Филиалы юрлица: одно уведомление на всех
С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних семи, штрафы выросли кратно. Для компаний с филиальной сетью риск удваивается: головной офис не контролирует, что происходит на местах, а ответственность несёт единая организация. Настоящая инструкция описывает порядок формирования пакета ОРД для оператора с несколькими обособленными подразделениями.
Шаг 1. Определите единого оператора и зафиксируйте периметр обработки
Оператором персональных данных по ст. 3 ФЗ-152 признаётся юридическое лицо, самостоятельно или совместно с другими определяющее цели и порядок обработки ПДн. Филиал, представительство и иное обособленное подразделение юрлица самостоятельным оператором не являются — они действуют от имени и в интересах головной организации на основании доверенности или положения о филиале.
Практически это означает: все системы обработки ПДн на площадках филиалов — базы 1С, CRM, кадровые журналы, видеонаблюдение, системы СКУД — входят в периметр единого оператора. Инвентаризируйте их до подачи уведомления.
Составьте реестр информационных систем (ИСПДн) в разрезе каждого филиала: наименование системы, категория ПДн, основание обработки, численность субъектов. Этот реестр станет основой для заполнения уведомления.
Шаг 2. Подайте единое уведомление через pd.rkn.gov.ru
Уведомление о намерении обрабатывать ПДн подаётся через портал pd.rkn.gov.ru с использованием ЕСИА или усиленной квалифицированной электронной подписи (УКЭП). Форма — Приказ РКН №180 от 28.10.2022.
В уведомлении указываются все цели обработки, все категории ПДн, все способы обработки и все места хранения — в том числе на площадках филиалов. Если филиал в Новосибирске ведёт кадровый учёт в отдельной базе, а московский офис использует CRM с клиентскими данными — оба факта отражаются в одном уведомлении от головной организации.
Что включить в уведомление при наличии филиалов
- Полные реквизиты юридического лица (оператора) — ИНН, ОГРН, юридический и фактический адреса, включая адреса площадок филиалов
- Все цели обработки ПДн по каждой категории субъектов: работники, клиенты, контрагенты
- Перечень категорий ПДн и их правовые основания по ст. 6 ФЗ-152
- Места хранения ПДн: серверы, облачные сервисы, бумажные архивы — по каждой площадке
- Сведения о трансграничной передаче, если используются зарубежные сервисы
После включения в реестр операторов РКН (срок — до 30 дней по ч. 4 ст. 22 ФЗ-152) сохраните подтверждение. При изменении состава обработки — например, при открытии нового филиала или подключении новой ИСПДн — подайте уведомление об изменении сведений по той же форме.
Уже есть филиалы, но уведомление не подавалось?
Юрист, выстраивающий ОРД для компании с несколькими площадками, сталкивается с типовой ошибкой: уведомление подано только по головному офису или не подано вовсе. С 30.05.2025 неуведомление РКН — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11 КоАП, не считая нарушений по существу обработки. Срок подачи не восстанавливается задним числом.
Юристы DATUM проверят текущий статус в реестре, составят корректное уведомление с учётом всех площадок и подадут его через pd.rkn.gov.ru.
Собрать ОРД под ключ+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom
Шаг 3. Разработайте единую политику обработки ПДн по ст. 18.1
Ст. 18.1 ФЗ-152 обязывает оператора принять локальный акт, определяющий политику в отношении обработки ПДн, и обеспечить неограниченный доступ к нему — как правило, через сайт организации. Для компании с филиалами политика одна: она распространяется на всю организацию вне зависимости от места ведения деятельности.
Обязательные разделы политики по ч. 2 ст. 18.1 ФЗ-152:
- цели обработки ПДн по каждой категории субъектов;
- правовые основания обработки со ссылкой на ст. 6 (или ст. 10 для специальных категорий);
- перечень обрабатываемых категорий ПДн;
- порядок и сроки хранения;
- порядок реализации прав субъектов ПДн по ст. 14–21 ФЗ-152;
- сведения о мерах защиты по ст. 19 ФЗ-152;
- порядок уничтожения ПДн по достижении целей.
Если филиалы обрабатывают ПДн с иными целями — например, производственный филиал собирает биометрию для СКУД — добавьте соответствующий раздел в единую политику, а не создавайте отдельный документ. Разрозненные акты по подразделениям создают противоречия и усложняют прохождение проверки.
Шаг 4. Назначьте ответственного по ст. 22.1 и распределите функции в филиалах
Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Это делается приказом руководителя. Ответственным назначается штатный сотрудник или привлекается внешний специалист (DPO-аутсорсинг). Требования к квалификации установлены ч. 4 ст. 22.1.
Важный практический момент: один ответственный по ст. 22.1 может охватывать всю организацию, включая филиалы. Дополнительно в каждом подразделении целесообразно назначить куратора по ПДн — без юридического статуса ответственного — приказом или должностной инструкцией. Куратор отвечает за соблюдение локальных процедур и оперативно сообщает об инцидентах.
Распределение функций оформите отдельным регламентом или разделом общего положения об обработке ПДн. Укажите, кто в каждом филиале принимает запросы субъектов, кто отвечает за хранение согласий, кто уведомляет ответственного об инцидентах.
Если вы юрист и выстраиваете структуру ОРД для компании с несколькими площадками — проверьте, отражены ли все филиалы в реестре РКН и назначен ли ответственный по ст. 22.1. Несоответствие любого из этих пунктов — готовое основание для штрафа при плановой проверке.
Заказать аудит 152-ФЗШаг 5. Приведите согласия в соответствие с ФЗ-156 от 24.06.2025
С 01.09.2025 согласие субъекта на обработку ПДн должно оформляться отдельным документом и не может быть включено в текст договора, оферты, трудового договора или иного смешанного документа. Такое требование введено ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Для компании с филиалами это означает: шаблоны согласий должны быть едиными, но подписываться на каждой точке контакта с субъектом — при найме, при оформлении клиентских договоров, при сборе биометрии для СКУД. Согласие, полученное до 01.09.2025 в составе трудового договора или анкеты, сохраняет силу — обратной силы поправки не имеют. Новые согласия с указанной даты — только отдельным документом.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ними, срок действия и порядок отзыва. Шаблон согласия разработайте централизованно, адаптируйте под каждый сценарий сбора (найм, клиент, СКУД) и внедрите во всех филиалах.
Как это работает на практике: типовые ситуации
Ситуация 1. Уведомление подано только по головному офису
Торговая компания с пятью региональными филиалами подала уведомление в РКН только от юридического адреса в Москве, не указав, что в филиалах ведётся самостоятельный кадровый и клиентский учёт в отдельных базах. При плановой проверке инспектор РКН запросил реестр ИСПДн: выяснилось, что три системы из шести не отражены в уведомлении. Компании предъявили протокол по ч. 1 ст. 13.11 КоАП (обработка ПДн в случаях, не предусмотренных заявленным порядком) — штраф в диапазоне 150–300 тыс. ₽. Дополнительно — предписание об устранении. Стратегия: до проверки сформируйте полный реестр ИСПДн по всем площадкам и приведите уведомление в соответствие.
Ситуация 2. Ответственный назначен формально, инструктаж филиалов не проводился
В производственном холдинге юрист головного офиса числился ответственным по ст. 22.1 ФЗ-152, однако сотрудники HR-служб в трёх филиалах не знали о его существовании. Запрос субъекта на уточнение данных, поступивший в один из филиалов, остался без ответа в течение трёх недель — вместо 10 рабочих дней по ст. 20 ФЗ-152. Субъект обратился в РКН. По итогу — протокол по ч. 4 ст. 13.11 КоАП (невыполнение обязанности по предоставлению информации субъекту), штраф 40–80 тыс. ₽. Стратегия: пропишите в регламенте маршрут запросов субъектов через кураторов филиалов к ответственному и контрольный срок.
Ситуация 3. Новый филиал открыт без актуализации уведомления
Сеть медицинских клиник открыла новый центр в регионе, где начали обрабатываться специальные категории ПДн (данные о здоровье пациентов) по ст. 10 ФЗ-152. Уведомление об изменении сведений в РКН не подавалось. Внеплановая проверка по жалобе — протокол сразу по двум частям ст. 13.11 КоАП. Стратегия: при открытии нового подразделения немедленно проверяйте, появились ли новые категории ПДн или новые цели обработки. Если да — подавайте изменение уведомления.
Услуги DATUM по теме
- Комплект ОРД под ключ — 38 документов для оператора с филиалами: политика, согласия, приказы, регламент реагирования
- Аудит соответствия 152-ФЗ — проверка уведомления в реестре РКН, инвентаризация ИСПДн по всем площадкам, план устранения нарушений
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов из филиалов
Частые вопросы
1. Какие документы должны быть у оператора ПДн с филиалами?
Базовый пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, шаблоны согласий субъектов по ст. 9 ФЗ-152 (в редакции с 01.09.2025 — отдельными документами), регламент реагирования на инциденты по Приказу РКН №187, журнал учёта обращений субъектов, договоры-поручения с подрядчиками, обрабатывающими ПДн. Для компаний с филиалами добавляется регламент распределения функций между площадками и кураторами подразделений.
2. Как составить политику обработки ПДн для компании с несколькими офисами?
Политика составляется единая — от имени юридического лица. Она должна охватывать все цели и все места обработки ПДн, в том числе в филиалах. Обязательные разделы определены ч. 2 ст. 18.1 ФЗ-152: цели, основания, перечень категорий ПДн, сроки хранения, порядок реализации прав субъектов, меры защиты. Если в разных подразделениях обрабатываются разные категории ПДн — включите соответствующие разделы в одну политику, а не дробите на несколько актов.
3. Кого назначить ответственным по ст. 22.1 при наличии филиалов?
Ответственным назначается один сотрудник или организация (при DPO-аутсорсинге). Требования к квалификации установлены ч. 4 ст. 22.1 ФЗ-152. Ответственный охватывает всю организацию, включая филиалы. В самих подразделениях рекомендуется назначить кураторов по ПДн — без статуса ответственного — чтобы обеспечить оперативную связь с головным офисом и своевременную обработку запросов субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152.
4. Можно ли использовать шаблон политики из интернета?
Использовать как основу — можно, однако типовой шаблон почти наверняка не отражает специфику конкретного оператора: реальные цели обработки, фактический перечень ПДн, действующих подрядчиков, площадки филиалов, применимые уровни защищённости по ПП РФ №1119. При проверке РКН инспектор сравнивает политику с реестром уведомлений и реальными ИСПДн. Расхождения — основание для протокола по ч. 3 ст. 13.11 КоАП (штраф 30–60 тыс. ₽) или более серьёзных составов.
5. Какие согласия нужно переделать после 01.09.2025?
Переделывать ранее полученные согласия не требуется — ФЗ-156 от 24.06.2025 обратной силы не имеет. Все согласия, которые оформляются с 01.09.2025, должны быть отдельными документами: не встроенными в трудовой договор, анкету, договор оказания услуг или оферту. Проверьте шаблоны форм во всех филиалах — особенно в точках контакта с новыми субъектами (приём на работу, регистрация клиентов, сбор биометрии для СКУД).
Итог
Компания с филиалами — единый оператор с единым уведомлением в РКН, единой политикой обработки ПДн и единым ответственным по ст. 22.1 ФЗ-152. Риск возникает не от самого факта филиальной структуры, а от разрыва между заявленным в уведомлении периметром и реальной обработкой на площадках.
DATUM сопровождает операторов с разветвлённой структурой: инвентаризируем ИСПДн по всем площадкам, формируем пакет ОРД, подаём уведомление в РКН и настраиваем регламент работы кураторов в филиалах.
22 января 2027 года