Журнал учёта обращений субъектов ПДн: полное руководство по шаблону, обязательным полям и типичным ошибкам

Как правильно вести журнал, чтобы он защищал компанию, а не создавал дополнительные риски

Почему журнал обращений — это не формальность

Каждый человек, чьи данные обрабатывает компания, имеет право знать, что с ними происходит: запросить копию, потребовать исправления или удаления, отозвать согласие. Это не привилегия, а законодательно закреплённое право субъекта ПДн, описанное в главе 3 Федерального закона № 152-ФЗ [1].

Когда субъект обращается к оператору, возникает юридически значимое событие, которое нужно зафиксировать. Именно для этого существует журнал учёта обращений субъектов персональных данных. По сути, это доказательная база: он подтверждает, что оператор получил запрос, рассмотрел его в установленный срок и дал ответ. Без этого документа при проверке Роскомнадзора или в суде оператору крайне сложно доказать соответствие требованиям закона [4].

Тема актуальна для широкой аудитории: HR-специалистов, юристов, офицеров по защите персональных данных (DPO), ИБ-команд и руководителей компаний. Требования одинаково распространяются на малый бизнес, крупные корпорации, государственные органы и некоммерческие организации — на всех, кто является оператором ПДн в соответствии с российским законодательством.

1. Правовые основания: где и как закреплена обязанность вести журнал

1.1 Статья 22.1 152-ФЗ и сопутствующие нормы

Обязанность обеспечивать рассмотрение обращений субъектов и фиксацию результатов вытекает из совокупности норм 152-ФЗ. Статья 22.1 («Лица, ответственные за организацию обработки персональных данных») прямо требует от оператора назначить ответственное лицо и обеспечить организационные меры — в том числе ведение учёта [1].

Статьи 14–22 закона формируют перечень прав субъектов и корреспондирующих обязанностей оператора: право на доступ к своим данным (ст. 14), право на уточнение, блокирование и уничтожение (ст. 21), право на обжалование действий (ст. 17). Каждое обращение субъекта, основанное на этих статьях, порождает обязанность оператора его рассмотреть и задокументировать [1].

Постановление Правительства РФ № 687 от 15 сентября 2008 года «Об утверждении Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации» [5] также требует ведения учётных форм. Даже при неавтоматизированной обработке оператор обязан фиксировать операции с данными.

Приказ Роскомнадзора № 54 от 28 октября 2022 года, устанавливающий требования к уведомлению об обработке ПДн [6], косвенно формирует контекст: если оператор уже заявил о видах обработки, он обязан иметь и соответствующую документацию — включая журналы.

1.2 Изменения 2022–2025 годов

Поправки к 152-ФЗ, вступившие в силу 1 сентября 2022 года (Федеральный закон № 266-ФЗ от 14 июля 2022 года) [7], существенно расширили обязанности операторов:

1. Введена обязанность уведомлять Роскомнадзор об утечках (ч. 3.1 ст. 21).
2. Расширен перечень прав субъектов при автоматизированной обработке данных (новая ст. 16).
3. Ужесточены требования к трансграничной передаче данных (ст. 12).
4. Увеличен объём обязательной документации у оператора.

Федеральный закон № 420-ФЗ от 30 ноября 2024 года [8] продолжил ужесточение: он ввёл уголовную ответственность за незаконный оборот персональных данных (новые статьи 272.1–272.3 УК РФ) и многократно увеличил административные санкции. В этом контексте журнал обращений из «желательного» документа окончательно превратился в обязательный инструмент управления рисками.

Помимо этого, с 1 сентября 2025 года вступил в силу приказ Роскомнадзора № 140, регулирующий обезличивание данных [9], что дополнительно усиливает требования к документированию операций с ПДн.

1.3 Ответственность за нарушения

По данным Роскомнадзора и юридических аналитиков [3, 10]:

1. Непредставление субъекту ПДн информации по его запросу — административный штраф до 80 000 рублей для юридических лиц (ч. 4 ст. 13.11 КоАП РФ).
2. Неправомерная обработка ПДн — штраф до 300 000 рублей (ч. 1 ст. 13.11 КоАП РФ в новой редакции).
3. Повторное нарушение — до 15 000 000 рублей или 3% от годовой выручки [8].
4. При утечке более 10 миллионов записей — уголовное преследование по новым нормам УК РФ [8].

Отсутствие журнала при проверке — это прямое свидетельство того, что оператор не выстроил процессы обработки обращений, что само по себе является нарушением организационных требований безопасности [4].

2. Что такое обращение субъекта ПДн: виды и классификация

Прежде чем разобраться со структурой журнала, важно понять, что в него вносится. Обращение субъекта ПДн — это любое волеизъявление или запрос физического лица, данные которого обрабатываются, адресованный оператору в связи с реализацией его прав [1].

2.1 Виды обращений по содержанию

Опираясь на статьи 14–22 152-ФЗ, можно выделить следующие виды обращений:

1. Запрос на получение информации об обработке своих ПДн (ст. 14): субъект хочет узнать, какие данные о нём хранит компания, на каком основании, для каких целей и кому они передаются.
2. Запрос на уточнение (исправление) ПДн (ст. 21): например, изменилась фамилия или адрес, и субъект хочет обновить записи.
3. Запрос на блокирование ПДн (ст. 21): временное приостановление обработки, если данные неполные или неточные.
4. Запрос на уничтожение (удаление) ПДн (ст. 21): «право быть забытым» в российском праве.
5. Отзыв согласия на обработку ПДн (ст. 9): субъект вправе в любой момент отозвать ранее данное согласие.
6. Жалоба или заявление об оспаривании действий оператора (ст. 17): субъект считает, что его права нарушены.
7. Возражение против автоматизированной обработки (ст. 16): введено поправками 266-ФЗ в 2022 году.
8. Обращение через представителя: субъект действует через законного представителя или уполномоченное лицо.

2.2 Формы подачи обращений

Субъект может обратиться к оператору по-разному:

1. Письменно: в офис, по почте, через форму обратной связи на сайте.
2. В электронной форме: по email, через личный кабинет, через мессенджеры (если это предусмотрено политикой оператора).
3. Устно: по телефону или лично — в этом случае оператору рекомендуется предложить субъекту оформить обращение письменно либо самостоятельно зафиксировать факт устного обращения в журнале с максимальной детализацией [11].

Роскомнадзор в своих методических рекомендациях [4] указывает, что оператор вправе установить форму обращения во внутренних документах, однако не может отказать в рассмотрении обращения по причине несоответствия форме — это было бы нарушением прав субъекта.

3. Структура журнала: обязательные и рекомендуемые поля

Закон не содержит утверждённой единой формы журнала. Это означает, что каждый оператор разрабатывает её самостоятельно. Однако обязательный минимум полей чётко вытекает из требований 152-ФЗ и методических рекомендаций Роскомнадзора [4, 12].

3.1 Обязательный минимум полей

1. Порядковый номер записи — для идентификации и ссылки в переписке и ответах.
2. Дата регистрации обращения — с точностью до дня; именно с этой даты начинается отсчёт срока ответа.
3. Способ поступления обращения — почта, email, личный визит, телефон, форма на сайте, иное.
4. Сведения о субъекте ПДн: фамилия, имя, отчество (полностью), контактные данные для направления ответа. Паспортные данные или иные идентификаторы — только если это необходимо для верификации субъекта и предусмотрено внутренними документами оператора.
5. Суть обращения (тип запроса) — краткое описание того, что именно запрашивает или требует субъект, со ссылкой на соответствующую норму (например, «запрос информации по ст. 14 152-ФЗ», «отзыв согласия по ст. 9 152-ФЗ»).
6. Ответственный исполнитель — ФИО и должность сотрудника, которому назначено обращение.
7. Дата направления ответа субъекту — обязательна: именно по ней проверяется соблюдение сроков.
8. Содержание ответа или результат рассмотрения — кратко: «предоставлена информация», «данные уточнены», «в удовлетворении отказано с обоснованием», «данные уничтожены» и т.п.
9. Срок исполнения / дата фактического исполнения — если обращение требовало конкретных действий (уточнения, удаления), необходимо фиксировать, когда они были выполнены.
10. Примечания — свободное поле для нестандартных ситуаций, промежуточных статусов, пометок об обжаловании.

3.2 Рекомендуемые дополнительные поля

Следующие поля закон прямо не требует, однако они существенно повышают защитную функцию журнала:

1. Идентификатор обращения во внутренней системе (номер тикета, входящий номер) — для связи с другими документами.
2. Вид запроса с детализацией — не просто «запрос информации», а «запрос перечня третьих лиц, которым переданы данные» или «запрос о целях обработки биометрических данных».
3. Подтверждение личности субъекта — каким способом подтверждена личность (паспорт, СНИЛС, ЭЦП, код из SMS), это важно при дистанционных обращениях.
4. Основание отказа — если оператор отказал в удовлетворении требования, необходимо зафиксировать норму закона, на которую опирается отказ.
5. Информация о представителе субъекта — если действует представитель, его ФИО и реквизиты доверенности.
6. Отметка о направлении жалобы в Роскомнадзор — если субъект одновременно обратился в регулятор.
7. История изменений статуса — если журнал ведётся в электронном виде, полезно фиксировать все изменения статуса с датами и исполнителями.

3.3 Сроки ответа: что зафиксировано в законе

Статья 14 152-ФЗ устанавливает срок ответа на запрос субъекта — 30 календарных дней с момента регистрации обращения [1]. При необходимости этот срок может быть продлён ещё на 30 дней, но субъект должен быть уведомлён о продлении до истечения первоначального срока.

Статья 21 устанавливает срок уточнения, блокирования или уничтожения данных — 7 рабочих дней с момента получения заявления (при подтверждении фактов неточности или незаконности обработки). Для уничтожения данных, обрабатываемых без согласия, — также 7 рабочих дней [1].

Эти сроки необходимо чётко отражать в журнале: дата регистрации → контрольная дата ответа → фактическая дата ответа. Расхождение этих полей при проверке — один из ключевых показателей нарушения [13].

4. Шаблон журнала: практическое руководство по заполнению

Ниже приведена структура рекомендуемого шаблона. Она разработана с учётом требований 152-ФЗ [1], методических рекомендаций Роскомнадзора [4], типовых форм, опубликованных государственными органами [12], и лучших практик ведения документации.

4.1 Титульный лист и общие реквизиты

Журнал должен иметь:

1. Полное наименование организации (оператора ПДн) и её организационно-правовую форму.
2. Наименование документа: «Журнал учёта обращений субъектов персональных данных о реализации их прав при обработке персональных данных».
3. Дату начала ведения журнала (год начала) и дату его окончания (заполняется по факту).
4. Номер журнала по внутренней нумерации (если журналов несколько или они ведутся по годам).
5. ФИО и должность ответственного лица за ведение журнала.
6. Подпись ответственного лица и/или руководителя.
7. Гриф конфиденциальности (рекомендуется: «Конфиденциально. Персональные данные»).

4.2 Пример структуры записи (вместо таблицы)

Каждая запись в журнале должна содержать следующие пронумерованные элементы:

1. Порядковый номер — например, «2025-043».
2. Дата регистрации — «15.03.2025».
3. Входящий номер документа (если есть) — например, «Вх. № 47 от 15.03.2025».
4. Способ поступления — «письмо по электронной почте».
5. ФИО субъекта ПДн — «Иванов Иван Иванович».
6. Контактные данные для ответа — «ivanov@example.com».
7. Подтверждение личности — «адрес электронной почты совпадает с адресом, указанным при регистрации; дополнительно направлен код верификации».
8. Суть обращения — «Запрос предоставления информации о составе обрабатываемых персональных данных, целях и сроках обработки (ст. 14 152-ФЗ)».
9. Ответственный исполнитель — «Петрова А.В., специалист по защите персональных данных».
10. Контрольная дата ответа — «14.04.2025».
11. Дата фактического направления ответа — «28.03.2025».
12. Содержание ответа — «Направлен письменный ответ: предоставлен перечень обрабатываемых ПДн, цели обработки, срок хранения, сведения о третьих лицах».
13. Дата исполнения требования (если применимо) — «не применимо (информационный запрос)».
14. Статус — «Закрыто».
15. Примечания — «отсутствуют».

4.3 Правила заполнения

1. Журнал ведётся хронологически: каждое новое обращение вносится следующей строкой в порядке поступления.
2. Исправления в бумажном журнале вносятся путём зачёркивания ошибочной записи одной чертой (так, чтобы зачёркнутое оставалось читаемым) с указанием даты исправления и подписи лица, внёсшего исправление. Использование корректирующих средств (штрих) не допускается [5].
3. В электронном журнале должна обеспечиваться неизменность записей: редактирование допускается только с сохранением истории изменений, даты правки и идентификатора пользователя.
4. Пустые строки в журнале не допускаются: если место оставлено, оно перечёркивается.
5. Журнал не должен содержать избыточных персональных данных субъекта: достаточно имени, контактного адреса и сути обращения. Паспортные данные, дата рождения, номер телефона вносятся только при наличии обоснованной необходимости.

5. Срок хранения журнала и порядок передачи в архив

5.1 Нормативные требования к срокам хранения

Прямой нормы о сроке хранения именно журнала обращений субъектов ПДн в 152-ФЗ нет. Однако существуют несколько оснований для определения срока:

1. Перечень типовых управленческих архивных документов (утверждён Приказом Росархива № 236 от 20 декабря 2019 года) [14] относит документацию по персональным данным к категории с минимальным сроком хранения 3 года (ст. 401 Перечня), а документы, связанные с соблюдением прав граждан, — к 5-летнему или бессрочному хранению в зависимости от характера.
2. Срок исковой давности по требованиям о защите прав субъектов ПДн составляет 3 года (общий срок по ГК РФ) [15]. Хранить журнал следует минимум до истечения этого срока после закрытия последней записи.
3. Роскомнадзор в своих рекомендациях [4] указывает на хранение документов по обращениям в течение не менее 3 лет, а при наличии споров — до их полного разрешения.

Рекомендуемый практический минимум: 5 лет с момента закрытия журнала (или 5 лет с даты последней записи). Этот срок закрывает и исковую давность, и возможные запоздалые проверки [13].

5.2 Порядок передачи в архив

1. По окончании журнала (например, в конце года или при заполнении) составляется итоговая запись с указанием количества записей.
2. Журнал заверяется ответственным лицом и руководителем.
3. Бумажный журнал прошивается, листы нумеруются, ставится пломба (опционально).
4. Составляется акт передачи в архив с описанием.
5. Электронный журнал сохраняется в неизменяемом формате (PDF/A или аналог) с фиксацией хеш-суммы для обеспечения целостности.

6. Типичные ошибки и как их избежать

6.1 Ошибка 1: Журнал вообще отсутствует

Это самая грубая и распространённая ошибка. Многие компании, особенно малый и средний бизнес, считают, что журнал нужен только крупным операторам или только при обработке специальных категорий ПДн. Это заблуждение: 152-ФЗ не делает исключений по размеру организации [1].

Как избежать: разработать и утвердить форму журнала при создании пакета документов по ПДн (или в ходе его актуализации); закрепить обязанность его ведения во внутреннем Положении об обработке ПДн.

6.2 Ошибка 2: Журнал есть, но не заполняется

Форма утверждена приказом руководителя, но реальные обращения в него не вносятся — менеджеры отвечают клиентам напрямую, не фиксируя факт обращения. В результате при проверке журнал существует, но в нём ноль записей или записи годичной давности.

Как избежать: внести в должностные инструкции ответственного лица и сотрудников, принимающих обращения, прямую обязанность регистрировать все запросы субъектов. Установить процедуру: любое обращение в компанию по теме ПДн (независимо от канала) → направить ответственному → зарегистрировать в журнале.

6.3 Ошибка 3: Нарушение срока ответа (30-дневного)

Оператор ответил на запрос субъекта, но сделал это на 45-й день. В журнале контрольная дата есть, дата фактического ответа тоже есть — и очевидно нарушение срока. Именно это и проверяет Роскомнадзор в первую очередь [4, 13].

Как избежать: при регистрации обращения сразу вычислять и вносить контрольную дату; настроить напоминания для ответственного исполнителя за 5–7 дней до истечения срока; в случае необходимости продления — направлять субъекту уведомление и фиксировать это в журнале.

6.4 Ошибка 4: Неполное заполнение полей

Суть обращения описана как «вопрос по данным» без конкретизации. Результат — «ответ направлен», без указания, что именно было сделано. При жалобе субъекта или проверке оператор не может подтвердить, что конкретное требование было исполнено.

Как избежать: разработать и закрепить внутри компании стандарт заполнения с примерами (чек-лист для ответственного лица); ввести контроль качества заполнения (например, ежеквартальный просмотр журнала руководителем или DPO).

6.5 Ошибка 5: Запись обращения без фиксации результата

Обращение зарегистрировано, ответственный назначен, но в графах «дата ответа», «содержание ответа» и «статус» — пусто. Журнал «завис» с незакрытыми обращениями.

Как избежать: ввести двухэтапный контроль: (1) регистрация обращения → (2) закрытие обращения с фиксацией результата. В электронных системах это реализуется через статусы тикетов.

6.6 Ошибка 6: Хранение журнала с избыточными ПДн субъекта

В журнал вносятся паспортные данные, СНИЛС, полный адрес регистрации, данные о состоянии здоровья — хотя для регистрации и рассмотрения обращения это не нужно. В результате сам журнал становится источником риска: его утечка создаст нарушение.

Как избежать: строго ограничить состав фиксируемых данных необходимым минимумом; в шаблоне заранее указать, какие поля обязательны, а какие заполняются только при наличии обоснования.

6.7 Ошибка 7: Один журнал на все информационные системы

Крупные компании часто имеют несколько информационных систем с ПДн (CRM, 1С, HR-система, маркетинговая база). Субъект может быть зарегистрирован в нескольких из них. Журнал не указывает, в какой именно ИС были сделаны изменения по результатам обращения — и при проверке невозможно отследить цепочку.

Как избежать: либо вести отдельные журналы по ИС (с перекрёстными ссылками), либо в журнале добавить поле «Информационная система / источник данных». Это особенно важно при распределённом ИТ-ландшафте.

6.8 Ошибка 8: Отсутствие журнала на бумаге при электронном ведении

Компания ведёт журнал в Excel-файле на локальном компьютере без резервных копий и без разграничения доступа. При аппаратной поломке или уходе ответственного сотрудника журнал теряется.

Как избежать: хранить электронный журнал в защищённой системе с резервным копированием; разграничить права доступа; при необходимости распечатывать и заверять периодически (раз в квартал или по итогам года).

7. Журнал обращений и другие документы: как они связаны

Журнал учёта обращений — не изолированный документ. Он входит в систему документации оператора ПДн и должен быть согласован с другими документами [11, 13]:

1. Политика в отношении обработки ПДн (публичный документ, размещается на сайте по ст. 18.1 152-ФЗ) — содержит описание порядка рассмотрения обращений субъектов; журнал является инструментом исполнения этого порядка.
2. Положение об обработке персональных данных (внутренний документ) — закрепляет обязанность ведения журнала, его форму, ответственных лиц, сроки.
3. Реестр (перечень) информационных систем ПДн — позволяет при рассмотрении обращения быстро идентифицировать, в каких системах хранятся данные субъекта.
4. Журнал учёта передачи ПДн третьим лицам — при обращениях с запросом о получателях данных сверяется с этим журналом.
5. Журнал инцидентов / уведомлений об утечках — если обращение субъекта инициировано инцидентом безопасности, создаётся перекрёстная ссылка.
6. Согласия на обработку ПДн — при обращении об отзыве согласия необходима ссылка на конкретное согласие в журнале.
7. Уведомление в Роскомнадзор — перечень обрабатываемых категорий ПДн в уведомлении должен соответствовать тому, что реально обрабатывается и что сообщается субъектам в ответах на их запросы.

Согласованность этих документов — один из главных критериев оценки системы защиты ПДн при проверках Роскомнадзора [4, 12].

8. Электронный журнал vs бумажный: что выбрать

8.1 Аргументы в пользу бумажного ведения

1. Простота и привычность: не требует специальных систем.
2. Юридическая бесспорность: бумажный журнал с подписями сложнее оспорить с точки зрения подлинности.
3. Независимость от ИТ-инфраструктуры: не теряется при сбоях систем.

8.2 Аргументы в пользу электронного ведения

1. Поиск и аналитика: мгновенный поиск по ФИО, дате, статусу — критично при проверке.
2. Автоматические напоминания о сроках: система может предупреждать о приближении 30-дневного дедлайна.
3. Масштабируемость: при большом потоке обращений бумажный журнал становится неуправляемым.
4. Интеграция с другими системами: электронный журнал может автоматически создавать записи при поступлении обращений через форму сайта или email.
5. История изменений: каждое изменение фиксируется автоматически с указанием пользователя и даты.

8.3 Требования к электронной форме

Законодательство не запрещает электронное ведение журнала, но предъявляет требования [5]:

1. Обеспечение целостности данных: защита от несанкционированного изменения.
2. Разграничение доступа: журнал не должен быть доступен всем сотрудникам.
3. Резервное копирование: регулярное, с хранением на отдельном носителе.
4. Возможность формирования бумажного экземпляра по запросу регулятора.
5. При использовании облачных сервисов — соответствие требованиям о локализации данных на серверах в РФ (ст. 18.1 152-ФЗ).

9. Особенности для разных типов операторов

9.1 Работодатели (HR и кадровый учёт)

Работники являются субъектами ПДн, причём обрабатываются данные специальных категорий (состояние здоровья для медосмотров, сведения о судимостях для режимных предприятий). Запросы сотрудников о составе и целях обработки их данных — наиболее частый тип обращений в корпоративной практике [11].

Специфика: работодатель нередко смешивает обращения по трудовым спорам с обращениями по ПДн — это разные правовые режимы с разными сроками и процедурами. Журнал ПДн-обращений должен быть отдельным от журнала обращений по трудовым вопросам.

9.2 Медицинские организации

Обрабатываются специальные категории ПДн (состояние здоровья), что влечёт повышенные требования к защите. Пациенты активно пользуются правом на доступ к медицинской документации, что пересекается с режимом ПДн [12].

Специфика: запрос пациента на получение медицинской карты одновременно является и запросом субъекта ПДн на доступ к своим данным — оба требования должны быть удовлетворены параллельно и задокументированы в соответствующих журналах.

9.3 Финансовые организации (банки, МФО, страховщики)

Массовый поток обращений, в том числе через приложения и личные кабинеты. Автоматизация — практическая необходимость.

Специфика: нередки обращения с требованием удалить данные после погашения кредита. Здесь оператор вправе отказать в удалении до истечения установленных законом сроков хранения (АМЛ/ПОД-ФТ требования и нормативы Банка России) — это должно быть чётко обосновано и зафиксировано в журнале.

9.4 Интернет-компании и маркетплейсы

Обрабатывают большие объёмы данных пользователей, включая трансграничную передачу. Субъекты активно реализуют «право быть забытым».

Специфика: удаление данных пользователя в ответ на запрос может затрагивать несколько ИС и требует координации между командами — это должно отражаться в журнале через статусы и перекрёстные ссылки.

10. Тренды и изменения: куда движется регулирование

10.1 Рост числа проверок и жалоб

По данным Роскомнадзора [6], количество жалоб физических лиц на нарушения при обработке ПДн ежегодно увеличивается. В 2022 году было зарегистрировано более 27 000 обращений граждан в ведомство. Жалобы на непредставление информации по запросу — одна из самых распространённых категорий.

10.2 Переход к автоматизированному контролю

Роскомнадзор активно развивает инструменты автоматизированного мониторинга операторов ПДн [6]. В рамках единой государственной системы в сфере ПДн (ГИСП) планируется цифровизация взаимодействия между регулятором и операторами. Это означает, что в перспективе требования к документированию только возрастут — при одновременном смещении акцента на электронные форматы.

10.3 Усиление требований к правам субъектов в сфере автоматизированных решений

Поправки 2022 года (266-ФЗ) ввели статью 16 о праве субъекта возражать против автоматизированных решений [7]. По мере распространения AI-сервисов (рекомендательные алгоритмы, скоринг, профилирование) количество таких обращений будет расти. Журнал должен уметь фиксировать этот новый тип обращений.

10.4 Международный контекст: GDPR как ориентир развития

В европейском праве ведение реестра деятельности по обработке (ROPA) и документирование ответов на запросы субъектов регулируется статьями 30 и 12–22 GDPR [16]. Российское законодательство движется в схожем направлении, хотя и с национальной спецификой. Опыт европейских операторов показывает: компании, выстроившие автоматизированные процессы обработки запросов субъектов, тратят на compliance в 2–3 раза меньше ресурсов при сопоставимом объёме обращений (данные не найдены в открытых источниках — это экспертная оценка на основе наблюдаемых паттернов, рекомендуется верифицировать через отчёты IAPP или аналогичных организаций).

11. Чек-лист: как проверить, правильно ли ведётся ваш журнал

Следующие пункты помогут провести быструю самопроверку:

1. Журнал существует в виде утверждённого документа (приказ об утверждении формы есть).
2. Журнал ведётся регулярно: все обращения субъектов вносятся не позднее следующего рабочего дня.
3. Каждая запись содержит дату регистрации, ФИО субъекта, суть обращения и ответственного.
4. Контрольная дата ответа (30 дней) проставляется при регистрации каждого обращения.
5. Дата фактического ответа субъекту фиксируется сразу после направления ответа.
6. Нет ни одной незакрытой записи с истёкшим контрольным сроком.
7. Содержание ответа (результат рассмотрения) зафиксировано для каждого обращения.
8. В журнале нет избыточных персональных данных субъектов (паспортных данных, не нужных для идентификации).
9. Исправления сделаны без использования корректора.
10. Журнал хранится в месте, доступном только уполномоченным лицам.
11. Установлен порядок архивирования и срок хранения (минимум 3 года, рекомендуется 5 лет).
12. Форма журнала согласована с Положением об обработке ПДн и другими внутренними документами.
13. Сотрудники, принимающие обращения субъектов, знают, что их нужно регистрировать в журнале.
14. Ответственное лицо прошло обучение по требованиям 152-ФЗ в части прав субъектов.
15. При наличии нескольких ИС — журнал позволяет идентифицировать, в какой системе хранятся данные субъекта.

12. Как «Пятый фактор» помогает в управлении обращениями субъектов ПДн

Одна из ключевых сложностей при рассмотрении обращений субъектов — это не сам факт приёма запроса, а то, что происходит дальше: нужно быстро найти, в каких системах есть данные этого человека, проверить их актуальность, при необходимости — организовать уточнение или удаление в нескольких ИС одновременно.

Именно здесь проявляется проблема, которую решает платформа «Пятый фактор»: без единой актуальной карты ПДн ответственный за рассмотрение обращений просто не знает, где искать данные субъекта. Это приводит к задержкам, ошибкам и пропускам — что, в свою очередь, ведёт к нарушению 30-дневного срока ответа.

«Пятый фактор» — это on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, файловых хранилищах, почте, AD/LDAP, CRM, 1С и API. Платформа работает исключительно с метаданными, структурой и агрегатами — без передачи и хранения «сырых» значений ПДн. Это принципиально: сама платформа не становится новым источником риска.

Что это даёт при работе с журналом обращений:

1. При поступлении запроса субъекта ответственный сотрудник сразу видит «живую карту» — в каких системах есть данные этого человека, кто является владельцем данных в каждой ИС.
2. Новые поля, новые интеграции, новые источники ПДн фиксируются автоматически — риск «забыть» о данных в одной из систем при ответе на запрос субъекта сведён к минимуму.
3. Контроль становится процессом: понятные владельцы, статусы исполнения, согласования вместо разрозненных ручных проверок.
4. Аудит данных, который раньше занимал недели, выполняется в разы быстрее — это критично при 30-дневном сроке ответа субъекту.

Если ваша компания работает в сложном ИТ-ландшафте с множеством систем, «Пятый фактор» позволяет поставить управление ПДн на промышленные рельсы и резко снизить операционную нагрузку на ответственного за ведение журнала. Подробнее — на сайте 5factor.ru.

Что делать дальше

Журнал учёта обращений субъектов ПДн — это не бюрократическая формальность, а живой инструмент управления соответствием требованиям 152-ФЗ. Его правильное ведение защищает компанию от штрафов, помогает выстроить доверие с клиентами и сотрудниками и является свидетельством зрелости системы управления персональными данными.

Что сделать в ближайшее время:

1. Проверить, есть ли в компании утверждённая форма журнала — и начать его вести, если этого ещё не сделано.
2. Сверить форму журнала с обязательным минимумом полей, описанным выше.
3. Провести ретроспективный аудит: все ли обращения субъектов за последние 12 месяцев были зафиксированы и закрыты в срок?
4. Обновить внутренние документы (Положение об обработке ПДн, должностные инструкции) с учётом изменений 152-ФЗ 2022–2024 годов.
5. Оценить, нет ли в вашем ИТ-ландшафте «слепых зон» — систем с ПДн, данные которых не учитываются при ответе на запросы субъектов.
6. Рассмотреть автоматизацию учёта и контроля ПДн для снижения операционной нагрузки и рисков ошибок.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Кодекс Российской Федерации об административных правонарушениях, статьи 13.11–13.14 (в ред. 2023–2025 гг.) — https://www.consultant.ru/document/cons_doc_LAW_34661/

[3] Обзор изменений ответственности за нарушения в сфере ПДн 2023–2025. Контур — https://kontur.ru/kedo/spravka/53645-shtrafy_za_narushenie_trebovaniy_k_personalnym_dannym

[4] Роскомнадзор. Методические рекомендации по обработке персональных данных — https://rkn.gov.ru/personal-data/

[5] Постановление Правительства РФ от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» — https://www.consultant.ru/document/cons_doc_LAW_80090/

[6] Роскомнадзор. Официальный сайт. Информация об уведомлениях и проверках операторов ПДн — https://rkn.gov.ru/personal-data/p872/

[7] Федеральный закон от 14.07.2022 № 266-ФЗ «О внесении изменений в Федеральный закон "О персональных данных"» — https://www.consultant.ru/document/cons_doc_LAW_421799/

[8] Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации и Кодекс об административных правонарушениях» — https://www.consultant.ru/

[9] Приказ Роскомнадзора № 140 (2025). Новые правила обезличивания персональных данных. Хабр — https://habr.com/ru/articles/

[10] Изменения в 152-ФЗ в 2025 году. ESphere.ru — https://www.esphere.ru/blog/izmeneniya-v-obrabotke-personalnyh-dannyh-v-2025-godu/

[11] Субъект персональных данных — права и обязанности оператора. Action Market — https://action-market.ru/blog/biznes/subekt-personalnykh-dannykh/

[12] Шаблон журнала учёта обращений субъектов ПДн. Министерство социальной политики Свердловской области — https://msp.midural.ru/

[13] Документы по персональным данным в 2026 году. Legal Box — https://legal-box.ru/

[14] Приказ Росархива от 20.12.2019 № 236 «Об утверждении Перечня типовых управленческих архивных документов» — https://www.consultant.ru/document/cons_doc_LAW_347999/

[15] Гражданский кодекс РФ, статья 196 (Общий срок исковой давности — 3 года) — https://www.consultant.ru/document/cons_doc_LAW_5142/

[16] Regulation (EU) 2016/679 (GDPR), Articles 12–22, 30 — https://gdpr-info.eu/

[17] Персональные данные в 2025 году: новые правила. Nubes.ru — https://nubes.ru/blog/articles/personal-data-2025

[18] Перечень документов по 152-ФЗ для организации в 2025 году. IC-Tech — https://ic-tech.ru/news-i-blog/baza-znany/perechen-dokumentov-po-152-fz/