Персональные данные

Содержание

Защита персональный данных при отправке истории болезни по электронной почте

Здравствуйте, Владимир!

Полагаю, Вы, не имея согласия субъекта персональных данных на отправку ему выписки из истории болезни по электронной почте, не имеете права осуществлять такие действия.

Согласно части 4 статьи 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» «перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных» в обязательном порядке субъект персональных данных указывает в согласии на их обработку.

Согласно ФЗ: Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Поэтому только в случае наличия согласия на пересылку выписки из истории болезни на конкретный эл. адрес можно осуществить такие действия в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг (п 4 части 2 статьи 10 ФЗ).

Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.

4. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4)цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Статья 10. Специальные категории персональных данных
1. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
1) субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;

Социальную рекламу с таким слоганом регулярно крутят практически все федеральные и местные телеканалы. И, конечно же, ее видели большинство наших читателей. Честно говоря, она не совсем понятна, но одно ясно совершенно четко: в результате утечки персональных данных (ПД) личная жизнь семьи становится известна всем и каждому.

В публикации «Любопытство не порок?» («Социальная газета» №4 от 23 января 2016 года) мы писали о том, как у самарских газовиков вдруг проснулось невиданное до сих пор любопытство и они потребовали от своих потребителей предоставлять более подробные персональные данные. Мало того, каждый должен был дать еще и письменное согласие на то, чтобы газовики использовали все эти данные так, как они хотят. А здесь недалеко и до предположения, что газовики могут продать их тем, кто составляет так называемые базы данных, или еще куда-нибудь, типа коллекторского агентства, сплавят. «Самарагаз» ведь не государственная структура, а частная.
После соответствующего запроса пришел ответ от заместителя генерального директора по реализации и транспортировке газа ОАО «Самарагаз» Натальи Бабенко. Она сообщила, что газовики собирают персональные данные и согласие на их обработку не по своей воле, а исключительно по требованию налоговой службы. И потому Наталья Бабенко просит опубликовать этот ответ как опровержение на какие-то необоснованные обвинения, выдвинутые автором публикации. При этом не указывает, что же надо опровергать.
После такого официального письма пришлось сделать запрос в Территориальное управление Федеральной налоговой службы по Самарской области и поинтересоваться, зачем мытарям вдруг потребовались такие объемные персональные данные потребителей газа, если для их идентификации достаточно ФИО и номера паспорта?
И.о. руководителя этого ведомства Александр Литонин в своем письме сообщил, что «у налоговых служб имеется необходимая информация о персональных данных налогоплательщиков Самарской области. Таким образом, необходимость в получении персональных данных абонентов «Самарагаза» отсутствует».
Кроме того, в письме из УФНС сказано, что подобная информация в соответствии с законом не подлежит разглашению по запросам третьих субъектов. Иначе говоря, газовики не вправе никому предоставлять наши ПД.
То есть ответ на нашу публикацию, полученный из «Самарагаза», является не чем иным, как самым настоящим обманом.
Ну а для того чтобы окончательно поставить все точки над i, пришлось сделать еще один запрос – в Территориальное управление Роскомнадзора по Самарской области. И поинтересоваться, кто и в каком объеме имеет право требовать предоставления персональных данных?
Руководитель этого ведомства Светлана Жданова сообщила, что на сегодняшний день не существует единого «нормативного стандарта» на требования о предоставлении ПД. Есть лишь отдельные законные и подзаконные акты и административные регламенты на предоставление государственных или муниципальных услуг, устанавливающие право на обработку персональных данных оператором в зависимости от его вида деятельности, в том числе обязывающие оператора получать согласие на их обработку. В соответствии с этими документами, отсутствие такого согласия может стать причиной отказа в предоставлении какой-либо услуги, установленной нормативным правовым актом. Но каждый случай неоказания какой-либо услуги из-за отказа в предоставлении согласия индивидуален и потому требует разбирательства, вплоть до судебного.
Словом, чем дальше в лес, тем больше дров. Отечественные законодатели, принимая вроде бы неплохой закон, опять же, как это зачастую бывает в их деятельности, не подумали, как его будут исполнять. То, что человеку, не предоставившему банку свои ПД и согласие на их обработку и распространение, не дадут кредит или даже не примут вклад, – это еще полбеды. Беда, когда за это же на полном законном основании человеку могут отказать в лечении не только в обычном стационаре, но даже и в дневном.
А теперь пора вернуться к нашим газовикам. Почему они от имени замгендиректора прислали в редакцию документ, который на поверку оказался, мягко говоря, не соответствующим действительности? И для чего они собирают в таком объеме наши персональные данные?
Мой приятель-политолог на этот вопрос ответил так: «Этот год – выборный. Значит, пора обновлять базы данных избирателей. Нет-нет, не для избирательных комиссий, а для тех, кто, скажем, хочет провести себя и свою команду в выборные органы не совсем прозрачным способом. Вот для этого и нужны данные. Для персональной обработки избирателей или для заполнения документов на избирательных участках. Конечно, поставщики голубого топлива на голубом глазу могут утверждать, что все это не так и никому ПД они передавать не будут. Но долго ли кому-то из наших хакеров взломать газовый сервер, если перед ними не могут устоять серверы даже крупнейших иноземных банков?
Конечно же, газовики здесь будут ни при чем, но данные уйдут тому, кому надо».
Политолог, разумеется, мыслит своими категориями. И это вполне понятно. Но все-таки очень интересно знать: зачем газовикам потребовались наши персональные данные? И нет ли в этом чего-то такого, что никак не вписывается в рамки российского законодательства? Эти вопросы редакция адресует в Управление Роскомнадзора по Самарской области. Тем более что инициатором социальной рекламы, о которой шла речь в самом начале этой публикации, является именно Роскомнадзор.
Кстати сказать, мини-опрос, который я провел среди своего ближайшего окружения, показал, что никто из опрошенных не имеет ни малейшего понятия о том, куда идут данные. Но почти все вспомнили конец ХХ века, когда различные базы данных практически в открытую продавали на самарском книжном рынке. На дисках была записана абсолютно вся информация о наших земляках, включая даже место и время лечения тех редких болезней, которые возникают не от нервов, а от любви.

Аркадий СОЛАРЕВ.
Фото Романа ГРАМОТЕНКО.

Персональные данные клиента обрабатывают только с его согласия

Под персональными данными понимают любые сведения, которые относятся к физическому лицу. Например, под персональными данными подразумевают:

  • ФИО клиента;
  • адресные данные;
  • контактные данные (номера телефонов, адреса электронной почты и т. п.),
  • сведения о его семье,
  • информацию о его мировоззрении, вероисповедании и т. д.

Если компания запрашивает у своих клиентов фамилию и электронный адрес при регистрации в интернет-магазине, телефон для связи при доставке товара и адрес проживания, чтобы привезти заказ, она считается оператором персональных данных клиентов. У любой компании, которая обрабатывает персональные данные клиентов, есть обязанности:

  1. Направить в Роскомнадзор уведомление о намерении работать с персональными данными клиентов. За нарушение компанию оштрафуют (ст. 19.7 КоАП РФ).
  2. Выполнять требования, которые установили в Федеральном законе от 27 июля 2006 г. № 152-ФЗ «О персональных данных». За нарушение требований закона Роскомнадзор привлекает компании к ответственности по ст. 13.11 КоАП РФ. С 1 июля 2017 года вступают в силу новые правила, значительно вырастают штрафы за нарушения правил о защите персональных данных клиентов.

Юристу компании необходимо уведомить Роскомнадзор, что организация собирается запрашивать личные данные у клиентов. Также нужно следить, чтобы в отношении полученных данных не было нарушений. Это обезопасит компанию от штрафов и других санкций.

Когда компания занимается обработкой персональных данных клиентов, она обязана соблюдать принципы обработки (ст. 5 закона № 152-ФЗ). В частности, компания вправе запрашивать только данные, которые отвечают целям их обработки (ч. 4). Если, например, компании нужно знать адрес клиента, чтобы доставить заказ, нельзя требовать сканы личных документов.

Обрабатывать персональные данные клиентов можно только в определенных законом случаях

В законе 152-ФЗ присутствуют ограничения на обработку данных. В каких случаях можно запрашивать информацию у клиентов, указано в ч. 1 ст. 6 закона. Например, компания может обрабатывать персональные данные клиента, если это нужно для подписания или исполнения договора. В частности, банк запрашивает данные для заключения кредитного договора с физическим лицом. А интернет-магазину нужно знать телефон для связи с клиентом, чтобы оперативно доставить товар. Юристу компании нужно обратить внимание, чтобы у клиентов не требовали данные в случаях, когда закон этого не предусматривает.

Перед обработкой персональных данных клиента требуется получить его разрешение

Обработка персональных данных клиента возможна только с его согласия (ст. 9 закона № 152-ФЗ). Юристу нужно проконтролировать составление типового документа, с помощью которого компания будет получать согласие на обработку. Если компания ведет деятельность через интернет-магазин, в качестве соглашения нужно опубликовать текст о предоставлении персональных данных клиента. Пользователь магазина сможет дать согласие, если поставит галочку в соответствующем чек-боксе и нажмёт на кнопку «Я согласен». Обычно программисты внедряют форму для подтверждения согласия так, чтобы ознакомление с ней и заполнение нужного поля было обязательным шагом при оформлении заказа. Если компания взаимодействует с физическими лицами очно, потребуется получить согласие при помощи бумажного варианта документа.

В документе о согласии на обработку персональных данных клиента должны присутствовать пункты, которые указаны в ч. 4 статьи 9 закона № 152-ФЗ. В частности:

  • наименование компании,
  • адрес компании,
  • перечень персональных данных клиента,
  • цели обработки данных.

Если гражданин откажется, компания должна прекратить обработку персональных данных клиента в течение 30 дней (ч. 5 ст. 21 закона № 152-ФЗ).

Доступ к персональным данным клиентов нужно предоставлять их владельцам

Если гражданин, который передал компании персональные данные, просит дать к ним доступ, компания обязана это сделать (ст. 14 закона № 152-ФЗ). При этом гражданину потребуется предоставить не только сведения о нем, но и другую информацию. Например, с какой целью компания хочет обрабатывать персональные данные клиента и на каком основании. Информацию следует передать за 30 дней после получения запроса от гражданина (ст. 20 закона № 152-ФЗ).

Из этого правила есть исключения (ч. 8 ст. 14 закона № 152-ФЗ). Например, компания не должна предоставлять клиенту данные, которые получила в результате оперативно-разыскной деятельности и также благодаря работе разведки или контрразведки.

Если физическое лицо запрашивает свои данные у госорганов, подобные структуры руководствуются при ответе на запрос особыми нормативными актами. Например, для Минфина РФ существуют Правила рассмотрения запросов субъектов персональных данных или их представителей в Министерстве финансов Российской Федерации.

Персональные данные клиента следует корректировать или удалять по его требованию

Если клиент требует внести изменения, блокировать или уничтожить его данные, компания обязана сделать это (ч. 1 ст. 14 закона № 152-ФЗ). Данные могут устареть, быть неполными или неточными. А также может оказаться, что их получили незаконно, или компания ведет обработку персональных данных клиента в иных целях, чем заявляла. Требование клиента следует выполнить сообразно срокам, которые установили в ст. 21 закона № 152-ФЗ.

Если в компании не предусмотрели специального адреса для обращений по подобным поводам, письмо клиента может попасть в общие папки или спам. Сотрудники компании не обратят на него внимания, компания не выполнит требование в срок, это повлечет штраф. Лучше указать специальный адрес для писем по поводу персональных данных клиентов.

Нужно обеспечить сохранность персональных данных клиентов

Когда компания обрабатывает персональные данные клиентов, одна из ее обязанностей – проинформировать аудиторию о том, что она делает для сохранности это информации и какой именно политики придерживается. В частности, клиенты должны знать, кому и на каких основаниях компания будет передавать эти данные. На сайте компании следует создать об этом раздел в открытом доступе и дать на него ссылку на главной странице. Каждый посетитель сайта должен иметь возможность ознакомиться с политикой компании и с теми мерами, которые она предпринимает для защиты персональных данных клиентов (ч. 2 ст. 18.1 закона № 152-ФЗ).

Для защиты персональных данных клиентов компания должна принять меры

Оператор персональных данных клиентов должен обеспечить сохранность информации. Для защиты сведений следует соблюдать правила:

  • ст. 19 закона № 152-ФЗ;
  • Требований к защите персональных данных при их обработке в информационных системах персональных данных (утв. постановлением Правительства РФ от 1 ноября 2012 г. № 1119);
  • Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (утв. постановлением Правительства РФ от 15 сентября 2008 г. № 687).

Бесплатные конференции в регионах

29 марта — Екатеринбург; 26 апреля — Новосибирск; 31 мая — Нижний Новгород

Тема: Как работать в 2019 году: Изменения для ООО и АО, процессуальная реформа и субсидиарная ответственность

Профессиональная справочная система для юристов, в которой вы найдете ответ на любой, даже самый сложный вопрос.
Попробуйте бесплатный доступ на 3 дня >>

Самые популярные рекомендации в Системе Юрист в этом месяце

Восемь опасных условий договоров аренды, услуг и подряда
Смотрите, какие условия суды чаще всего оценивают по-разному. Возьмите в договор безопасные формулировки таких условий. Используйте позитивную практику, чтобы убедить контрагента включить условие в договор, а негативную – чтобы убедить отказаться от условия.

Как судиться с приставами: алгоритм работы
Оспаривайте постановления, действия и бездействие пристава. Освобождайте имущество от ареста. Взыскивайте убытки. В этой рекомендации все, что нужно: четкий алгоритм, подборка судебной практики и готовые образцы жалоб.

Как налоговая на самом деле проверяет сведения в ЕГРЮЛ
Читайте восемь негласных правил регистрации. Основано на показаниях инспекторов и регистраторов. Подойдет для компаний, которым ИФНС поставила метку о недостоверности.

20 новых правовых позиций судов о взыскании судебных расходов
Свежие позиции судов по неоднозначным вопросам взыскания судебных расходов в одном обзоре. Проблема в том, что множество деталей до сих пор не прописано в законе. Поэтому в спорных случаях ориентируйтесь на судебную практику.

Обзор практики по уведомлению контрагентов
Отправляйте уведомление на сотовый, по e-mail или бандеролью.

Какие книги необходимо вести организации?

Обязанность ведения журналов, связанных с ПДн, устанавливается локальными правовыми актами самой организации, правовыми актами органов субъектов РФ либо нормативными актами федеральных органов исполнительной власти.

Поэтому единой формы для того или иного журнала законодателем не предусмотрено.

На различных предприятиях ведутся следующие журналы, связанные с персональными данными:

  1. Учета передачи ПДн – документ, который нужен для того, чтобы фиксировать операции, связанные с обработкой и передачей личных сведений. Согласно ТК РФ, в обязанности руководителя входит обеспечение защиты предоставленных ПДн сотрудников. Для того, чтобы сторонние лица не имели доступа к конфиденциальным сведениям работников, на предприятии должны вестись специальные журналы учета передачи документов (иных форм носителей), содержащих личные данные.
  2. Учета обращений граждансубъектов ПДн – журнал по регистрации обращений и запросов субъектов персональных данных. Обязанности ведения такого акта предусмотрена ч. 4 ст. 22.1. ФЗ «О персональных данных», в соответствие с которой лицо, ответственное за организацию обработки личной информации, обязано организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей.
  3. Ознакомления с положением о защите ПДн – данный документ заменяет лист ознакомления с положением о защите конфиденциальных сведений, в случае если необходимо ознакомление большого количества работников с указанным Положением.
  4. Учета лиц, допущенных к работе с ПДн в информационных системах персональных данных – документ определяет порядок учета лиц, допущенных к работе с использованием конфиденциальных сведений. В журнале также указываются данные о проведении инструктажа с правилами работы с персональными данными.
  5. Учета машинных носителей ПДн – документ, в котором учитываются все физические машинные носители, использующиеся для хранения или переноса ПДн. Для ведения такого журнала учета лиц каждому машинному носителю, к флешке, ПК должен присваиваться инвентарный учетный номер.
  6. Мероприятий по контролю обеспечения защиты ПДн – указанный документ содержит перечень периодически проводимых мероприятий по обеспечению защиты конфиденциальных данных сотрудников организации. Журнал также содержит информацию о результатах внутренних проверок выполнения режима защиты ПДн.
  7. Регистрации нарушения и восстановления ПДн – журнал закрепляет информацию о произведенных нарушениях, о самих сотрудниках, допустивших нарушение и мерах, которые были предприняты для восстановления нарушенных требований к обработке и использованию персонал. сведений.
  8. Регистрации согласий на обработку ПДн – документ, закрепляющий согласие и ознакомления лица с перечнем предоставляемых сведений.
  9. Учета средств защиты информации ПДн. Для обеспечения безопасности ПДн необходимо применение определенных средств защиты информации в информационных системах персональных данных. С помощью указанного документа учитывается, какие средства защиты информации какому пользователю (сотруднику) были выданы.

Также на предприятиях могут вестись журналы:

  1. Регистрации попыток несанкционированного доступа к информации.
  2. Учета паролей пользователей информационной системы ПДн и т.п.

Оформление: общие требования

Титульная страница

Общепринято (для всех журналов) в правом верхнем углу указывать руководителя (генерального директора), утверждающего документ. Форма ведения может быть такой:

«УТВЕРЖДАЮ

Генеральный директор название предприятия
ФИО___
» «____20__г.»

Далее посередине заглавными буквами указывается название. После обозначается поле для даты, с которой было начато ведение документа, напр.

«Журнал начат «__» __ 20__ г.», рядом указывается поле для даты окончания, напр. «Журнал завершен «__» ___ 20__ г.».

В правом нижнем углу указывается сотрудник, ответственный за ведение документа, также проставляются даты, например:

«ОТВЕТСТВЕННЫЙ за ведение журнала
ФИО и должность сотрудника
«___» ___20__г.».

Сам документ содержит следующие графы:

  1. Порядковый номер внесенной записи.
  2. ФИО и должность лица или наименование органа, запрашивающего ПДн, например ООО «ИнфоК2».
  3. Состав запрашиваемых данных, например Сведения о заработной плате работника за период 01.01. 20_ – 01.12. 20_ гг.
  4. Цель выдачи документа, содержащего личные сведения, например Контроль за соблюдением коллективного договора ООО «ИнфоК2».
  5. Дата выдачи бумаг, содержащих личные сведения.
  6. Дата возврата бумаг, содержащих личные сведения.
  7. Подпись запрашиваемого лица.
  8. Подпись ответственного сотрудника.

Содержание отдельных книг

Обращения субъектов

Образец заполнения журнала обращений субъектов персональных данных содержит:

  1. Порядковый номер, № п/п.
  2. ФИО субъекта ПДн.
  3. Дата обращения.
  4. Цель обращения.
  5. Перечень сведений, здесь указывается наименование выдаваемых документов.
  6. Результат обращений, например Был составлен ответ или Был составлен отказ. Здесь же указывается правовое обоснование ответа или отказа, дата и подпись лица, составившего ответ.

Документ также может содержать раздел «Порядок заполнения». В данном разделе указываются правила заполнения граф, исправления ошибок и т.д.

Скачать бланк журнала учета обращений субъектов персональных данных

Ознакомления с положением о защите

В самом акте может быть продублировано Положение о защите ПДн сотрудников. Разделы:

  1. Номер, № п/п.
  2. Фамилия, имя, отчество лица, ознакомленного с инструкцией.
  3. Должность.
  4. Дата ознакомления.
  5. Подпись.

Скачать бланк журнала ознакомления с положением о защите персональных данных

Электронных и машинных носителей, содержащих ПД

Образец заполнения журнала учета электронных и машинных носителей информации, содержащих персональные данные включает:

  1. Порядковый номер, № п/п.
  2. Регистрационный (учетный) номер носителя, указывается инвентарный номер.
  3. Тип и ёмкость носителя, например ПК, жесткий диск, флешка.
  4. Дата поступления на учет.
  5. Отметка о постановке на учет, ФИО, подпись дата.
  6. Отметка о снятии с учета, ФИО, подпись дата.
  7. Место хранения, здесь указывается № кабинета или шкаф, стойка, сервер и др.
  8. Сведения об уничтожении носителя.

Мероприятий по контролю обеспечения сохранности

В журнале отмечаются мероприятия, проводимые периодически в соответствие с планом мероприятий по обеспечению сохранности ПДн.

В графы вносится:

  1. Номер записи мероприятия, № п/п.
  2. Название проведенного мероприятия, например Контроль над выполнением антивирусной защиты.
  3. Дата проведенного мероприятия.
  4. Исполнитель мероприятия, данные на сотрудника.
  5. Результат (отчет, действия) осуществленного мероприятия.

Скачать бланк журнала учета мероприятий по контролю обеспечения защиты персональных данных