Перейти к содержанию
инструкция 22 февраля 2027 По состоянию на 22 февраля 2027

Журнал учёта обращений субъектов

Журнал учёта обращений субъектов — обязательный документ оператора ПДн, фиксирующий запросы, жалобы и требования физических лиц об уточнении, блокировании или уничтожении их данных.
Отсутствие журнала или нарушение сроков ответа субъекту даёт Роскомнадзору основание для штрафа по ч. 4 или ч. 5 ст. 13.11 КоАП — от 40 000 до 90 000 ₽ за каждый эпизод. При повторном нарушении по ч. 5.1 — до 500 000 ₽.
Если вы юрист и формируете пакет ОРД — ниже пошаговый порядок ведения журнала, необходимые реквизиты и типовые ошибки, которые фиксирует инспектор РКН. →

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: ответственность за неисполнение обязанностей перед субъектом выделена в отдельные составы с самостоятельными санкциями. Журнал учёта обращений субъектов — один из 38 документов полного пакета ОРД и первый документ, который запрашивает инспектор при проверке. Правильно организованный журнал позволяет доказать соблюдение 10-рабочих дней на ответ по ст. 20 ФЗ-152 и закрыть часть оснований для протокола ещё в ходе проверки.

Что такое журнал учёта обращений субъектов и зачем он нужен?

Субъект персональных данных вправе в любой момент направить оператору запрос о составе обрабатываемых данных, потребовать их уточнения, блокирования или уничтожения, а также отозвать согласие. Все эти обращения порождают процессуальные обязанности оператора с жёсткими сроками. Журнал учёта — инструмент контроля за соблюдением этих сроков и доказательная база при проверке РКН.

Требование вести документацию, подтверждающую исполнение обязанностей при обработке ПДн, вытекает из ч. 1 ст. 18.1 ФЗ-152: оператор обязан принимать меры, необходимые для выполнения закона, и обеспечивать их документальное подтверждение. Ответственный за организацию обработки, назначенный по ст. 22.1 ФЗ-152, обязан организовать приём и обработку обращений субъектов — без журнала выполнить эту функцию без нарушений практически невозможно.

«Ст. 20 ФЗ-152: оператор обязан предоставить субъекту запрошенные сведения в течение 10 рабочих дней с даты обращения; при необходимости срок продлевается ещё на 5 рабочих дней с уведомлением субъекта. Ст. 22.1 ФЗ-152: ответственный за организацию обработки ПДн организует приём и обработку обращений субъектов.»

Журнал не заменяет само исполнение требования субъекта, но позволяет зафиксировать факт обращения, дату входящего и дату ответа — то есть доказать соблюдение или разумно объяснить нарушение. Именно этого ждёт инспектор РКН при изучении документации.

Формируете ОРД для клиента или своей компании?

Журнал учёта обращений — один элемент из 38-документного пакета ОРД. Если у вас уже есть часть документов, но их состав или форма вызывают сомнения — проще проверить весь пакет целиком, чем закрывать пробелы по одному. Срок ответа субъекту в 10 рабочих дней не восстанавливается: первый пропущенный запрос может стать основанием для протокола по ч. 5 ст. 13.11 КоАП.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие обязательные реквизиты должен содержать журнал?

Форма журнала законом не утверждена. Это означает, что оператор разрабатывает её самостоятельно — но в соответствии с задачей документа: подтвердить соблюдение сроков и надлежащее реагирование на каждое обращение. Отсутствие обязательных реквизитов делает журнал формальным и бесполезным при проверке.

Минимально необходимые реквизиты каждой записи:

  • порядковый номер и дата регистрации обращения;
  • идентификатор субъекта (ФИО, без указания полных ПДн — для защиты субъекта);
  • форма обращения: письменное, электронное, через форму на сайте, устное с составлением акта;
  • содержание требования: предоставление сведений, уточнение, блокирование, уничтожение, отзыв согласия, иное;
  • контрольный срок ответа (10 рабочих дней с даты обращения);
  • дата ответа и краткое содержание ответа (исполнено / отказано с основанием / уточнено);
  • ответственный исполнитель — Ф.И.О. и подпись.

Дополнительно рекомендуется указывать основание обращения (ссылку субъекта на норму), способ подтверждения личности субъекта, а также отметку об уведомлении субъекта при продлении срока на 5 рабочих дней.

Что подготовить для полноценного учёта обращений

  • Форма журнала учёта обращений с реквизитами, перечисленными выше (утверждается приказом руководителя или ответственного по ст. 22.1).
  • Порядок идентификации субъекта при обращении — чтобы не раскрыть ПДн третьему лицу.
  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с указанием его полномочий по ведению журнала.
  • Шаблоны ответов субъекту — по каждому типу требования (предоставление, уточнение, блокирование, уничтожение, отзыв).
  • Журнал в электронной или бумажной форме с нумерацией и защитой от изменения записей задним числом.

Шаг 1. Установите порядок приёма обращений

До того как журнал начнёт работать, оператор обязан определить, по каким каналам субъекты могут направлять обращения. Это требование прямо следует из ст. 18.1 ФЗ-152: политика обработки ПДн должна содержать сведения о порядке осуществления субъектами своих прав. Без указания каналов обращения субъект лишён возможности реализовать право — что само по себе является нарушением.

Типовые каналы: почтовый адрес для письменных обращений, адрес электронной почты, форма на сайте, личный приём ответственного. Канал должен быть указан в политике конфиденциальности, опубликованной по ч. 2 ст. 18.1 ФЗ-152, и в тексте согласия на обработку ПДн. После 01.09.2025 согласие оформляется отдельным документом по ФЗ-156 от 24.06.2025, что делает требование к реквизитам согласия — включая указание способа отзыва — ещё более строгим.

Шаг 2. Зарегистрируйте обращение в день получения

Срок ответа субъекту — 10 рабочих дней — начинает течь с даты поступления обращения, а не с даты его обработки сотрудником. Поэтому запись в журнале должна появляться в день получения. Задержка регистрации сокращает фактическое время на подготовку ответа и создаёт риск формального нарушения срока даже при надлежащем исполнении.

Если обращение поступило устно, ответственный составляет краткий акт в произвольной форме и регистрирует его как входящее. Если через форму на сайте — фиксируется дата и время отправки по системному журналу. Важно: отметка «поступило» и отметка «исполнено» в журнале — разные строки с разными датами. Слияние этих отметок лишает журнал доказательной силы.

Шаг 3. Проверьте личность субъекта перед выдачей сведений

Оператор не вправе выдавать сведения о ПДн лицу, чья личность не подтверждена. Это вытекает из принципа конфиденциальности обработки и требований ст. 14 ФЗ-152. Практическая проблема: как идентифицировать субъекта при электронном обращении, не запрашивая у него избыточные ПДн.

Достаточные методы в зависимости от контекста: для клиентов — сопоставление e-mail с базой и ответ на контрольный вопрос; для работников — подтверждение через корпоративный аккаунт или личное обращение с предъявлением документа; для посторонних лиц, требующих уничтожения данных из маркетинговых баз, — обращение с указанием данных, позволяющих идентифицировать запись. Выбранный метод фиксируется в журнале.

Шаг 4. Подготовьте ответ в установленный срок

По ст. 20 ФЗ-152 оператор обязан ответить в течение 10 рабочих дней. Если для подготовки ответа требуется больше времени — субъект уведомляется о продлении до истечения 10 рабочих дней, и срок продлевается ещё на 5 рабочих дней. В журнале фиксируется дата уведомления о продлении и новый контрольный срок.

Содержание ответа зависит от типа требования. При запросе сведений — оператор предоставляет исчерпывающий перечень данных и оснований обработки. При требовании уточнения — уточняет или сообщает об отказе с мотивированным основанием. При требовании уничтожения — уничтожает или объясняет, почему закон обязывает хранить данные дольше (например, 75-летний срок хранения личного дела). Для каждого типа ответа в журнале должна быть отметка об исполнении с датой.

Шаг 5. Закройте запись и сохраните доказательства

Запись в журнале закрывается после отправки ответа субъекту. К записи должны быть прикреплены или сохранены отдельно: копия обращения (входящий), копия ответа (исходящий), подтверждение доставки (уведомление о вручении, отметка о прочтении письма, трек-номер). Без подтверждения доставки оператор не может доказать соблюдение срока.

Срок хранения журнала ФЗ-152 прямо не установлен. Исходя из общего принципа ст. 5 ФЗ-152 о хранении не дольше необходимого и сроков привлечения к административной ответственности — рекомендуется хранить не менее 3 лет. Если компания обрабатывает ПДн работников, сроки определяются Перечнем типовых управленческих документов.

Типичные ошибки при ведении журнала и их последствия

Практика проверок РКН показывает несколько повторяющихся нарушений, связанных именно с журналом учёта обращений.

Ошибка 1. Журнал не ведётся вовсе. Инспектор запрашивает документацию по ст. 18.1 ФЗ-152. Отсутствие журнала — прямое основание для протокола по ч. 4 ст. 13.11 КоАП (40 000–80 000 ₽ для юрлица) по каждому факту необеспечения субъекта информацией.

Ошибка 2. Нарушение срока ответа. Если журнал ведётся, но в нём зафиксировано, что ответ направлен позже 10 рабочих дней без уведомления о продлении, — это прямое доказательство нарушения ч. 5 ст. 13.11 КоАП (50 000–90 000 ₽; при повторности по ч. 5.1 — 300 000–500 000 ₽).

Ошибка 3. Неполные реквизиты. Журнал без даты регистрации или без отметки об исполнении не позволяет установить соблюдение срока. Инспектор квалифицирует это как отсутствие надлежащей документации.

Ошибка 4. Журнал не связан с политикой конфиденциальности. Политика должна содержать описание порядка реализации прав субъектов по ч. 2 ст. 18.1 ФЗ-152. Если порядок описан в политике, но реальный журнал ведётся иначе — возникает расхождение между декларируемыми и фактическими процессами.

Если к вам уже поступил запрос РКН или субъект угрожает жалобой — журнал без подтверждённых дат ответов не защитит от штрафа по ч. 5 ст. 13.11. Юристы DATUM проведут экспресс-аудит документации и при необходимости подготовят позицию для ответа на проверку.

Заказать аудит 152-ФЗ

Как это выглядит на практике

Кейс 1. В ходе плановой проверки (Центральный ФО, лето 2025) инспектор РКН запросил журнал учёта обращений. Компания представила таблицу, в которой даты поступления и даты ответа совпадали — очевидный признак ретроспективного заполнения. Инспектор составил протокол по ч. 4 ст. 13.11 КоАП (не обеспечено предоставление сведений субъекту). Штраф для юрлица составил несколько десятков тысяч рублей. Юрист компании оспорил постановление в суде, однако совпадение дат было признано доказательством нарушения.

Кейс 2. Технологическая компания (Сибирский ФО, начало 2026) получила обращение бывшего работника с требованием уничтожить персональные данные из маркетинговой рассылки. Ответственный по ст. 22.1 зарегистрировал обращение в день получения, уведомил субъекта о продлении срока на 5 рабочих дней в установленный срок и направил подтверждённый ответ с указанием состава уничтоженных данных. При последующей внеплановой проверке, инициированной жалобой этого же субъекта, документация позволила закрыть вопрос в ходе проверки — протокол по ч. 5 ст. 13.11 составлен не был.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Обязательный минимум включает: уведомление РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, согласия субъектов по ст. 9 (в редакции ФЗ-156 с 01.09.2025 — отдельный документ), приказ о назначении ответственного по ст. 22.1, журнал учёта обращений субъектов, документы об уровне защищённости ИСПДн по ПП РФ № 1119, а также регламент реагирования на инциденты. Полный пакет ОРД насчитывает 38 документов — их перечень зависит от масштаба и вида обработки конкретного оператора.

2. Как составить политику обработки ПДн?

Политика обработки ПДн должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень обрабатываемых данных, категории субъектов, перечень третьих лиц, которым передаются данные, описание мер защиты, а также порядок реализации прав субъектов — включая способ подачи обращения. Политика публикуется в открытом доступе (обычно на сайте) и вводится в действие приказом руководителя или ответственного. Шаблоны из интернета требуют адаптации: они не учитывают специфику конкретных информационных систем и категорий данных.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 требует назначить лицо, ответственное за организацию обработки ПДн, среди работников оператора-юрлица. Квалификационных требований закон не устанавливает, однако ч. 4 ст. 22.1 обязывает оператора обеспечить получение этим лицом необходимых знаний в области защиты ПДн. На практике назначают юриста, специалиста по ИБ или HR-директора — в зависимости от профиля обработки. Если внутреннего ресурса нет, функцию можно передать на аутсорсинг через договор по модели DPO.

4. Можно ли использовать шаблон политики из интернета?

Формально запрета нет, но практически бесполезно без адаптации. Типовой шаблон не отражает ваши реальные цели обработки, состав ИСПДн, перечень третьих лиц — получателей данных и конкретные меры защиты. Именно эти разделы проверяет инспектор РКН в первую очередь. Политика, скопированная с другого сайта и не соответствующая фактической обработке, создаёт дополнительный риск: несоответствие политики и реальных процессов — самостоятельное основание для протокола по ч. 1 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — не встраивается в договор, оферту, правила пользования или политику. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и реквизиты оператора, цель, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ отзыва. Ранее полученные согласия переоформлять не требуется — обратной силы у нормы нет. Но новые согласия и форма их получения (включая электронные) обязаны соответствовать новым требованиям.

6. Что проверяет РКН при документарной проверке?

При документарной проверке инспектор запрашивает: уведомление в реестре операторов ПДн (через pd.rkn.gov.ru), политику обработки ПДн, образцы согласий субъектов, приказ о назначении ответственного по ст. 22.1, журнал учёта обращений субъектов и подтверждение соблюдения сроков ответа. Отдельно изучается соответствие фактической обработки заявленным в уведомлении целям и категориям. Расхождения между реестром и фактической деятельностью — один из наиболее частых оснований для протокола.

Итог

Журнал учёта обращений субъектов — не формальный документ для галочки, а рабочий инструмент контроля за сроками и доказательная база для РКН. Его отсутствие или ненадлежащее ведение создаёт прямые основания для штрафов по ч. 4 и ч. 5 ст. 13.11 КоАП, которые с 30.05.2025 действуют в ужесточённой редакции.

Практика DATUM по сопровождению операторов ПДн охватывает формирование полного пакета ОРД, включая журнал обращений субъектов, шаблоны ответов и регламент ведения учёта — с адаптацией под конкретные ИСПДн и категории субъектов компании-оператора.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

22 февраля 2027 года