки Роскомнадзора без замечаний.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
