Госорганы и бюджетники: уведомление и реестр
Госорган и бюджетное учреждение обрабатывают персональные данные работников, граждан, подрядчиков и несовершеннолетних. Объём обработки — зачастую шире, чем у коммерческой компании того же размера: трудовые отношения, государственные услуги, социальные выплаты, учёт контингента. Требования ФЗ-152 к таким операторам те же, что и к бизнесу, — с единственным нюансом: ряд специальных категорий ПДн в государственной деятельности обрабатывается на основании закона, а не согласия. Настоящая инструкция охватывает шесть практических шагов: от проверки актуальности записи в реестре до формирования полного пакета ОРД.
Что подготовить перед выполнением инструкции
- Выписку из реестра операторов ПДн с pd.rkn.gov.ru (актуальность сведений)
- Организационно-штатное расписание и перечень информационных систем ПДн
- Действующие согласия субъектов ПДн (работников, граждан) в любом формате
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Действующую политику обработки ПДн (или её отсутствие)
Шаг 1. Проверьте актуальность записи в реестре РКН
Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки — это требование ст. 22 ФЗ-152. Госорган и бюджетное учреждение не освобождены от уведомления, даже если обрабатывают ПДн исключительно в рамках трудовых отношений или при исполнении государственных функций.
Проверьте запись через публичный реестр на pd.rkn.gov.ru по ИНН или ОГРН организации. Если запись отсутствует — организация работает без уведомления, что образует состав по ч. 10 ст. 13.11 КоАП. Штраф для юридического лица — 100 000–300 000 ₽ в редакции с 30.05.2025. Если запись есть, но сведения устарели (изменился перечень систем, добавились новые категории субъектов или цели) — необходимо подать уведомление об изменении сведений по той же форме.
Типичная ситуация для бюджетника: организация подала уведомление в 2018–2020 годах, с тех пор внедрила МИС, кадровую систему или систему видеонаблюдения — эти системы в реестре не отражены. Несоответствие реального объёма обработки заявленному создаёт риск по ч. 1 ст. 13.11 (150 000–300 000 ₽) при плановой или внеплановой проверке.
Не знаете, соответствует ли ваша запись в реестре реальной обработке?
Если юрист госучреждения обнаружил расхождение между реестровой записью и фактическим составом ИСПДн — это основание для внеплановой проверки при следующем обращении РКН. Юристы DATUM проведут экспресс-проверку реестровой записи, сравнят с реальным перечнем систем и подготовят корректирующее уведомление по Приказу РКН № 180.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Назначьте ответственного по ст. 22.1 ФЗ-152
Каждый оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — это прямое требование ст. 22.1 ФЗ-152. Для госоргана и бюджетного учреждения это означает приказ руководителя с указанием конкретного должностного лица, а не структурного подразделения.
Ответственным назначают юриста, сотрудника отдела кадров или специалиста по защите информации — универсального требования к должности нет. Критично, чтобы у сотрудника было реальное понимание состава обработки и полномочия взаимодействовать с РКН. На практике в бюджетных организациях ответственным нередко назначают делопроизводителя без квалификации — это создаёт риски при проверке.
После назначения контактные данные ответственного размещаются на официальном сайте организации — это отдельная обязанность по ч. 4 ст. 22.1. Отсутствие публикации при проверке фиксируется как самостоятельное нарушение.
Шаг 3. Разработайте политику обработки персональных данных
Политика обработки персональных данных — публичный документ, обязательный по ч. 2 ст. 18.1 ФЗ-152. Он размещается на официальном сайте организации в свободном доступе. Для госоргана это обычно отдельный раздел на портале организации или на государственном сайте.
Типичная ошибка бюджетников — копирование шаблонной политики из открытых источников без адаптации под реальные процессы. Политика, в которой перечислены цели и системы, не соответствующие фактической обработке организации, не защищает от претензий РКН и не снимает ответственность.
Документ должен отражать актуальный состав: конкретные цели (кадровый учёт, оказание государственных услуг, видеонаблюдение и т. д.), категории субъектов (работники, граждане, несовершеннолетние), перечень ИСПДн, правовые основания, сроки хранения. Политику необходимо обновлять при изменении состава обработки.
Если юрист бюджетной организации использует шаблонную политику из интернета — при проверке РКН это будет зафиксировано: несоответствие документа реальной обработке образует нарушение ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽). Юристы DATUM разработают политику под конкретный состав обработки вашей организации.
Собрать ОРД под ключШаг 4. Приведите согласия в соответствие с требованиями с 01.09.2025
С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, введённые ФЗ-156 от 24.06.2025. Согласие субъекта на обработку персональных данных теперь оформляется отдельным документом — его нельзя включать в текст трудового договора, договора об оказании услуг, заявления или иного документа, не связанного исключительно с обработкой ПДн.
Для госоргана и бюджетного учреждения это означает: согласия работников на обработку ПДн, которые были включены в трудовой договор или кадровые анкеты до 01.09.2025, — юридически действительны. Но все новые согласия — с 01.09.2025 — должны быть самостоятельным документом. При оформлении на работу нового сотрудника после 01.09.2025 согласие на обработку его биометрических данных (фото для пропуска СКУД), данных для страхования или иных целей вне трудового договора оформляется отдельно.
Согласие на распространение ПДн (ст. 10.1 ФЗ-152) — например, размещение фото сотрудника на сайте учреждения — требовало отдельного документа и ранее. После 01.09.2025 это правило распространяется на все согласия.
Шаг 5. Сформируйте минимальный пакет ОРД
Организационно-распорядительная документация — доказательная база соответствия ФЗ-152 при проверке РКН. Для государственного органа и бюджетного учреждения минимальный обязательный пакет включает несколько групп документов.
Приказы и локальные акты: приказ о назначении ответственного по ст. 22.1, приказ об утверждении перечня лиц, имеющих доступ к ПДн, приказ об установлении уровня защищённости ИСПДн по ПП РФ № 1119.
Регламенты и инструкции: регламент обработки обращений субъектов ПДн (ст. 20 ФЗ-152 — срок ответа 10 рабочих дней с возможностью продления), регламент реагирования на инциденты (ст. 21 ФЗ-152 — 24 часа на первичное уведомление РКН), инструкция ответственного за обработку ПДн.
Согласия и уведомления: формы согласий по ст. 9 ФЗ-152 в редакции с 01.09.2025, форма согласия на распространение ПДн по ст. 10.1, соглашения о поручении обработки для подрядчиков (п. 3 ст. 6 ФЗ-152).
Технические документы: модель угроз, акт классификации ИСПДн, техническое задание на систему защиты.
Полный перечень документов по аудиторской практике — 38 позиций. В бюджетной сфере наиболее часто отсутствуют: регламент обращений субъектов, соглашения с подрядчиками об обработке по поручению и актуальная модель угроз.
Шаг 6. Подготовьтесь к проверке Роскомнадзора
Плановые проверки РКН проводятся согласно ежегодному плану, внеплановые — по жалобам субъектов, информации об утечках или по собственной инициативе регулятора. Госорган и бюджетное учреждение входят в приоритет проверочной деятельности: они обрабатывают большой объём ПДн, включая специальные категории (состояние здоровья, социальный статус), и работают с несовершеннолетними.
При подготовке к проверке ключевые позиции: актуальность записи в реестре РКН, наличие публичной политики обработки ПДн, оформление согласий субъектов, назначение ответственного с публикацией контактов, функционирующий канал для обращений субъектов. Инспектор проверяет документы и может направить запросы к системам — отсутствие журнала обращений субъектов или журнала инцидентов фиксируется как нарушение.
Типовые сценарии: что происходит при нарушении
Сценарий 1. Бюджетное учреждение без актуального уведомления. Образовательная организация (Приволжский ФО, начало 2026) не обновляла запись в реестре РКН с 2019 года. За это время внедрили систему видеонаблюдения и кадровую ИС. При плановой проверке инспектор установил несоответствие: реальная обработка включает биометрические ПДн (видеозапись в местах общего пользования), не отражённые в уведомлении. Организация получила предписание и протокол по ч. 1 ст. 13.11 КоАП. Стратегия: немедленно подать корректирующее уведомление по Приказу РКН № 180 до составления постановления — это смягчающее обстоятельство по ст. 4.1 КоАП.
Сценарий 2. Согласие работника включено в трудовой договор после 01.09.2025. Государственный орган субъекта РФ (Сибирский ФО, осень 2025) оформлял новых сотрудников по старым шаблонам: согласие на обработку ПДн для передачи в страховую компанию — в приложении к трудовому договору. С 01.09.2025 такой документ не отвечает требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. При поступлении жалобы от работника РКН вправе возбудить дело по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: переработать формы согласий в отдельные документы, получить от новых сотрудников согласия в соответствии с новыми требованиями.
Сценарий 3. Утечка через подрядчика без соглашения об обработке по поручению. Медицинское учреждение (Центральный ФО, лето 2025) передало ПДн пациентов IT-подрядчику для доработки МИС без оформления соглашения об обработке по поручению (п. 3 ст. 6 ФЗ-152). Подрядчик допустил утечку. Ответственность — на операторе. Количество затронутых субъектов — более 10 000 человек — образует состав по ч. 13 ст. 13.11 (5 000 000–10 000 000 ₽). Стратегия: все подрядчики, получающие доступ к ПДн, должны работать на основании соглашения об обработке по поручению с перечнем допустимых действий.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка реестровой записи, перечня ИСПДн, согласий и ОРД
- Комплект ОРД под ключ — разработка полного пакета организационно-распорядительных документов
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный обязательный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1 ФЗ-152), приказ о назначении ответственного (ст. 22.1 ФЗ-152), формы согласий субъектов (ст. 9 ФЗ-152 в ред. ФЗ-156 с 01.09.2025), регламент обращений субъектов (ст. 20 ФЗ-152), регламент реагирования на инциденты (ст. 21 ФЗ-152), соглашения с подрядчиками об обработке по поручению (п. 3 ст. 6 ФЗ-152). В аудиторской практике полный перечень составляет 38 документов. Отсутствие любого из обязательных документов при проверке РКН образует самостоятельный состав нарушения.
2. Как составить политику обработки ПДн?
Политика составляется по структуре, предусмотренной ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и состав обрабатываемых ПДн, перечень действий с ПДн, сроки обработки и хранения, меры по обеспечению безопасности, права субъектов и порядок их реализации, контакты ответственного. Политика публикуется на официальном сайте организации. Шаблоны из открытых источников без адаптации не защищают от претензий РКН: инспектор сверяет содержание документа с реальным составом обработки.
3. Кого назначить ответственным по ст. 22.1?
Закон не устанавливает требований к должности — ответственным может быть юрист, специалист по кадрам или по защите информации. Требования по ч. 4 ст. 22.1 ФЗ-152: знание законодательства в области ПДн, реальные полномочия взаимодействовать с РКН и отвечать на запросы субъектов. После назначения контактные данные ответственного размещаются на официальном сайте организации. Назначение сотрудника без квалификации в области ПДн создаёт операционные риски при инциденте: 24-часовой срок уведомления РКН по ст. 21 ФЗ-152 требует подготовленного специалиста.
4. Можно ли использовать шаблон политики из интернета?
Шаблон допустим как отправная точка, но не как финальный документ. Политика должна отражать реальный состав обработки конкретной организации: фактические цели, категории субъектов, перечень ИСПДн, правовые основания. Политика, в которой указаны цели или системы, не соответствующие реальной деятельности, при проверке РКН фиксируется как несоответствие требованиям ст. 18.1 ФЗ-152 и образует состав по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ для юрлица).
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 (ФЗ-156 от 24.06.2025) все согласия субъектов на обработку ПДн оформляются отдельным документом — не включаются в трудовой договор, анкету, заявление или иной документ иного назначения. Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и реквизиты оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Согласия, полученные до 01.09.2025, — юридически действительны без переоформления. Новые согласия (в том числе при трудоустройстве после 01.09.2025) — только отдельным документом.
Итог
Госорган и бюджетное учреждение работают в режиме полного соответствия ФЗ-152: уведомление РКН до начала обработки, актуальная политика на сайте, ответственный с публичными контактами, согласия субъектов в новом формате с 01.09.2025, соглашения с подрядчиками. Штрафы с 30.05.2025 делают отсутствие любого из этих элементов финансово ощутимым — от 30 000 ₽ за непубликацию политики до 10 млн ₽ за утечку от 10 000 субъектов.
DATUM сопровождает операторов персональных данных по ФЗ-152 с 2014 года, включая государственные и бюджетные организации. Практика включает аудиты соответствия, разработку ОРД под ключ, DPO-аутсорсинг и защиту от штрафов по ст. 13.11 КоАП в арбитражных судах и у мировых судей.
Есть вопрос по уведомлению РКН или пакету ОРД?
Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru
21 ноября 2026 года