инструкция 21 февраля 2027 По состоянию на 21 февраля 2027

Инструкция оператора по обработке ПДн

Оператор ПДн — любое юридическое лицо, самостоятельно или совместно с другими определяющее цели и состав обрабатываемых персональных данных. Статус оператора возникает с момента первого сбора ПДн — независимо от регистрации в реестре РКН.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 составов. Неподача уведомления в РКН — штраф 100–300 тыс. ₽ (ч. 10); утечка от 1 000 субъектов — от 3 млн ₽ (ч. 12); повторная утечка — до 3% годовой выручки, но не менее 20 млн ₽ (ч. 15).

→ Если вы юрист и проверяете комплаенс компании — эта инструкция даёт порядок действий по всем ключевым обязанностям оператора: от уведомления РКН до согласий по ФЗ-156.

ФЗ-152 «О персональных данных» предъявляет к оператору конкретный перечень обязанностей. Их неисполнение фиксируется Роскомнадзором как самостоятельные составы правонарушений по ст. 13.11 КоАП. Настоящая инструкция структурирует обязанности в последовательность шагов: от первичной проверки до поддержания актуального пакета ОРД. Каждый шаг содержит ссылку на нормативное основание и указание на риск при невыполнении.

Шаг 1. Проверьте статус оператора и уведомление в реестре РКН

Обязанность уведомить РКН о намерении обрабатывать ПДн установлена ст. 22 ФЗ-152. Уведомление подаётся через pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма утверждена Приказом РКН №180 от 28.10.2022. Срок включения в реестр после подачи — 30 дней.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН до начала обработки персональных данных. Исключения перечислены в ч. 2 ст. 22 и распространяются на строго ограниченные случаи: данные, полученные в связи с трудовым договором, ПДн участников общественных объединений и ряд других.»

Первое, что проверяет инспектор РКН при плановой проверке, — наличие оператора в реестре и соответствие реальной обработки заявленным сведениям. Расхождение между реестровыми данными и фактической обработкой квалифицируется отдельно от факта отсутствия уведомления.

Неуведомление или несвоевременное уведомление влечёт штраф по ч. 10 ст. 13.11 КоАП — 100–300 тыс. ₽ для юридического лица. Если после проверки и протокола оператор продолжает обрабатывать ПДн без уведомления — возможна повторная квалификация.

Шаг 2. Назначьте ответственного за организацию обработки ПДн

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки персональных данных, — это требование ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя. В приказе указываются должность, ФИО и функциональные обязанности ответственного.

«Ст. 22.1 ФЗ-152 — ответственный за организацию обработки ПДн не обязан иметь профильное юридическое образование, однако должен быть ознакомлен с требованиями законодательства и внутренними актами оператора. Ч. 4 ст. 22.1 устанавливает перечень задач, которые оператор возлагает на это лицо.»

Ответственный — это внутренний контактный центр для субъектов ПДн и РКН. Он принимает обращения субъектов, ведёт журнал, инициирует исполнение запросов в срок 10 рабочих дней по ст. 20 ФЗ-152. Отсутствие назначенного ответственного фиксируется при проверке как нарушение ст. 18.1 ФЗ-152.

Комплект ОРД уже нужен, но непонятно, с чего начать?

Если юрист проверяет комплаенс и видит пробелы — важно понять их приоритет до проверки РКН. Сроки на устранение нарушений после предписания ограничены. Каждая незакрытая позиция из 38 документов ОРД — самостоятельный состав по ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Разработайте и опубликуйте политику обработки персональных данных

Политика обработки персональных данных — обязательный публичный документ. Требование к его наличию и содержанию закреплено в ст. 18.1 ФЗ-152. Политика размещается на сайте оператора в открытом доступе: как правило, ссылка в подвале страницы. Требование к публикации — ч. 2 ст. 18.1.

«Ст. 18.1 ч. 2 ФЗ-152 — политика должна содержать: цели обработки, правовые основания, состав обрабатываемых ПДн, сроки обработки и хранения, порядок уничтожения, перечень лиц, имеющих доступ, меры защиты, порядок рассмотрения обращений субъектов.»

Невыполнение обязанности по публикации политики — самостоятельный состав по ч. 3 ст. 13.11 КоАП, штраф 30–60 тыс. ₽. Он применяется независимо от того, выявлено ли нарушение при проверке или по жалобе субъекта.

Политика не должна быть переписанным шаблоном из интернета. РКН при проверке сверяет содержание политики с реальной обработкой, указанной в реестре. Расхождение влечёт предписание, а при повторном нарушении — протокол.

Что должна содержать политика обработки ПДн

Цели обработки ПДн и правовые основания по ст. 6 ФЗ-152 (согласие, договор, закон)
Состав обрабатываемых ПДн с разбивкой по категориям (общие, специальные по ст. 10, биометрические по ст. 11)
Сроки обработки и хранения ПДн по каждой цели
Порядок уничтожения ПДн при достижении целей или отзыве согласия
Порядок рассмотрения обращений субъектов — срок 10 рабочих дней по ст. 20 ФЗ-152

Шаг 4. Оформите согласия субъектов по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — это требование ФЗ-156 от 24.06.2025, изменившего ч. 1 ст. 9 ФЗ-152. Согласие не может быть включено в текст трудового договора, договора оферты, пользовательского соглашения или политики конфиденциальности.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 — согласие субъекта ПДн должно быть конкретным, информированным, сознательным и представлять собой отдельный документ. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия и способ его отзыва.»

Обратной силы ФЗ-156 не имеет: ранее полученные согласия, оформленные до 01.09.2025 в составе иных документов, переоформлять не требуется. Однако любое новое согласие, оформляемое после этой даты, обязано соответствовать новым требованиям.

Обработка ПДн без письменного согласия (когда оно требуется) или с нарушением требований к его составу — состав по ч. 2 ст. 13.11 КоАП, штраф 300–700 тыс. ₽. Повторное нарушение — 1–1,5 млн ₽ по ч. 2.1.

Шаг 5. Обеспечьте локализацию и организуйте меры защиты ИСПДн

Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны производиться в базах данных, расположенных на территории Российской Федерации. Это требование ч. 5 ст. 18 ФЗ-152, действующее с 01.09.2015. С 01.07.2025 требования к локализации ужесточены: первичный сбор также должен осуществляться на серверах в РФ.

«Ч. 8 ст. 13.11 КоАП — нарушение требований локализации влечёт штраф 1–6 млн ₽ для юридического лица. Повторное нарушение по ч. 9 — 6–18 млн ₽.»

Технические и организационные меры защиты информационных систем, обрабатывающих ПДн, определяются в зависимости от уровня защищённости (УЗ-1...УЗ-4) по ПП РФ №1119 от 01.11.2012. Конкретный состав мер — Приказ ФСТЭК №21 от 18.02.2013. Уровень защищённости зависит от категории ПДн, типа угроз и числа субъектов: порог 100 000 субъектов меняет требования.

Оператор обязан назначить уровень защищённости для каждой ИСПДн, провести классификацию и задокументировать принятые меры. Отсутствие этих документов при проверке — основание для предписания об устранении нарушений ст. 19 ФЗ-152.

Если юрист уже получил запрос от РКН или готовится к плановой проверке — времени на самостоятельный сбор ОРД может не остаться. Юристы DATUM собирают комплект из 38 документов и представляют интересы оператора в РКН.

Собрать ОРД под ключ

Как это выглядит на практике: два сценария

Сценарий 1. Компания без уведомления в реестре. Оператор — региональная торговая сеть (Приволжский ФО, весна 2026) — обрабатывал ПДн покупателей через программу лояльности три года. Уведомление в РКН не подавалось. Проверка инициирована по жалобе субъекта. Инспектор установил отсутствие уведомления, отсутствие политики и отсутствие согласий отдельным документом. Три протокола по ч. 10, ч. 3 и ч. 2 ст. 13.11 — итоговая нагрузка штрафов в несколько сотен тысяч рублей. Устранение нарушений заняло три месяца после предписания. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. В деле о первых штрафах по новым нормам ст. 13.11 (арбитражные суды, начало 2026) значительную роль сыграло то, были ли у оператора сформированы ОРД до инцидента. Арбитражный суд Москвы рассматривал дело оператора, у которого при утечке свыше 100 000 субъектов (ч. 14 ст. 13.11) было зафиксировано наличие политики, приказа о назначении ответственного и журнала обращений субъектов. Суд учёл это как смягчающее обстоятельство при назначении штрафа в нижней части диапазона 10–15 млн ₽. Источник: ГАРАНТ.РУ 23.03.2026 (кейс РЭШ, дело № А40-351064/2025 — оператор-микропредприятие, штраф 400 000 ₽ с учётом ч. 1 ст. 4.1.2 КоАП).

Матрица типовых нарушений и их последствий

Нарушение: нет уведомления в РКН (ст. 22 ФЗ-152). Ситуация: оператор начал обработку без подачи уведомления или не обновил данные в реестре при изменении состава обработки. Доказательства: реестр pd.rkn.gov.ru не содержит оператора; данные реестра расходятся с реальной обработкой. Исход: ч. 10 ст. 13.11 КоАП, 100–300 тыс. ₽. Стратегия: подать уведомление до проверки; при наличии протокола — ходатайствовать о замене на предупреждение по ст. 4.1.1 КоАП для микропредприятий.

Нарушение: согласие включено в договор или оферту (ст. 9 ФЗ-152 в ред. ФЗ-156). Ситуация: после 01.09.2025 согласие работника или клиента по-прежнему встроено в текст договора или пользовательского соглашения. Доказательства: текст документа, дата его подписания. Исход: ч. 2 ст. 13.11, 300–700 тыс. ₽. Стратегия: переработать форму согласия в отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152.

Нарушение: отсутствует или не соответствует требованиям политика обработки ПДн (ст. 18.1 ФЗ-152). Ситуация: на сайте нет публичной политики либо её содержание не совпадает с реальной обработкой. Доказательства: скриншот сайта на дату проверки; сравнение с данными реестра. Исход: ч. 3 ст. 13.11, 30–60 тыс. ₽. Стратегия: разработать политику под конкретного оператора, опубликовать с постоянным URL и синхронизировать с данными в реестре РКН.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов от политики до журналов учёта обращений
Аудит соответствия 152-ФЗ — проверка по чек-листу, отчёт с приоритизированным планом
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет ОРД оператора включает: уведомление о постановке в реестр РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов в отдельном документе по ст. 9, договоры-поручения с обработчиками по п. 3 ст. 6, внутренние регламенты по защите ПДн по ст. 19, журнал учёта обращений субъектов. Итоговый комплект для среднего оператора — около 38 документов.

2. Как составить политику обработки ПДн?

Политика разрабатывается под конкретного оператора: она должна отражать реальные цели обработки, состав ПДн и правовые основания по ст. 6 ФЗ-152. Структура определяется ч. 2 ст. 18.1 ФЗ-152. Политика публикуется на официальном сайте оператора в открытом доступе. Расхождение между политикой и реестровыми данными — самостоятельное нарушение. Использовать шаблон без адаптации к реальной обработке нельзя: РКН сверяет содержание с фактическими данными оператора.

3. Кого назначить ответственным по ст. 22.1?

Ответственным за организацию обработки ПДн может быть любой сотрудник: штатный юрист, специалист по ИБ, HR-менеджер или иное лицо, ознакомленное с требованиями 152-ФЗ. Квалификационных требований к должности закон не предъявляет, однако ч. 4 ст. 22.1 устанавливает круг задач, которые это лицо обязано выполнять. Функцию ответственного можно передать на аутсорсинг по договору DPO.

4. Можно ли использовать шаблон политики из интернета?

Нет, в том виде, в котором шаблоны размещаются в свободном доступе. Политика должна отражать конкретные цели, состав ПДн и правовые основания данного оператора. Шаблон может служить структурной основой, но его содержание требует полной адаптации. РКН при проверке сравнивает текст политики с данными, указанными оператором в реестре. Несоответствие — основание для предписания.

5. Какие согласия нужны после 01.09.2025?

После 01.09.2025 любое новое согласие на обработку ПДн оформляется как отдельный документ в силу ФЗ-156 от 24.06.2025. Оно не может быть частью трудового договора, оферты или политики конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва. Ранее полученные согласия переоформлять не требуется — ФЗ-156 обратной силы не имеет.

6. Что будет, если не уведомить РКН об утечке в 24 часа?

Неуведомление или несвоевременное уведомление РКН об инциденте с ПДн в установленный срок квалифицируется по ч. 11 ст. 13.11 КоАП и влечёт штраф 1–3 млн ₽ для юридического лица. Срок не восстанавливается. Дополнительно назначается штраф за саму утечку по ч. 12–14 ст. 13.11 в зависимости от числа затронутых субъектов. Порядок уведомления об инцидентах регулируется Приказом РКН №187 от 14.11.2022.

Итог

Статус оператора ПДн предполагает исполнение шести базовых обязанностей: регистрация в реестре РКН, назначение ответственного, разработка и публикация политики, оформление согласий в соответствии с требованиями ФЗ-156 с 01.09.2025, обеспечение локализации и технической защиты ИСПДн. Каждая незакрытая позиция — самостоятельный состав по ст. 13.11 КоАП с отдельным штрафом.

DATUM сопровождает операторов ПДн по всему циклу: от первичного аудита до подготовки к проверке РКН и защиты в арбитраже. Практика по ФЗ-152 — с 2014 года, более 300 операторов.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 февраля 2027 года