Перейти к содержанию
инструкция 6 октября 2026 По состоянию на 6 октября 2026

Должностная инструкция ответственного по 22.1

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Без приказа о назначении и должностной инструкции — оператор нарушает ч. 1 ст. 13.11 КоАП с штрафом до 300 000 ₽.
Должностная инструкция ответственного по 22.1 — обязательный документ комплекта ОРД. Она фиксирует полномочия, задачи и ответственность назначенного лица: от взаимодействия с РКН до контроля согласий работников по ст. 9 ФЗ-152 в редакции с 01.09.2025.
Если вы юрист и готовите комплект ОРД для оператора — ниже структура инструкции, требования к кандидату и типовые ошибки, которые фиксирует РКН при проверке. → Получить готовый комплект ОРД

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей вместо прежних семи, штрафы за системные нарушения выросли кратно. Отсутствие назначенного ответственного по ст. 22.1 ФЗ-152 — самостоятельное основание для протокола. На практике инспекторы РКН проверяют этот документ в первые 30 минут плановой проверки: есть приказ о назначении, есть инструкция с подписью — риск минимален. Нет ни того ни другого — протокол по ч. 1 ст. 13.11 гарантирован.

Что требует ст. 22.1 ФЗ-152 от оператора?

Ст. 22.1 ФЗ-152 устанавливает: оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Норма не предусматривает право выбора — это безусловная обязанность. Физическое лицо и индивидуальный предприниматель вправе исполнять эту функцию самостоятельно.

Ч. 4 ст. 22.1 устанавливает требования к квалификации: назначенное лицо должно обладать необходимыми знаниями в области защиты персональных данных. Формальный уровень квалификации законом не закреплён, однако РКН при проверке вправе задать вопрос о подтверждении компетенций — наличие удостоверения о повышении квалификации или профессиональной переподготовки снижает этот риск.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо назначает лицо, ответственное за организацию обработки персональных данных. Требования к квалификации — ч. 4 той же статьи. Ст. 18.1 ФЗ-152 — оператор принимает меры, необходимые для выполнения обязанностей, предусмотренных законом, в том числе назначает ответственного и утверждает локальные акты.»

На практике ответственным назначают: штатного юриста, руководителя службы ИБ, HR-директора или заместителя генерального директора. Выбор зависит от размера компании и объёма обработки. Для крупного оператора (более 100 000 субъектов) назначение технического специалиста без юридической подготовки — риск: он не сможет корректно ответить на запрос РКН или субъекта в течение 10 рабочих дней по ст. 20 ФЗ-152.

Как составить должностную инструкцию ответственного по ст. 22.1: пошаговый порядок

Шаг 1. Определите организационно-правовую форму документа

Должностная инструкция оформляется как локальный нормативный акт оператора. Два допустимых варианта: самостоятельный документ, утверждаемый приказом руководителя, или приложение к трудовому договору с конкретным сотрудником. Первый вариант предпочтителен: при смене сотрудника документ остаётся актуальным, менять нужно только приказ о назначении.

Гриф утверждения — обязательный реквизит: «Утверждаю», должность, подпись, дата. Дата утверждения не должна быть ранее даты приказа о назначении ответственного.

Шаг 2. Пропишите предмет и цель инструкции

Первый раздел — «Общие положения». Зафиксируйте: на кого распространяется инструкция, основание назначения (ст. 22.1 ФЗ-152), кому подчиняется ответственный, порядок назначения и освобождения от должности, требования к квалификации.

Укажите нормативную базу, которой руководствуется ответственный: ФЗ-152, подзаконные акты РКН (Приказ №180 о форме уведомления, Приказ №187 о реагировании на утечки), Приказ ФСТЭК №21, внутренние акты оператора.

Шаг 3. Сформулируйте исчерпывающий перечень функций

Раздел «Должностные обязанности» — ключевой для РКН. Типовой перечень для среднего оператора включает не менее 12 функций:

  • организация разработки и актуализации политики обработки ПДн по ст. 18.1 ФЗ-152;
  • контроль соответствия обработки ПДн целям, указанным в уведомлении РКН (ст. 22 ФЗ-152);
  • взаимодействие с РКН: подача уведомлений, ответы на запросы, участие в проверках;
  • приём и обработка обращений субъектов ПДн, обеспечение ответа в срок по ст. 20 ФЗ-152;
  • контроль получения согласий субъектов по ст. 9 ФЗ-152 (с учётом требований ФЗ-156 от 24.06.2025 — отдельный документ с 01.09.2025);
  • организация уведомления РКН об утечке в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152;
  • контроль заключения договоров поручения обработки ПДн третьим лицам (п. 3 ст. 6 ФЗ-152);
  • ведение журнала учёта обращений субъектов и журнала инцидентов;
  • организация обучения работников, допущенных к обработке ПДн;
  • контроль соблюдения требований к локализации ПДн граждан РФ (ч. 5 ст. 18 ФЗ-152);
  • проведение внутренних проверок соответствия обработки требованиям закона.

Каждая функция должна быть сформулирована как действие, а не как цель. «Контролирует» и «организует» — допустимые глаголы. «Обеспечивает соответствие» — размытая формулировка, которую РКН воспринимает как декларацию.

Готовите ОРД для оператора — какие документы обязательны?

Должностная инструкция — один из 38 документов комплекта ОРД. Без остальных — политики, журналов, согласий и регламента реагирования на утечки — инструкция не защищает от штрафа по ст. 13.11 КоАП. Юристы DATUM соберут полный комплект ОРД под ключ с учётом специфики вашего оператора.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 4. Зафиксируйте права ответственного

Раздел «Права» — не формальность. Без зафиксированных прав ответственный не сможет законно запрашивать документы у подразделений, останавливать незаконную обработку или инициировать аудит. Минимальный перечень прав:

  • запрашивать у любого подразделения документы, связанные с обработкой ПДн;
  • давать обязательные для исполнения указания по вопросам соблюдения ФЗ-152;
  • инициировать временное прекращение обработки ПДн при выявлении нарушения;
  • привлекать внешних консультантов для оценки соответствия;
  • участвовать в переговорах с РКН без предварительного согласования с руководством.

Шаг 5. Определите ответственность и порядок взаимодействия

Раздел «Ответственность» фиксирует, за что именно отвечает назначенное лицо перед оператором: за несвоевременное уведомление РКН, за нарушение сроков ответа субъектам, за неактуальность политики конфиденциальности. Важно: ответственный несёт ответственность перед работодателем в рамках трудового законодательства — административная ответственность по ст. 13.11 КоАП лежит на операторе как юрлице.

Раздел «Взаимодействие» описывает матрицу: с кем взаимодействует ответственный (юридическая служба, ИТ, HR, бухгалтерия) и по каким вопросам. Это снимает конфликты полномочий при проверке РКН.

Шаг 6. Подпишите, зарегистрируйте, ознакомьте

После утверждения руководителем — регистрация в журнале локальных нормативных актов. Ответственный знакомится с инструкцией под подпись. Дата ознакомления — не позднее дня вступления приказа о назначении в силу.

Инструкция пересматривается при: изменении законодательства о ПДн, реорганизации оператора, смене ответственного, выявлении нарушений по итогам проверки РКН. Актуальная версия хранится у ответственного и в отделе кадров.

Что подготовить вместе с инструкцией

  • Приказ о назначении ответственного по ст. 22.1 ФЗ-152 с указанием ФИО и даты вступления в должность
  • Уведомление РКН о намерении осуществлять обработку ПДн по форме Приказа РКН №180 (если ещё не подано или требует актуализации)
  • Политика обработки персональных данных по ст. 18.1 ФЗ-152 — опубликована и доступна субъектам
  • Актуализированные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025)
  • Журнал учёта обращений субъектов ПДн с отметками о сроках ответа по ст. 20 ФЗ-152

Типичные ошибки при разработке инструкции — что проверяет РКН?

Анализ актов проверок РКН показывает три системных нарушения, которые выявляются вне зависимости от размера оператора.

Первое. Инструкция не актуализирована под действующую редакцию ФЗ-152. Документ, разработанный до введения ч. 3.1 ст. 21 (уведомление об утечке за 24 часа) или до вступления в силу ФЗ-156 от 24.06.2025 (требование к форме согласия), содержит устаревший функционал. РКН квалифицирует это как неисполнение обязанностей по ст. 18.1 ФЗ-152.

Второе. Инструкция принята, но приказа о назначении нет или приказ издан позднее инструкции. В этом случае документ юридически недействителен — нет субъекта, на которого возложены обязанности.

Третье. Перечень функций скопирован из шаблона и не соответствует реальной деятельности оператора. Если оператор передаёт обработку ПДн подрядчикам, а в инструкции нет функции контроля поручения по п. 3 ст. 6 ФЗ-152 — это пробел, который фиксируется в акте проверки.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законом. К таким мерам относятся: назначение ответственного, издание политики обработки ПДн, ознакомление работников, внутренний контроль соответствия.»

Как должностная инструкция связана с другими документами ОРД?

Должностная инструкция по ст. 22.1 — один узел в системе из 38 документов комплекта ОРД. Без смежных документов она не обеспечивает защиту оператора при проверке.

Политика обработки ПДн (ст. 18.1 ФЗ-152) определяет цели, категории субъектов, правовые основания, сроки хранения. Ответственный по ст. 22.1 обязан следить за её актуальностью — это прямо указывается в инструкции.

Уведомление РКН (ст. 22 ФЗ-152, Приказ РКН №180) — основа реестра операторов. Ответственный контролирует соответствие реальной обработки заявленным целям и при расширении обработки инициирует актуализацию уведомления. Неуведомление РКН о намерении обрабатывать ПДн — штраф по ч. 10 ст. 13.11 КоАП в размере 100 000–300 000 ₽.

Согласия субъектов по ст. 9 ФЗ-152: с 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом и не встраивается в договор или трудовое соглашение. Ответственный контролирует соответствие формы согласия актуальным требованиям. Отсутствие согласия там, где оно требуется, — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

Регламент реагирования на утечки определяет порядок действий в первые 24 часа после обнаружения инцидента по ч. 3.1 ст. 21 ФЗ-152. Ответственный — центральное звено этого регламента: он подаёт первичное уведомление в РКН, координирует расследование и направляет отчёт в течение 72 часов по Приказу РКН №187. Несвоевременное уведомление — штраф по ч. 11 ст. 13.11 КоАП от 1 000 000 до 3 000 000 ₽.

Если вы юрист и готовите ОРД для оператора — проверьте: полный комплект включает не только инструкцию, но и 37 смежных документов. Аудит соответствия DATUM занимает 5 рабочих дней и выдаёт приоритизированный план устранения пробелов.

Заказать аудит 152-ФЗ

Матрица сценариев: когда инструкция не защищает оператора

Сценарий 1. Инструкция есть, но ответственный не обучен. Оператор розничной торговли (Центральный ФО, 2026 год) прошёл плановую проверку РКН. Инструкция ответственного по ст. 22.1 была оформлена корректно, однако назначенный сотрудник не смог ответить на вопрос инспектора о порядке уведомления об утечке. РКН зафиксировал это в акте, выдал предписание об организации обучения. В следующем квартале — внеплановая проверка исполнения предписания. Стратегия: включите в инструкцию раздел о квалификационных требованиях и обязанности ежегодного повышения квалификации; прикладывайте к пакету документов программу обучения или удостоверение.

Сценарий 2. Ответственный назначен, но функции не соответствуют масштабу обработки. IT-компания (Северо-Западный ФО, осень 2025 года) обрабатывала ПДн более 50 000 пользователей SaaS-сервиса. В инструкции ответственного не была прописана функция контроля поручения обработки ПДн облачному провайдеру. При утечке через подрядчика РКН предъявил претензии оператору со ссылкой на п. 3 ст. 6 ФЗ-152 и ненадлежащее исполнение обязанностей ответственным. Штраф составил несколько сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. Стратегия: перечень функций в инструкции должен охватывать весь контур обработки — включая подрядчиков, облачные решения и трансграничные передачи.

Сценарий 3. Инструкция не актуализирована после 01.09.2025. Производственная компания (Приволжский ФО, осень 2025 года) не внесла в должностную инструкцию ответственного функцию контроля согласий в редакции ФЗ-156. При проверке РКН установил, что согласия работников по-прежнему включены в трудовые договоры. Ответственный не мог ссылаться на незнание нормы — его инструкция не предусматривала мониторинг изменений законодательства. Штраф по ч. 2 ст. 13.11 КоАП составил от 300 000 ₽. Стратегия: добавьте в инструкцию функцию мониторинга изменений ФЗ-152 и подзаконных актов РКН с периодичностью не реже одного раза в квартал.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект ОРД включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного и его должностную инструкцию по ст. 22.1, согласия субъектов по ст. 9 (в редакции ФЗ-156 с 01.09.2025 — отдельный документ), договоры поручения обработки с подрядчиками по п. 3 ст. 6, регламент реагирования на инциденты по ч. 3.1 ст. 21, журнал учёта обращений субъектов. Полный комплект — 38 документов. Отсутствие любого из обязательных — основание для штрафа по соответствующей части ст. 13.11 КоАП.

2. Как составить политику обработки ПДн?

Политика обработки ПДн по ст. 18.1 ФЗ-152 должна содержать: наименование и контакты оператора, цели обработки, правовые основания по ст. 6 ФЗ-152, перечень категорий субъектов и ПДн, порядок обработки, сроки хранения, права субъектов по ст. 14–22 ФЗ-152, порядок отзыва согласия, сведения о трансграничной передаче (если применимо). Документ публикуется на сайте оператора в открытом доступе — его отсутствие влечёт штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽. Копировать чужой шаблон без адаптации под конкретного оператора — недопустимо.

3. Кого назначить ответственным по ст. 22.1?

Закон не устанавливает конкретную должность. На практике назначают юриста, руководителя ИБ, HR-директора или заместителя генерального директора. Критерий выбора — наличие знаний в области защиты ПДн (ч. 4 ст. 22.1 ФЗ-152) и возможность оперативно реагировать на запросы РКН и субъектов. Для крупного оператора с объёмом обработки более 100 000 субъектов рекомендуется назначить лицо с юридическим образованием или профессиональной переподготовкой в области ПДн. Совмещение функции с основной должностью допустимо, но должно отражаться в трудовом договоре или дополнительном соглашении.

4. Можно ли использовать шаблон политики из интернета?

Шаблон из открытых источников можно использовать как основу, но не как готовый документ. Политика обработки ПДн по ст. 18.1 ФЗ-152 должна соответствовать реальной деятельности оператора: конкретным целям обработки, перечню субъектов, фактическим подрядчикам, применяемым информационным системам. РКН при проверке сравнивает содержание политики с фактической практикой обработки. Расхождение — нарушение принципа законности по ст. 5 ФЗ-152. Типичная ошибка: политика содержит ссылку на согласие как единственное основание обработки, тогда как в реальности оператор обрабатывает ПДн по иным основаниям ст. 6 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн оформляется отдельным документом — его нельзя включать в трудовой договор, оферту, политику конфиденциальности или любой другой составной документ. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия и способ отзыва. Согласия, полученные до 01.09.2025 в составных документах, переоформлять не требуется — обратной силы поправки не имеют. Новые согласия с 01.09.2025 — только отдельным документом. За нарушение требований к форме согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ для юрлица.

6. Что проверяет РКН при плановой проверке в части ст. 22.1?

Инспекторы РКН проверяют: наличие приказа о назначении ответственного с актуальной датой, наличие должностной инструкции с подписью ответственного об ознакомлении, соответствие инструкции текущей редакции ФЗ-152 (в том числе наличие функций по ч. 3.1 ст. 21 и ст. 9 в ред. ФЗ-156), фактическое исполнение ответственным своих функций — журнал обращений субъектов, переписка с РКН, внутренние проверки. Отсутствие хотя бы одного из этих документов — основание для протокола по ч. 1 ст. 13.11 КоАП.

Итог

Должностная инструкция ответственного по ст. 22.1 ФЗ-152 — не административная формальность, а рабочий документ, определяющий реальные полномочия и функции конкретного лица в системе защиты ПДн оператора. Документ защищает оператора при проверке РКН только в связке с остальным комплектом ОРД: политикой обработки, уведомлением в реестре, актуальными согласиями по ФЗ-156 и регламентом реагирования на инциденты.

Практика DATUM по взаимодействию с Роскомнадзором показывает: операторы, у которых инструкция актуализирована под действующую редакцию ФЗ-152 и подкреплена реальными журналами и согласиями, проходят проверки без предписаний. Операторы с формальным комплектом, не отражающим реальную обработку, получают акт с нарушениями вне зависимости от размера компании.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

Есть вопрос по ОРД или ответственному по ст. 22.1?

Юристы DATUM с 2014 года сопровождают операторов при проверках РКН и собирают комплект ОРД под ключ. Оценим текущий комплект документов и укажем на пробелы до того, как это сделает инспектор.

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru

6 октября 2026 года