Что такое журнал учёта обращений субъектов ПДн
Журнал учёта обращений субъектов персональных данных — это документ (бумажный или электронный), в котором оператор персональных данных фиксирует все запросы, поступающие от физических лиц (субъектов ПДн) по поводу обработки их персональных данных.
Зачем вести журнал:
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» предоставляет субъектам широкие права в отношении их данных. Оператор обязан эти права реализовывать и фиксировать факт их реализации:
- Статья 14 — право субъекта на получение информации, касающейся обработки его персональных данных. Субъект вправе требовать от оператора сведения о том, какие данные обрабатываются, в каких целях, кому передаются;
- Статья 20 — обязанность оператора предоставить субъекту запрашиваемую информацию или мотивированный отказ в срок, не превышающий 10 рабочих дней с момента получения запроса;
- Статья 21 — обязанность оператора прекратить обработку ПДн, уничтожить или заблокировать данные в установленных законом случаях (отзыв согласия, достижение цели обработки, неправомерная обработка).
Журнал позволяет:
- контролировать сроки — закон устанавливает жёсткие сроки реагирования, нарушение которых влечёт ответственность;
- подтверждать исполнение обязанностей — при проверке Роскомнадзором журнал является доказательством того, что оператор надлежащим образом реагирует на обращения;
- систематизировать работу — в организации с большим числом клиентов (интернет-магазин, банк, медицинская организация) обращений может быть много, и без учёта легко пропустить сроки;
- анализировать обращения — статистика обращений помогает выявить системные проблемы в обработке ПДн.
С 1 сентября 2022 года вступили в силу изменения в 152-ФЗ, усилившие ответственность за нарушение прав субъектов ПДн. Штрафы по статье 13.11 КоАП РФ за непредоставление информации субъекту или нарушение сроков ответа составляют от 40 000 до 80 000 рублей для юридических лиц.
Как вести журнал учёта обращений
Закон 152-ФЗ не устанавливает обязательную форму журнала обращений субъектов ПДн. Организация вправе разработать свою форму с учётом специфики деятельности. Главное — обеспечить полноту учёта и возможность контроля сроков.
Форматы ведения журнала:
- Бумажный журнал — прошитая, пронумерованная, скреплённая печатью книга. Подходит для организаций с небольшим числом обращений (до 10–20 в год). Преимущество — юридическая значимость при проверках;
- Электронный журнал — таблица Excel, Google Sheets или специализированная система. Подходит для организаций с большим числом обращений. Рекомендуется обеспечить резервное копирование и защиту от несанкционированного изменения;
- В составе CRM/Helpdesk-системы — интеграция учёта обращений в существующую систему обработки заявок. Наиболее удобный вариант для крупных организаций.
Обязательные графы журнала:
| Графа | Описание |
|---|---|
| № п/п | Порядковый номер обращения (сквозная нумерация за год) |
| Дата поступления | Дата получения обращения оператором |
| ФИО субъекта | Фамилия, имя, отчество лица, направившего обращение |
| Способ обращения | Письменное, по электронной почте, через форму на сайте, устное |
| Суть обращения | Краткое описание запроса: доступ к ПДн, уточнение, удаление, отзыв согласия и т.д. |
| Ответственный исполнитель | ФИО и должность сотрудника, которому поручена обработка обращения |
| Срок ответа | Дата, до которой необходимо направить ответ (10 рабочих дней с даты получения) |
| Дата ответа | Фактическая дата направления ответа субъекту |
| Результат | Какие действия выполнены: предоставлена информация, данные уточнены, удалены, направлен мотивированный отказ |
| Примечание | Дополнительная информация (номер исходящего письма, ссылка на акт уничтожения и т.д.) |
Рекомендации по ведению:
- Назначьте ответственного за ведение журнала — как правило, это лицо, ответственное за организацию обработки ПДн;
- Обеспечьте регистрацию обращения в день его поступления;
- Храните копии ответов субъектам и подтверждения отправки;
- Журнал храните не менее 3 лет после его закрытия (общий срок давности по административным правонарушениям).
Образец журнала учёта обращений 2026
Ниже приведён образец заполнения журнала учёта обращений субъектов персональных данных с типичными записями.
ЖУРНАЛ
учёта обращений (запросов) субъектов персональных данных
ООО «Пример»
за 2026 год
| № | Дата поступления | ФИО субъекта | Способ | Суть обращения | Исполнитель | Срок ответа | Дата ответа | Результат |
|---|---|---|---|---|---|---|---|---|
| 1 | 10.01.2026 | Иванов И.И. | Запрос информации об обрабатываемых ПДн (ст. 14 152-ФЗ) | Петрова А.В. | 24.01.2026 | 15.01.2026 | Предоставлена информация об обрабатываемых ПДн, целях и сроках (исх. № 12 от 15.01.2026) | |
| 2 | 25.01.2026 | Сидорова М.А. | Письменное | Отзыв согласия на обработку ПДн | Петрова А.В. | 08.02.2026 | 30.01.2026 | Обработка прекращена, ПДн уничтожены (Акт уничтожения № 3 от 30.01.2026) |
| 3 | 03.02.2026 | Козлов Д.В. | Форма на сайте | Требование уточнить (обновить) ПДн — изменение фамилии | Смирнов К.Л. | 17.02.2026 | 05.02.2026 | ПДн уточнены во всех ИСПДн, субъект уведомлён (исх. № 28 от 05.02.2026) |
| 4 | 14.02.2026 | Белова Е.С. | Требование удалить ПДн из рекламной рассылки | Петрова А.В. | 28.02.2026 | 17.02.2026 | ПДн удалены из системы рассылки, субъект уведомлён (исх. № 41 от 17.02.2026) |
Начат: «10» января 2026 г.
Ответственный за ведение журнала: Петрова А.В., ответственный за организацию обработки ПДн
Каждая запись заверяется подписью ответственного исполнителя (в бумажном варианте). В электронном журнале вместо подписи фиксируется учётная запись сотрудника, внёсшего запись.
С помощью сервиса Кибероснова Документы вы можете сгенерировать готовый шаблон журнала учёта обращений субъектов ПДн, адаптированный под вашу организацию, с правильными реквизитами и примерами заполнения.
Сроки ответа на обращения субъектов ПДн
Законодательство устанавливает жёсткие сроки реагирования на обращения субъектов персональных данных. Нарушение этих сроков является самостоятельным правонарушением.
Основные сроки по 152-ФЗ:
| Тип обращения | Статья закона | Срок реагирования | Действия оператора |
|---|---|---|---|
| Запрос информации об обработке ПДн | ст. 14, 20 152-ФЗ | 10 рабочих дней с момента получения запроса (или 30 рабочих дней — при необходимости дополнительного запроса) | Предоставить информацию или мотивированный отказ |
| Требование об уточнении ПДн | ст. 21 152-ФЗ | 7 рабочих дней с момента представления субъектом сведений, подтверждающих необходимость уточнения | Внести изменения в ПДн, уведомить субъекта |
| Требование о блокировании неправомерно обрабатываемых ПДн | ст. 21 152-ФЗ | Незамедлительно (с момента установления факта неправомерной обработки) | Заблокировать ПДн на период проверки |
| Требование о прекращении обработки (отзыв согласия) | ст. 21 152-ФЗ | 30 дней с момента получения отзыва (если иное не предусмотрено договором) | Прекратить обработку, уничтожить ПДн |
| Требование об уничтожении ПДн | ст. 21 152-ФЗ | 7 рабочих дней при подтверждении неправомерности обработки; 30 дней при отзыве согласия | Уничтожить ПДн, составить акт уничтожения, уведомить субъекта |
Что делать при пропуске срока:
- Если срок ответа пропущен, необходимо как можно скорее направить ответ субъекту с извинениями и указанием причины задержки;
- Зафиксировать инцидент и провести внутреннее расследование причин пропуска;
- Принять меры по недопущению повторных нарушений (перераспределить нагрузку, назначить заместителя);
- Учитывать, что субъект вправе обратиться с жалобой в Роскомнадзор, который может инициировать проверку;
- Штраф за непредоставление информации субъекту — от 40 000 до 80 000 рублей для юридических лиц (ч. 4 ст. 13.11 КоАП РФ).
Важно: срок исчисляется в рабочих днях с момента получения запроса оператором. Если обращение поступило по почте — с даты получения письма (по штемпелю или журналу входящей корреспонденции). Если по электронной почте — с даты поступления на официальный e-mail организации.
Типичные обращения субъектов ПДн
На практике большинство обращений субъектов персональных данных относятся к нескольким основным категориям. Оператор должен быть готов к каждому типу обращений и иметь шаблоны ответов.
1. Запрос на доступ к персональным данным (ст. 14 152-ФЗ)
Субъект запрашивает информацию о том, какие его персональные данные обрабатываются, в каких целях, кому передаются, каковы сроки обработки и хранения. Это наиболее распространённый тип обращения.
Что включить в ответ:
- подтверждение факта обработки ПДн;
- правовое основание обработки;
- цели обработки;
- перечень обрабатываемых ПДн;
- сроки обработки и хранения;
- информацию о трансграничной передаче (если осуществляется);
- сведения о лицах, которым данные передаются.
2. Отзыв согласия на обработку ПДн (ст. 9 152-ФЗ)
Субъект отзывает ранее данное согласие. Оператор обязан прекратить обработку и уничтожить ПДн в течение 30 дней, если обработка не может осуществляться на ином правовом основании (например, договор или требование закона).
Важный нюанс: если обработка необходима для исполнения договора с субъектом или для соблюдения требований закона (например, хранение бухгалтерских документов), оператор вправе продолжить обработку, уведомив субъекта о правовом основании.
3. Требование об уточнении (обновлении) ПДн (ст. 21 152-ФЗ)
Субъект сообщает об изменении своих данных: смена фамилии, адреса, номера телефона. Оператор обязан внести изменения во все системы, где обрабатываются ПДн данного субъекта, в течение 7 рабочих дней.
4. Требование об удалении (уничтожении) ПДн (ст. 21 152-ФЗ)
Субъект требует удалить свои данные. Если обработка осуществлялась на основании согласия, которое отозвано, и иных правовых оснований нет — оператор обязан уничтожить данные. Факт уничтожения подтверждается Актом уничтожения персональных данных.
5. Жалоба на неправомерную обработку
Субъект заявляет, что его данные обрабатываются без законного основания, в избыточном объёме или в целях, на которые он не давал согласия. Оператор обязан провести проверку, и если факт неправомерной обработки подтвердится — заблокировать и уничтожить данные.
Для каждого типа обращений рекомендуется подготовить шаблоны ответов. Сервис Кибероснова Документы поможет сгенерировать как сам журнал, так и типовые шаблоны ответов на обращения субъектов ПДн.
