Алексей Ветров
Эксперт по защите данных IC-TECH
Да, журнал учёта обращений субъектов персональных данных является обязательным документом для любой организации, которая обрабатывает ПДн. Это один из ключевых инструментов внутреннего контроля, позволяющий фиксировать, как компания реагирует на запросы субъектов и исполняет их права, предусмотренные ФЗ-152.
Зачем нужен журнал:
- фиксирует все запросы субъектов (например, на предоставление информации, исправление, удаление или ограничение обработки данных);
- помогает отслеживать сроки ответа (не более 30 дней);
- служит доказательством для Роскомнадзора, что организация действительно рассматривает обращения и исполняет права субъектов;
- упрощает контроль работы ответственного за ПДн.
Зачем нужен журнал:
- фиксирует все запросы субъектов (например, на предоставление информации, исправление, удаление или ограничение обработки данных);
- помогает отслеживать сроки ответа (не более 30 дней);
- служит доказательством для Роскомнадзора, что организация действительно рассматривает обращения и исполняет права субъектов;
- упрощает контроль работы ответственного за ПДн.
Обоснование по законодательству
- Ст. 14 ФЗ-152 — субъект имеет право получать информацию об обработке его ПДн.
- Ст. 21 ФЗ-152 — оператор обязан предоставлять субъекту данные в течение 30 дней с момента обращения.
- Ст. 18.1 ФЗ-152 — оператор обязан закрепить порядок рассмотрения обращений субъектов, что на практике реализуется через ведение журнала.
- Приказ ФСТЭК № 21 от 18.02.2013 — требует наличия организационно-распорядительной документации, подтверждающей исполнение обязанностей оператора, включая регистрацию обращений.
Практика проверок Роскомнадзора
- Роскомнадзор при проверках всегда запрашивает журнал обращений субъектов.
- Если журнал отсутствует, организация не может доказать, что реагирует на запросы, что трактуется как нарушение.
- Пример: в одной компании обращения фиксировались только в электронной почте, без отдельного журнала. РКН указал, что этого недостаточно, и потребовал завести журнал в установленной форме.
- В другой организации в журнале отмечались даты обращений, меры и даты ответов. Проверка подтвердила соответствие требованиям закона.
Важные моменты
- Журнал может быть бумажным или электронным, но должен содержать минимум: дату обращения, данные субъекта, суть запроса, ответственного сотрудника, дату ответа.
- Рекомендуется закрепить форму журнала в положении об обработке ПДн.
- Хранение журнала должно обеспечивать защиту содержащихся в нём данных.
Рекомендации и выводы
Да, журнал учёта обращений субъектов ПДн обязателен. Чтобы соответствовать ФЗ-152 и требованиям РКН:
- Заведите журнал (бумажный или электронный).
- Определите ответственного за его ведение (обычно это назначенное лицо по ПДн).
- Фиксируйте все обращения и ответы на них.
- Используйте журнал как доказательство соблюдения сроков и порядка рассмотрения запросов.
Компания ICTech поможет вашей организации внедрить журнал обращений субъектов ПДн, разработать его форму и закрепить порядок ведения в пакете документов по ФЗ-152. Это обеспечит прозрачность процессов и защитит от претензий Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
