Журнал инцидентов с ПДн: образец и правила ведения
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждый месяц ко мне обращаются ИП и ООО после проверки Роскомнадзора.
Чаще всего — из-за одного: нет журнала инцидентов с персональными данными.
В этой статье — только практика: как вести журнал правильно, чтобы не получить штраф в 75 000 рублей.
Обязательно ли вести журнал инцидентов с ПДн?
Да, обязательно — если вы обрабатываете персональные данные. Согласно части 3 статьи 18.1 Федерального закона № 152-ФЗ, оператор обязан вести журнал учёта инцидентов в системах персональных данных.
Инцидент — это любое нарушение:
• утечка данных,
• несанкционированный доступ,
• потеря носителя (флешка, диск),
• взлом почты сотрудника.
Моё мнение: не ждите проверки. Я видел, как компании платили штрафы за то, что «просто забыли» завести журнал. Это как ездить без страховки — вопрос времени.
Что указывать в журнале?
Минимальные реквизиты по Методическим рекомендациям ФСТЭК и Роскомнадзора:
• Дата и время инцидента
• Описание события (что произошло)
• Категория инцидента (утечка, доступ, потеря)
• Персональные данные, затронутые инцидентом
• ФИО и должность ответственного
• Принятые меры (например, блокировка доступа, уведомление субъекта ПДн)
• Результат расследования
Совет от меня: ведите журнал в Excel или PDF, а не в тетради. При проверке Роскомнадзор требует электронную копию. И да — подпись и дата обязательны.
Кто должен вести журнал?
Обычно — ответственный за организацию обработки ПДн. Это может быть:
• сотрудник ИТ-отдела,
• юрист,
• администратор,
• или внештатный специалист (по договору).
Важно: его ФИО должно быть указано в политике обработки ПДн. Если нет — журнал не считается действительным.
Пример из практики: в одном деле суд отклонил штраф, потому что компания доказала, что журнал ведётся, ответственный назначен, а инциденты фиксируются. Даже если инцидентов не было — пустые записи за каждый месяц — это защита.
Как реагировать на утечку ПДн?
По статье 18.3 152-ФЗ, вы обязаны:
1. Зафиксировать инцидент в журнале в течение 24 часов
2. Принять меры по устранению (блокировка, смена паролей)
3. Уведомить Роскомнадзор — если затронуто более 1000 субъектов
4. Уведомить субъектов ПДн — если есть риск для их прав
Моё мнение: не скрывайте. Я советую клиентам: лучше признать, чем быть пойманным. Честность снижает штраф. А скрытая утечка — это уже признак злого умысла.
Можно ли вести журнал в бумажном виде?
Формально — можно. Но не рекомендую.
При проверке Роскомнадзор требует электронную копию, а бумажный журнал легко потерять, подделать или повредить.
Решение: ведите в Excel, подписывайте цифровой подписью, делайте резервные копии.
Мы в «ЛЕГАС» используем шаблон с автозаполнением дат и категорий — и передаём клиентам.
Заключение
Журнал инцидентов с ПДн — это не бюрократия. Это щит от штрафов и репутационных потерь.
Проверьте:
• Есть ли журнал?
• Ведётся ли он регулярно?
• Назначен ли ответственный?
• Были ли инциденты за последние 6 месяцев?
Если нет — заведите сегодня. Даже если инцидентов не было — запись “инцидентов не зафиксировано” — это уже соблюдение закона.
Скачайте образец журнала инцидентов с ПДн (Excel/PDF) — с правильными полями и комментариями.
Поделитесь статьёй с коллегой, который отвечает за ИБ или юротдел.
Подпишитесь на legascom.ru — разбираем сложное просто.
