Журнал доступа к персональным данным в 2026 году: образец и правила ведения
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний выстроить защиту персональных данных и пройти проверки Роскомнадзора без штрафов. И почти каждый год ко мне обращаются с вопросом: «Как правильно вести журнал доступа к ПДн?».
В 2026 году требования к журналу не изменились, но многие до сих пор допускают ошибки, из за которых получают штрафы до 60 000 руб. (ч. 6 ст. 13.11 КоАП РФ). В этой статье — только практика: как вести журнал по закону, какой образец использовать и что проверять перед проверкой.
Кто должен вести журнал доступа к ПДн?
По 152 ФЗ (ст. 18.1), журнал обязаны вести все организации, которые обрабатывают персональные данные. Это касается:
• коммерческих компаний (ИП, ООО и т. д.);
• госорганов и муниципальных учреждений;
• любых структур, где есть сотрудники, клиенты, партнёры — то есть чьи то ПДн.
Важно: журнал нужен даже если у вас 1 сотрудник или 10 000 клиентов. Отсутствие журнала — прямое нарушение 152 ФЗ.
Мой совет: назначьте ответственного приказом — пусть один человек следит за заполнением журнала.
Какие сведения обязательно фиксировать?
Журнал должен содержать:
• дату и время доступа;
• ФИО и должность сотрудника, получившего доступ;
• цель доступа (например, «оформление договора», «расчёт зарплаты»);
• категории обрабатываемых ПДн (ФИО, адрес, ИНН и т. д.);
• основание доступа (приказ, должностная инструкция, согласие субъекта);
• отметку о завершении работы с данными (дата, подпись).
Пример записи:
Дата и время ФИО и должность Цель доступа Категории ПДн Основание Отметка о завершении
10.07.2026 14:30 Иванов А.А., бухгалтер Расчёт зарплаты ФИО, ИНН, реквизиты счёта Приказ № 15 к 10.07.2026, подпись
На практике: в 2025 году суд в Москве оштрафовал клинику на 40 000 руб., потому что в журнале не указывали «цель доступа» и «категории ПДн» — это сочли нарушением ст. 18.1 152 ФЗ.
Как часто обновлять журнал?
Записи вносятся в момент доступа или не позднее следующего рабочего дня. Ежемесячная или ежеквартальная сверка — хорошая практика, но не заменяет оперативное заполнение.
Мой комментарий: лучше заполнять журнал сразу — так вы избежите ошибок и пробелов перед проверкой.
Можно ли вести журнал в электронном виде?
Да, по приказу Роскомнадзора № 178 журнал можно вести:
• на бумаге;
• в электронном виде (Excel, 1С, CRM, специализированные системы);
• в гибридном формате (электронный + бумажный архив).
Важно: электронный журнал должен быть защищён:
• паролем;
• разграничением прав доступа;
• резервным копированием;
• электронной подписью (если требуется).
Что будет, если не вести журнал?
Отсутствие журнала или его неправильное ведение — это нарушение 152 ФЗ. Последствия:
• штраф от Роскомнадзора: до 60 000 руб. для юрлиц (ч. 6 ст. 13.11 КоАП РФ);
• предписание об устранении нарушений;
• внеплановая проверка;
• репутационные риски при утечке данных.
Пример: в 2024 году сеть магазинов получила штраф 50 000 руб. за отсутствие журнала доступа к ПДн. При проверке выяснилось, что сотрудники свободно получали доступ к клиентским данным без фиксации — это признали грубым нарушением ст. 18.1 152 ФЗ.
Заключение
Журнал доступа к персональным данным — не формальность, а ваш щит перед Роскомнадзором. Чтобы всё было по закону:
• ведите журнал для всех доступов к ПДн;
• фиксируйте все обязательные сведения (дата, цель, категории данных и т. д.);
• заполняйте записи сразу или на следующий день;
• используйте электронный формат, если это удобно, но обеспечьте защиту;
• назначьте ответственного за ведение журнала;
• проводите ежеквартальную сверку записей.
Сделайте это сейчас: проверьте, соответствует ли ваш журнал требованиям 152 ФЗ на 2026 год. Если нет — обновите форму и обучите ответственных.
Скачайте образец журнала доступа к ПДн от «ЛЕГАС» — готовая форма с заполненными графами и подсказками.
Поделитесь статьёй с коллегой — возможно, ему тоже пригодится эта информация!
