Чем ответственный по 22.1 отличается от DPO в GDPR
С 30.05.2025 за нарушения в области обработки персональных данных действуют штрафы по новой редакции ст. 13.11 КоАП (ФЗ-420 от 30.11.2024). Юристу, сопровождающему оператора ПДн, важно понимать: документы ОРД, построенные на логике GDPR, не покрывают требования ФЗ-152 — и наоборот. Разграничение ответственного по ст. 22.1 и DPO по GDPR — отправная точка для правильного комплаенса.
Кому подходит эта услуга и в каких ситуациях возникает вопрос?
Вопрос разграничения ответственного по ст. 22.1 ФЗ-152 и DPO по GDPR возникает в трёх типичных ситуациях. Первая: российская компания с зарубежными партнёрами или клиентами из ЕС одновременно подпадает под оба режима. Вторая: юрист получает задачу актуализировать ОРД и не понимает, какую должность описывать в приказах. Третья: аутсорсинговый провайдер предлагает «DPO-аутсорс», и оператор не понимает, закрывает ли это требование ст. 22.1 ФЗ-152.
Услуга подходит юристам и правовым департаментам операторов ПДн, которым нужно корректно квалифицировать роли в ОРД, подготовить приказ о назначении ответственного и разграничить функции при параллельном соблюдении GDPR.
Нужно разграничить роли в ОРД и назначить ответственного?
Если юридический департамент формирует ОРД и не может однозначно квалифицировать должность ответственного — это создаёт риск штрафа по ч. 3 ст. 13.11 КоАП (до 60 000 ₽ за отсутствие политики) и по ч. 1 ст. 13.11 (до 300 000 ₽ за ненадлежащую обработку). DATUM подключит DPO-аутсорсинг по ст. 22.1 и подготовит весь пакет ОРД.
Подключить DPO-аутсорс+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что делаем: как DATUM разграничивает роли и формирует ОРД
Работа строится в пять шагов. На первом шаге юристы DATUM анализируют, под какой режим фактически подпадает оператор: только ФЗ-152, только GDPR или оба одновременно. На втором — определяют, есть ли у оператора основание назначить DPO по GDPR (ст. 37 Регламента: публичный орган, систематический масштабный мониторинг, специальные категории данных в крупном масштабе). На третьем шаге формируют функциональное описание ответственного по ст. 22.1 ФЗ-152 с учётом требований ч. 4 этой статьи.
Четвёртый шаг — подготовка приказа о назначении ответственного и должностной инструкции. Пятый — встраивание роли ответственного в политику обработки ПДн (ст. 18.1 ФЗ-152) и согласия по новым требованиям ФЗ-156 от 24.06.2025, действующим с 01.09.2025.
Чем отличается ответственный по 22.1 от DPO в GDPR?
Ключевых различий четыре. Первое — основание назначения: по ФЗ-152 назначение ответственного обязательно для любого оператора-юрлица (ст. 22.1), по GDPR DPO назначается только при выполнении условий ст. 37 Регламента. Второе — независимость: DPO по GDPR гарантирована независимость от работодателя (ст. 38 GDPR), ответственный по ст. 22.1 ФЗ-152 работает внутри организации и подчиняется её руководству. Третье — функции: DPO консультирует, контролирует соответствие GDPR и взаимодействует с надзорным органом; ответственный по ст. 22.1 организует обработку ПДн, но закон не наделяет его контрольными полномочиями в отношении самого оператора. Четвёртое — санкции: за отсутствие DPO по GDPR — штраф до 10 млн евро или 2% мирового оборота; за ненадлежащую организацию обработки без назначенного ответственного по ФЗ-152 — штраф по ч. 1 ст. 13.11 КоАП до 300 000 ₽.
Совмещение ролей возможно: одно лицо вправе одновременно выполнять функции ответственного по ст. 22.1 ФЗ-152 и DPO по GDPR. Но это должно быть явно закреплено в приказе и должностной инструкции — иначе оба регулятора зафиксируют отсутствие назначенного должностного лица.
Если в ОРД компании должность ответственного описана в терминах GDPR или не закреплена отдельным приказом — это нарушение ст. 22.1 ФЗ-152. С 01.09.2025 согласия, не оформленные отдельным документом по ФЗ-156, также недействительны.
Подключить DPO-аутсорсКак это применяется на практике
Кейс 1. Юридический департамент IT-компании (Центральный ФО, осень 2025) обновлял ОРД после вступления в силу ФЗ-420. В приказе о назначении ответственного использовалась формулировка «Data Protection Officer» без ссылки на ст. 22.1 ФЗ-152. При плановой проверке РКН инспектор квалифицировал это как отсутствие надлежащего назначения. Компания получила предписание. DATUM помог переоформить приказ и должностную инструкцию, привязав их к ст. 22.1 и ст. 18.1 ФЗ-152. Предписание исполнено в срок, штраф не назначен.
Кейс 2. Оператор с клиентами из ЕС (Северо-Западный ФО, начало 2026) использовал единую должностную инструкцию DPO, разработанную под GDPR. В ней отсутствовали обязанности по уведомлению РКН по Приказу РКН №180 и по организации реагирования на утечку за 24 часа по ч. 3.1 ст. 21 ФЗ-152. После аудита DATUM разработал две раздельные должностные инструкции: одну — под ст. 22.1 ФЗ-152 с функциями взаимодействия с РКН, вторую — под GDPR с функциями взаимодействия с европейскими регуляторами.
Услуги DATUM по теме
- DPO-аутсорсинг — абонентское обслуживание функции ответственного по ст. 22.1 ФЗ-152
- Комплект ОРД под ключ — политика, приказы, согласия, журналы в одном пакете
- Аудит соответствия 152-ФЗ — проверка актуальности роли ответственного и всего ОРД
Частые вопросы
1. Кого назначить ответственным по ст. 22.1?
Ст. 22.1 ФЗ-152 не устанавливает обязательного профессионального стандарта — требования к квалификации определяет ч. 4 той же статьи. На практике это юрист, специалист по ИБ или отдельный сотрудник с функцией организации обработки ПДн. Внешний аутсорсер (например, DATUM) вправе выполнять эту функцию по договору — закон не обязывает назначать штатного сотрудника.
2. Какие документы должны быть у оператора ПДн?
Минимальный пакет ОРД включает: политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ), уведомление в РКН по форме Приказа РКН №180, перечень обрабатываемых ПДн, регламент реагирования на инциденты по Приказу РКН №187. Отсутствие любого из них — самостоятельное основание для штрафа по ст. 13.11 КоАП.
3. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом и не встраивается в договор, оферту или политику конфиденциальности. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок действия и порядок отзыва. Ранее полученные согласия, соответствующие прежним требованиям, переоформлять не требуется — обратной силы закон не имеет.
4. Можно ли использовать шаблон политики из интернета?
Использовать шаблон как основу допустимо, но недостаточно. Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 должна отражать реальный состав обрабатываемых данных, цели, основания, сроки и меры защиты конкретного оператора. Типовой шаблон, не адаптированный к фактической деятельности компании, создаёт риск нарушения ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽ за несовместимость обработки с задекларированными целями).
Итог
Ответственный по ст. 22.1 ФЗ-152 и DPO по GDPR — параллельные, но не взаимозаменяемые конструкции. Российский оператор обязан назначить ответственного по ст. 22.1 вне зависимости от того, применяется ли к нему GDPR. Смешение терминологии в приказах и должностных инструкциях — прямой путь к предписанию РКН и штрафу по ст. 13.11 КоАП. С 01.09.2025 добавляется требование ФЗ-156 об отдельных согласиях — ОРД необходимо привести в соответствие.
Практика DATUM охватывает назначение ответственного по ст. 22.1, DPO-аутсорсинг, подготовку полного пакета ОРД и сопровождение операторов при параллельном соблюдении ФЗ-152 и GDPR.