услуга 18 апреля 2027 По состоянию на 18 апреля 2027

Делегирование функций ответственного

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Без такого назначения — нарушение ч. 3 ст. 13.11 КоАП: штраф от 30 000 до 60 000 ₽ за отсутствие политики и сопутствующих обязанностей.

Делегирование функций ответственного — это не просто кадровый приказ. Это связка из трёх элементов: назначение по ст. 22.1, формализация полномочий в ОРД и уведомление РКН по ст. 22 ФЗ-152. Если один элемент отсутствует — вся конструкция уязвима при проверке.

→ Если вы юрист и проверяете, правильно ли оформлено делегирование в вашей компании — ниже инструкция по составу документов и типовым ошибкам.

С 01.09.2025 требования к согласиям субъектов изменились по ФЗ-156 от 24.06.2025: согласие оформляется отдельным документом. Ответственный по ст. 22.1 обязан контролировать соответствие этих согласий новым реквизитам. Если функция ответственного не закреплена или делегирована формально — такой контроль не ведётся, а каждое нарушение по ч. 2 ст. 13.11 обходится юрлицу от 300 000 до 700 000 ₽.

Кому подходит делегирование функций ответственного?

Обязанность назначить ответственного распространяется на все организации-операторы вне зависимости от размера. Исключение — индивидуальные предприниматели: для них требование ст. 22.1 не действует в полном объёме. На практике потребность в грамотном делегировании возникает в нескольких ситуациях.

Первая — компания впервые регистрируется в реестре РКН по ст. 22 ФЗ-152 и формирует ОРД с нуля. Вторая — внутренний юрист или кадровик де-факто выполняет функции ответственного, но без приказа и без включения в уведомление РКН. Третья — прежний ответственный уволился или сменил должность, и функция повисла в воздухе. Четвёртая — компания хочет передать функцию на DPO-аутсорсинг, но не знает, как оформить поручение обработки по п. 3 ст. 6 ФЗ-152.

«Ст. 22.1 ФЗ-152: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Требования к квалификации устанавливает часть 4 той же статьи.»

Функция ответственного не оформлена или устарела?

Если юрист обнаружил, что приказ о назначении ответственного отсутствует или в уведомлении РКН указано лицо, которое уже не работает в компании, — это нарушение ст. 22.1 ФЗ-152. Обновить уведомление в реестре РКН нужно по Приказу РКН №180 от 28.10.2022 до следующей плановой проверки. Юристы DATUM возьмут функцию ответственного по ст. 22.1 на абонентское обслуживание, включая ответы на запросы субъектов и ведение реестра обработки.

Подключить DPO-аутсорсинг

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что входит в функции ответственного по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 описывает организационную роль, а не техническую. Ответственный не обязан лично устранять уязвимости в ИТ-системах — его задача обеспечить, чтобы оператор исполнял требования закона в целом. На практике функция распадается на пять направлений.

Актуализация уведомления в реестре РКН. При изменении сведений оператор обязан уведомить РКН в течение 10 рабочих дней. Ответственный контролирует эти сроки.
Ведение политики обработки ПДн. Ст. 18.1 ФЗ-152 требует публикации политики и её соответствия реальным процессам. Ответственный обновляет документ при изменении целей или перечня обрабатываемых данных.
Контроль согласий субъектов. После 01.09.2025 согласие — отдельный документ с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156. Ответственный проверяет соответствие форм.
Обработка обращений субъектов. Срок ответа — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
Организация реагирования на инциденты. При утечке — первичное уведомление РКН за 24 часа, отчёт за 72 часа (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187).

Что должно быть оформлено при делегировании

Приказ о назначении ответственного с указанием ФИО, должности и объёма полномочий
Обновлённое уведомление в реестре РКН (форма по Приказу РКН №180) — с указанием нового ответственного
Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152, опубликованная на сайте
Инструкция или регламент ответственного с описанием порядка работы с обращениями субъектов
Согласия работников и клиентов в редакции с 01.09.2025 — отдельным документом по ФЗ-156

Как оформить делегирование функций ответственного внешней организации?

Передача функций ответственного на аутсорсинг — законная практика. Ст. 22.1 ФЗ-152 не запрещает привлекать стороннюю организацию. Однако важно разграничить два разных правовых режима, которые часто путают.

Первый режим — поручение обработки по п. 3 ст. 6 ФЗ-152: оператор поручает третьему лицу совершать действия с персональными данными (хранить, обрабатывать, передавать). Это требует отдельного договора-поручения с перечнем разрешённых действий. Ответственность за действия обработчика перед субъектом несёт оператор.

Второй режим — делегирование организационной функции: ответственный по ст. 22.1 — физическое лицо (сотрудник или привлечённый специалист), которое организует выполнение требований ФЗ-152 внутри оператора. Здесь договор-поручение не обязателен, но нужен договор оказания услуг и приказ оператора о назначении.

При DPO-аутсорсинге эти два режима сочетаются: внешний DPO выступает как ответственный по ст. 22.1 и одновременно может действовать по поручению на отдельные операции с ПДн.

Если юрист проверяет, правильно ли оформлен DPO-аутсорсинг, — важно убедиться, что в уведомлении РКН указано актуальное лицо, а договор разграничивает роли оператора и обработчика. Ошибки в оформлении выявляются на первой же проверке РКН и влекут штрафы по ч. 1 и ч. 3 ст. 13.11 КоАП.

Подключить DPO-аутсорсинг

Как это применяется на практике

Кейс 1. Производственная компания в Сибирском федеральном округе (осень 2025) прошла плановую проверку РКН. Приказ о назначении ответственного в компании имелся, однако в уведомлении в реестре по-прежнему значился уволенный сотрудник. Инспектор квалифицировал это как нарушение ч. 1 ст. 13.11 и ч. 3 ст. 13.11 КоАП одновременно. Штраф составил несколько десятков тысяч рублей. После проверки юрист компании обновил уведомление по Приказу РКН №180 и переоформил политику обработки ПДн.

Кейс 2. Региональная IT-компания (Центральный ФО, начало 2026) передала функции ответственного на DPO-аутсорсинг, но не оформила приказ о назначении — только договор услуг. При внеплановой проверке РКН это расценили как отсутствие назначенного лица по ст. 22.1. Юристы сопроводили обжалование: приказ был издан постфактум, штраф по ч. 3 ст. 13.11 оспорен в части. Компания доплатила минимальный размер штрафа.

Услуги DATUM по теме

DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентской основе
Комплект ОРД под ключ — приказ, политика, согласия, журналы в едином пакете
Аудит соответствия 152-ФЗ — проверка актуальности назначения и уведомления РКН

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 (с 01.09.2025 — отдельным документом), договор-поручение с каждым обработчиком по п. 3 ст. 6, журнал обращений субъектов и регламент реагирования на инциденты.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов, перечень обрабатываемых данных, порядок реагирования на обращения субъектов, меры защиты. Шаблоны из интернета не учитывают специфику конкретного оператора: неподходящие цели и категории создают основание для штрафа по ч. 1 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть любое физическое лицо — штатный сотрудник (юрист, кадровик, DPO) или привлечённый специалист. Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации: лицо должно иметь знания в области законодательства о ПДн. Закон не требует отдельной должности — достаточно приказа о наделении полномочиями.

4. Можно ли использовать шаблон политики из интернета?

Формально — да, если шаблон содержит все обязательные разделы по ч. 2 ст. 18.1 ФЗ-152. На практике типовые шаблоны не учитывают реальные цели обработки, категории ПДн и перечень обработчиков конкретной компании. Инспектор РКН при проверке сверяет политику с реальными процессами, а не с формальным списком разделов.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — его нельзя включать в договор, оферту или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется — обратной силы нет.

Итог

Делегирование функций ответственного — это юридически значимое действие, которое закрепляется приказом, отражается в уведомлении РКН и подкреплено комплектом ОРД. Ошибка в любом из трёх элементов создаёт уязвимость при проверке по ст. 22, 22.1 и 18.1 ФЗ-152.

DATUM сопровождает операторов ПДн в части назначения и аутсорсинга функций ответственного: от оформления приказа до ведения реестра обращений субъектов на абонентской основе.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.

18 апреля 2027 года