Учет обращений ПДн в 2026 в РФ перестал быть «бумажкой для Роскомнадзора». Это уже рабочий инструмент: он спасает от штрафов, конфликтов с сотрудниками и хаоса в почте. Но только если журнал обращений не живет в виде потерянного файла «new_new_журнал_итоговый2.xlsx».
Время чтения: 12-14 минут
В начале 2026 я поймала себя на знакомой картине: компания получает запрос по персональным данным, и дальше начинаются танцы — кто отвечал, что отправили, где доказательства. Кофе остывает, юрист нервно ищет письма, комплаенс кивает на «где-то был журнал обращений».
За последние 12 месяцев в PROMAREN я несколько раз видела, как простой, честно ведущийся журнал учета обращений субъектов персональных данных экономил сотни тысяч на штрафах и неделями сокращал разборы с регулятором. Расскажу, как сделать так же, но без фанатизма и тонны бумаги 🙂
Что такое журнал учёта обращений ПДн?
3 из 5 проверенных мною компаний в 2025-2026 путали учет обращений ПДн с общим делопроизводством, и в итоге у них не было ни одного нормального доказательства, что они вообще отвечают субъектам данных. Журнал обращений здесь играет роль «черного ящика» — без него спорить с Роскомнадзором почти нечем.
По ФЗ-152 журнал учета обращений субъектов персональных данных — это внутренний документ, где вы фиксируете все запросы людей о их персональных данных: доступ, уточнение, блокировка, уничтожение, прекращение рассылок. Проще: каждый раз, когда человек говорит «что вы обо мне храните, покажите», он автоматически попадает в этот журнал обращений.
Единой обязательной формы в законе нет, и это путает. Но по рекомендациям Роскомнадзора и типовым локальным актам оператора журнал учета ПДн обычно включает минимум: дату обращения, ФИО субъекта или наименование, суть запроса, способ получения, сроки и результат ответа, плюс подпись ответственного лица. По-хорошему сюда же добавляют номер исходящего ответа и заметки, если был отказ.
По данным разъяснений Роскомнадзора и практики проверок, отсутствие журнала учета обращений ПДн трактуется как отсутствие подтверждения выполнения обязанностей оператора по ст. 14 и 20 ФЗ-152. Норму можно посмотреть, например, на КонсультантПлюс (текст ФЗ-152), а в реальной жизни это превращается в протокол по ст. 13.11 КоАП.
Когда я в аудитах просила показать журнал учета персональных данных, чаще всего доставали либо абстрактный реестр ПДн, либо таблицу с обработками. Но именно учет обращений ПДн показывает, как вы реализуете права субъектов, а не только собираете данные. Это тот редкий документ, где права человека и внутренние процессы действительно встречаются.
Если сделать этот журнал живым — с понятными полями, ответственным и порядком ведения — он становится базой для автоматизации. В PROMAREN мы несколько раз завязывали над ним бота, который подсказывает сроки и формулировки для ответов. Про архитектуру заполнения и автоматизацию чуть подробнее расскажу в следующем блоке.
Как журнал обращений связан с правами субъекта ПДн
Субъект данных по ФЗ-152 имеет целый набор прав: узнать, какие ПДн вы обрабатываете, потребовать исправления, блокировки, удаления, отозвать согласие. Каждое такое действие запускает мини-процесс, и учет обращений ПДн помогает не потерять его по дороге. В идеале любой запрос, даже устный от сотрудника «а покажи-ка мне, что в моей личной карточке», падает в журнал обращений как запись с датой и статусом.
Это означает, что журнал учета обращений субъектов персональных данных становится мостиком между человеком и вашей кухней обработки данных. Юристы, HR, ИБ-шники могут смотреть на один и тот же объект, но через разные колонки. Данные идут своим путем, но след от взаимодействия с субъектом должен быть один и прозрачный. И если путь субъекта вы нигде не отметили — для регулятора его будто не было.
Чем учет обращений ПДн отличается от обычного делопроизводства
Иногда мне говорят: «Марина, у нас же уже есть общий журнал входящей корреспонденции, зачем ещё один». Формально можно вшить учет обращений ПДн в существующий реестр, но практика показывает, что такие гибриды быстро ломаются. В общем журнале теряются статусы по ФЗ-152, сроки, пометки про отказ или уточнение, и… и всё это превращается в ручной квест перед проверкой.
Отдельный журнал обращений нужен как специализированный слой: в нем свои обязательные поля, своя логика сроков (30 дней на ответ, 7-10 дней на внутреннюю проверку), свои ответственные. Общая почта фиксирует факт письма, а журнал учета персональных данных — выполнение закона. И когда через год человек придет с жалобой, вы откроете не всю переписку, а одну понятную строчку. Дальше переходим к вопросу, как эту строчку вообще правильно заполнять.
Как заполнить журнал обращений без бюрократического ада
По опыту PROMAREN, 80 % проблем с учетами обращений ПДн рождается не из закона, а из хаотичного процесса: кто-то что-то внёс, где-то забыли дату ответа, где-то не отметили отказ. Сам журнал обращений тут ни при чем, страдает архитектура — и в итоге компания теряет время и нервы.
На практике заполнение журнала учета обращений субъектов персональных данных укладывается в три понятных этапа: регистрация запроса, обработка и подготовка ответа, фиксация результата. Я обычно прошу команду сначала нарисовать это на доске, а уже потом открывать Excel или CRM, потому что без договоренности «кто за что отвечает» любой журнал обречен.
По состоянию на начало 2026 самые рабочие схемы выглядят одинаково и в банке, и в небольшой школе: запрос приходит по любому каналу — почта, бумага, форма на сайте, даже через мессенджер — и первая задача ответственного лица не начать сразу отвечать, а внести базовую строку в журнал учета ПДн. Это тот самый момент, когда вы фиксируете дату старта 30-дневного срока по ФЗ-152.
Что обязательно указать при регистрации обращения
Когда я прохожу с командой по реальным обращениям, чаще всего не хватает именно стартовых полей. В журнале обращений разумно сразу фиксировать: дату и время поступления, ФИО или название субъекта, контакт для ответа, краткое содержание запроса и канал, через который он пришел. Для внутренних обращений сотрудников иногда добавляем табельный номер или подразделение, чтобы быстрее искать данные.
Важный момент — описание сути. Вместо «запрос по ПДн» лучше писать «запрос на доступ к персональным данным по трудовому договору», «требование удалить данные из рассылки», «уточнение паспортных данных в личном деле». Чем конкретнее формулировка в журнале учета персональных данных, тем легче потом доказывать, что вы ответили именно по запросу. И не забывайте про графу «ответственный» — имя конкретного человека, а не абстрактный «отдел кадров».
Как фиксировать обработку и ответ в журнале ПДн
После регистрации начинается тихий операционный трэш: юристы, HR, служба ИБ что-то проверяют, кто-то согласует текст ответа. Если не отмечать эти шаги в журнале учета обращений субъектов персональных данных, через неделю сложно понять, где всё застряло. Я люблю добавлять промежуточный статус: «в работе», «ожидаем документы», «готов ответ».
Согласно ФЗ-152 и разъяснениям Роскомнадзора (официальный раздел по ПДн), ответ субъекту нужно дать бесплатно и в срок до 30 дней. В журнале обращений фиксируем дату направления ответа, способ (почта, электронная почта, личная выдача), сжатый результат: «предоставлен полный доступ», «частичный отказ — затрагивает третьих лиц», «данные уничтожены». Если вы отказали, в примечании кратко укажите основание — так легче объяснить позицию проверяющему.
Пример заполнения журнала обращений ПДн на реальном кейсе
Приведу живой пример, который мы с клиентом из розницы потом разбирали в обучении. В журнал учета обращений ПДн попадает строка: № 15, дата обращения 12.02.2026, субъект — Сидорова А.А., суть — «запрос на доступ к персональным данным по дисконтной карте и истории покупок», канал — электронная почта, ответственный — специалист по работе с клиентами.
Дальше: статус «в работе», служба маркетинга подтверждает список полей, ИБ проверяет, что при выгрузке не зацепили других клиентов. Дата ответа — 25.02.2026, результат — «предоставлены сведения по дисконтной карте, данные о третьих лицах скрыты», способ ответа — email. В примечании — номер исходящего письма. Один взгляд в журнал обращений через год показывает, что компания не игнорировала права субъекта и соблюла сроки. В следующем блоке станет видно, почему это критично, когда к вам приходит не Сидорова, а инспектор.
Почему учет обращений ПДн реально спасает в проверках
По официальным отчетам Роскомнадзора за 2024-2025 годы доля жалоб на игнорирование запросов субъектов ПДн стабильно держится около 70 %, и именно тут чаще всего всплывает отсутствие журнала обращений. У вас может быть идеальная политика конфиденциальности, но если вы не показываете учет обращений ПДн — регулятор видит это как системную проблему.
В 2026 я уже почти рефлекторно в первых строках аудиторского опросника спрашиваю: «Покажите, как вы ведете журнал учета обращений субъектов персональных данных». И очень быстро становится понятно, что именно этот документ разделяет компании на те, кто контролирует поток запросов, и тех кто каждый раз импровизирует. Вторым обычно достаются и штрафы, и затяжные споры.
Здесь важно помнить: Роскомнадзор смотрит не только на ответы по конкретному инциденту, но и на системность. Учет обращений ПДн, который ведется минимум несколько лет, показывает историю: сколько запросов, сколько отказов, как часто вы выходите за 30-дневный срок. Это уже не просто журнал обращений, а настоящая метрика зрелости обработки данных.
Как журнал обращений выглядит глазами Роскомнадзора
Когда инспектор приходит с проверкой (или запрашивает документы дистанционно), он хочет увидеть не набор разрозненных писем, а стройную картину. Журнал учета обращений субъектов персональных данных в этом смысле — витрина: по нему проверяющий быстро понимает, есть ли у вас порядок. Слишком пусто — подозрительно, слишком хаотично — тоже вопрос.
По опыту проектов PROMAREN, лучше всего выглядят журналы, где аккуратно отмечены и обращения сотрудников, и клиентов, и даже «запросы из любопытства», которым вы культурно отказали. Для Роскомнадзора это сигнал: права субъектов вы не только декларируете, но и реально учитываете. А когда в журнале обращений есть колонка с ссылкой на исходящий ответ, диалог с регулятором становится гораздо спокойнее: любой кейс поднимается за пару минут.
Чем помогает учет обращений ПДн в спорах с сотрудниками и клиентами
Не все конфликты доходят до проверок, иногда достаточно внутреннего скандала с сотрудником или публичного поста от клиента. Здесь журнал учета ПДн тоже неожиданно становится вашим союзником. Когда человек утверждает, что «писал три раза, а ему никто не ответил», вы открываете журнал обращений и видите: два письма, один ответ с датой, один корректно оформленный отказ.
В одном из кейсов HR-команда уверяла, что сотруднице всё отправили, но доказательств не было — письма со временем удалились, ответчик уволился. Если бы в журнале учета обращений субъектов персональных данных была строка с датой ответа и номером исходящего, спор бы даже не начался. Тут учет обращений ПДн работает как нормальный журнал переговоров — фиксирует не эмоции, а факты. А уже в следующем блоке поговорим, как этот же журнал помогает вырулить историю со штрафами.
Можно ли жить без штрафов за ПДн
Краткий ответ — да, если хотя бы три вещи у вас работают: нормальный учет обращений ПДн, понятные локальные акты и обученные сотрудники. Но чаще я вижу обратное: документы скачаи где-то в интернете, журнал обращений лежит отдельно, а люди о нем даже не знают. И вот тут риск штрафов уже вопрос времени.
Согласно статистике по ст. 13.11 КоАП за 2025 год, средний штраф для юрлиц за нарушения в части ПДн в РФ перевалил за 100 тысяч рублей, а в отдельных кейсах подбирается к полумиллиону. В 2026 тренд вряд ли развернется назад: регулятор явно усиливает фокус на исполнении прав субъектов. И наличие живого журнала учета обращений субъектов персональных данных здесь часто становится аргументом в вашу пользу.
Какие ошибки в журнале обращений чаще всего ведут к санкциям
Когда я разбираю реальные предписания Роскомнадзора, там всплывают одни и те же штуки. Во-первых, компания вообще не ведет журнал учета ПДн, при этом обрабатывает персональные данные сотен людей. Во-вторых, ведет, но выборочно — часть обращений фиксируется, часть нет (особенно устные запросы сотрудников). В-третьих, журнал обращений заполняется задним числом, а датам и срокам просто никто не верит.
Ещё частая история — отсутствие записей об отказах. Кажется, что легче «не светить» спорные случаи, но для регулятора это выглядит как игнорирование права на отказ. Аккуратно отраженный отказ в журнале учета обращений субъектов персональных данных с обоснованием по ФЗ-152 выглядит гораздо лучше, чем его отсутствие. И да, техническая ошибка вроде пропущенной даты ответа иногда бьет не хуже, чем отсутствие ответа как такового.
Что реально снижает риск штрафов по ФЗ-152
Здесь хорошо работает связка из трёх шагов, хотя я не очень люблю слово «шаги». Первое — приказом назначить ответственного за учет обращений ПДн и прямо в текст локального акта вписать, как ведется журнал обращений, кто его заполняет, где он хранится. Второе — минимально обучить сотрудников: раз в год показывать им живой журнал учета ПДн, разбирать 2-3 типовых запроса.
Третье — легкая автоматизация. В PROMAREN мы полезные штуки часто собираем через n8n или Make: письмо с темой «ПДн запрос» автоматически создает задачу и черновик строки в журнале обращений, а бот в Telegram напоминает про 30-дневный срок. Смысл автоматизации не в красоте, а в том, чтобы человеческий фактор меньше ломал выполнение закона. В следующем разделе покажу, какие формы журналов бывают, чтобы всё это легче было положить на рельсы.
Какие формы журналов ПДн выбрать в 2026
К началу 2026 я видела журналы учета обращений ПДн во всех вариантах — от аккуратной тетради в клеточку до монстра в корпоративной CRM. Спойлер: форма вторична, если не страдает логика. Но есть варианты, которые живут годами, а есть такие, которые умирают после первой проверки.
Формально актуальная форма журнала учета ПДн в РФ не утверждена централизованно — вы вправе разрабатывать её сами. На практике компании опираются на методические материалы Роскомнадзора и типовые шаблоны: журналы учета обращений субъектов персональных данных с 7-10 графами. Я обычно делю формы по двум осям: бумажные/электронные и «просто таблица»/«встроено в процесс».
Бумажный, Excel или CRM: что выбрать для журнала обращений
Если коротко, микробизнесу и небольшим школам чаще всего достаточно аккуратно сделанного Excel-файла с ограниченным доступом. Бумажный журнал учета обращений ПДн до сих пор живет в бюджетных учреждениях, и (нет, лучше скажу иначе) иногда это даже плюс: меньше рисков случайного редактирования и утечки. Но минус — сложнее искать и строить аналитику.
Для компаний средних и крупных размеров удобнее встраивать учет обращений ПДн в уже существующие системы: 1С, кадровые модули, Bitrix24. Там же можно завести карточку обращения, связать её с задачей на ответ и автоматически проставлять дедлайны. Главное правило — журнал обращений должен открываться за два клика тем, кто им реально пользуется. Всё, что требует пяти VPN и трёх паролей, через месяц перестают заполнять.
Какие колонки стоит предусмотреть в журнале учета ПДн
Несмотря на разнообразие форм, базовый набор полей у всех рабочих журналов учета обращений субъектов персональных данных примерно один. Я обычно предлагаю такой скелет, который можно расширять под отрасль:
- Дата и время обращения, плюс канал (почта, лично, электронная форма)
- ФИО/наименование субъекта и контакт для ответа
- Суть запроса с краткой формулировкой
- Ответственный исполнитель и статус обработки
- Дата и способ ответа, краткий результат
- Примечания: номер исходящего, ссылка на файл ответа, отметка об отказе
Этого хватает, чтобы и соблюсти требования к журналу обращений ПДн, и не превратить документ в энциклопедию. При желании можно добавить колонку «категория обращения» для будущей аналитики. Я поняла простую вещь: чем ближе форма журнала учета ПДн к реальному рабочему языку команды, тем меньше вероятность, что её забросят. И да, иногда лучше отрезать лишние поля, чем месяц спорить, кто их будет заполнять.
Сравнение минимальной и расширенной формы журнала обращений
Чтобы не превращать выбор формы в философский спор, я часто показываю простую сравнительную таблицу. Она помогает понять, когда достаточно базового варианта, а когда есть смысл заморочиться и втащить учет обращений ПДн в корпоративную систему.
| Тип формы | Когда подходит | Особенности ведения |
|---|---|---|
| Минимальная (Excel/бумага) | До 20-30 обращений в год, небольшие команды | Заполняется вручную, требует дисциплины, проще показать при проверке |
| Расширенная (CRM/1С) | Постоянный поток запросов, несколько ответственных | Интеграция с задачами, напоминания о сроках, сложнее на старте, но удобнее в масштабе |
В любом случае форма — не самоцель. Куда важнее, чтобы учет обращений ПДн был вписан в реальные процессы, а не жил отдельной жизнью в папке «для проверки». Тогда журнал обращений становится тем, чем и должен быть — рабочим инструментом, а не страшной таблицей из методички.
Зачем вообще заморачиваться с журналом обращений
Когда смотришь на учет обращений ПДн как на живой процесс, а не на «бумагу для Роскомнадзора», многое встает на места. Журнал обращений помогает быстро отвечать людям, держать под контролем сроки по ФЗ-152 и спокойно разговаривать с любыми проверяющими. И да, он дисциплинирует команду — вдруг оказывается, что запросы по персональным данным не так уж редки.
Хороший журнал учета обращений субъектов персональных данных — это честная архитектура под 152-ФЗ, а не ещё один файл «для галочки». Его не обязательно делать сложным: понятная форма, назначенный ответственный, пара автоматизаций через те же n8n или Make — и уже через полгода вы видите, как падает уровень хаоса. А если захочется углубиться, в статьях про автоматизацию на сайте PROMAREN я разбираю такие кейсы на схемах, а не только словами.
Хотела сказать, что это быстро делается честно, первый раз журнал учета ПДн всегда дается чуть тяжелее. Но потом он работает на вас — и на вашу репутацию, и на спокойный сон.
Обо мне. Марина Погодина, основательница PROMAREN и AI Governance & Automation Lead. С 2024 года помогаю в РФ выстраивать white-data процессы под 152-ФЗ, автоматизировать учеты и журналы через n8n и Make. Пишу разборы в блоге PROMAREN и в Telegram-канале.
Если хочется не просто шаблон журнала обращений, а работающую систему вокруг него — загляните на сайт PROMAREN или в мой бот с демо. Там я показываю, как журналы учета ПДн дружат с автоматизацией и где проходит граница между «сделать попроще» и «лучше один раз настроить».
Что ещё важно знать про учет обращений ПДн
Можно ли вести один общий журнал обращений для сотрудников и клиентов
Да, один журнал учета обращений ПДн для сотрудников и клиентов возможен, если в нем четко помечать тип субъекта и не смешивать внутренние комментарии с клиентскими данными. Важно, чтобы форма позволяла быстро фильтровать строки по категориям и вы не раскрывали в ответах информацию о других людях. При большом объеме обращений удобнее сделать два журнала с одинаковой структурой, но разными правами доступа. Тогда HR и клиентский сервис не будут видеть лишнее, а при проверке вы спокойно покажете оба реестра.
Можно ли отказаться от бумажного журнала и оставить только электронный
Да, электронный журнал учета обращений субъектов персональных данных вполне допустим, если обеспечена защита доступа и возможность восстановления истории. Оператору важно прописать в локальных актах, что журнал ведется в электронной форме, указать систему, правила доступа и резервного копирования. При проверке Роскомнадзор устроит выгрузка в читаемом виде, например в PDF или Excel. Следите, чтобы записи нельзя было незаметно подчищать задним числом, иначе доверие к такому журналу быстро падает.
Нужно ли в журнале обращений хранить сами тексты запросов
Закон напрямую этого не требует, но хранить тексты запросов полезно, хотя бы в виде ссылки на скан или файл в отдельном хранилище. В журнал учета ПДн имеет смысл вносить краткое содержание обращения и реквизиты исходного документа. При спорных ситуациях это позволит быстро поднять оригинал и сверить формулировки. Главное — не превращать журнал обращений в полноценный архив документов, а использовать его как навигатор: минимум описания плюс четкая ссылка, где лежит полный текст.
Как долго хранить журнал учета обращений субъектов ПДн
На практике журнал учета обращений ПДн хранят постоянно либо не менее трех-пяти лет, ориентируясь на общий срок делопроизводства в компании. Формально ФЗ-152 не устанавливает конкретный период, но при проверках часто поднимают обращения минимум за последние три года. Поэтому имеет смысл прописать срок хранения в номенклатуре дел и внутреннем положении. Для электронных журналов важно не забыть про архивирование и резервные копии, чтобы история не потерялась при смене системы.
Что делать, если о журнале вспомнили только перед проверкой
В такой ситуации лучше не пытаться переписать прошлое, а честно зафиксировать обращения за период, по которому у вас есть подтверждающие документы. Журнал учета обращений субъектов персональных данных можно быстро собрать по письмам, заявлению и исходящим ответам, но только в пределах того, что реально подтверждается. Параллельно стоит утвердить форму журнала, назначить ответственного и описать порядок ведения. На проверке это покажет, что вы приводите процессы к требованиям, а не рисуете историю с нуля.