Холдинг и единое уведомление: возможно ли
Холдинговые структуры создают правовую иллюзию: общее название, единый бренд, централизованные IT-системы — и кажется, что достаточно одного уведомления в РКН. Это заблуждение приводит к штрафам. ФЗ-152 не знает понятия «группа компаний»: каждое юрлицо обязано самостоятельно встать на учёт как оператор и выполнить полный комплаенс. Ниже — инструкция по выстраиванию уведомления и ОРД в холдинге с учётом норм, действующих на дату публикации.
Шаг 1. Установите, кто в холдинге является оператором ПДн
Оператор ПДн — лицо, которое самостоятельно или совместно с другими определяет цели и состав обрабатываемых персональных данных (ст. 3 ФЗ-152). В холдинге операторами могут быть несколько юрлиц одновременно: управляющая компания, производственные общества, торговые подразделения, кадровые службы.
Определите по каждой организации: собирает ли она ПДн работников, клиентов или контрагентов и принимает ли решения о целях обработки? Если да — это оператор, обязанный уведомить РКН. Если организация только исполняет инструкции другой компании группы — она действует как лицо, осуществляющее обработку по поручению (ст. 6 ФЗ-152), и уведомление подаёт оператор-заказчик.
Типичное разграничение в холдинге: управляющая компания ведёт единую кадровую базу — она оператор; дочерние общества лишь используют доступ к базе — они обработчики по поручению, и отдельное уведомление им не нужно. Но если «дочки» самостоятельно заключают трудовые договоры и принимают кадровые решения — каждая становится самостоятельным оператором.
Не уверены, кто в группе является оператором, а кто — обработчиком по поручению?
Разграничение ролей — первый и критически важный шаг. Ошибка на этом этапе ведёт к двойному штрафу: за неуведомление и за отсутствие договора поручения. Юристы DATUM проведут аудит ролей по каждому юрлицу холдинга и подготовят матрицу операторов и обработчиков.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Шаг 2. Подайте отдельные уведомления по каждому оператору в реестр РКН
Уведомление подаётся через портал pd.rkn.gov.ru с использованием УКЭП или через ЕСИА. Форма уведомления — Приказ РКН №180 от 28.10.2022. Срок включения в реестр операторов ПДн — 30 дней с момента подачи.
В уведомлении каждая организация указывает собственные сведения: наименование, ИНН, адрес, цели обработки, категории субъектов и ПДн, правовые основания, меры защиты, сведения об использовании трансграничной передачи. Данные одного юрлица группы подставить вместо другого нельзя — реестр РКН идентифицирует операторов по ИНН.
Практическая рекомендация: составьте единый шаблон уведомления на уровне холдинга с общими разделами (описание мер защиты, перечень баз данных) и вариативными полями (наименование, ИНН, реальные цели конкретного юрлица). Это сократит время подготовки без нарушения требований.
Шаг 3. Назначьте ответственных за обработку ПДн в каждом операторе
По ст. 22.1 ФЗ-152 каждый оператор — юридическое лицо — обязан назначить лицо, ответственное за организацию обработки персональных данных. Это не формальная должность: ответственный координирует выполнение требований закона, взаимодействует с субъектами ПДн и с РКН.
В холдинге возможны два подхода. Первый: в каждом юрлице назначается собственный ответственный приказом руководителя. Второй: функцию берёт на себя управляющая компания через аутсорсинг DPO — это законно при наличии договора поручения обработки. В обоих случаях приказ о назначении и должностной регламент должны быть у каждого оператора отдельно.
Если вы юрист холдинга и ни в одном из юрлиц нет назначенного ответственного по ст. 22.1 — каждое из них нарушает обязанность, установленную ФЗ-152. DATUM предоставляет DPO-аутсорсинг для всей группы компаний от 30 000 ₽/мес за юрлицо.
Подключить DPO-аутсорсингШаг 4. Подготовьте ОРД для каждого оператора с учётом общих и специфических элементов
Организационно-распорядительная документация по ст. 18.1 ФЗ-152 должна быть у каждого оператора. В холдинге разумно разделить документы на два уровня.
Уровень группы (единые шаблоны): политика обработки ПДн, модель угроз, регламент реагирования на инциденты, инструкция по уничтожению ПДн. Уровень юрлица (индивидуальные): приказ о назначении ответственного, перечень лиц с правом доступа, журнал обращений субъектов, договоры поручения с обработчиками.
Что подготовить в каждом операторе холдинга
- Уведомление в реестр РКН через pd.rkn.gov.ru (Приказ РКН №180)
- Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152
- Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152
- Отдельные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025)
- Договоры поручения с обработчиками по ст. 6 ФЗ-152 — для каждого подрядчика, получающего ПДн
Политика конфиденциальности — публичный документ. Она должна быть размещена на сайте каждого оператора или в доступном для субъектов месте. Единая политика на уровне бренда допустима только если все юрлица группы прямо перечислены в ней как операторы с указанием их ИНН, адресов и целей обработки. Использование шаблона из открытых источников без адаптации нарушает ч. 2 ст. 18.1 ФЗ-152.
Шаг 5. Приведите согласия субъектов в соответствие с требованиями с 01.09.2025
ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не объединяется с договором, политикой или офертой. Это критично для холдингов: если согласие работника включено в трудовой договор или согласие клиента — в оферту, такая конструкция с 01.09.2025 не соответствует закону.
Обратной силы норма не имеет: ранее выданные согласия переоформлять принудительно не требуется. Но при обновлении документов, новых трудовых договорах и онбординге клиентов после 01.09.2025 — только отдельное согласие с обязательными реквизитами по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
В холдинге с пятью операторами и типичным кадровым документооборотом совокупный риск по ч. 2 ст. 13.11 составляет до 3,5 млн ₽. Аудит согласий по всей группе — обязательный элемент работы юриста, сопровождающего холдинг.
Как это применяется на практике
Кейс 1. Производственный холдинг Уральского ФО (5 юрлиц, осень 2025) прошёл внеплановую проверку РКН после жалобы бывшего работника. Управляющая компания стояла в реестре операторов, три «дочки» — нет. По итогам составлены протоколы по ч. 10 ст. 13.11 на каждую из трёх неуведомлённых организаций. Совокупный штраф составил несколько сотен тысяч рублей. После консультации юристы оперативно подали уведомления и представили в суде доводы о малозначительности и первичности — по одной компании добились замены штрафа на предупреждение по ст. 4.1.1 КоАП.
Кейс 2. Торгово-сервисная группа компаний Центрального ФО (зима 2025–2026) проводила слияние двух юрлиц. Юрист группы обнаружил: у присоединяемого общества нет политики конфиденциальности, согласия работников включены в трудовые договоры (нарушение с 01.09.2025), уведомление в РКН подано в 2019 году и не обновлялось. По итогам аудита юристы подготовили обновлённое уведомление, отдельные согласия и полный пакет ОРД до завершения реорганизации — претензий РКН не последовало.
Типовые ситуации в холдинге: как действовать
Ситуация 1: управляющая компания ведёт единую HR-систему для всей группы. Если «дочки» сами заключают трудовые договоры — они операторы. Управляющая компания выступает обработчиком по поручению. Требуется: договор поручения между каждой «дочкой» и управляющей компанией по ст. 6 ФЗ-152. Уведомление в РКН подаёт каждая «дочка»; управляющая компания может уведомить отдельно по своим целям обработки.
Ситуация 2: один сайт для нескольких брендов холдинга. Если на сайте собираются заявки от клиентов разных юрлиц — каждое из них является оператором по своим клиентам. Политика конфиденциальности должна перечислять всех операторов с реквизитами. Согласие должно явно указывать, кому именно субъект даёт согласие.
Ситуация 3: холдинг использует CRM с облачным хранением у иностранного провайдера. Если данные граждан РФ хранятся за рубежом — нарушение ч. 5 ст. 18 ФЗ-152 (локализация). Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽ с каждого оператора, использующего систему. Правовая стратегия: разграничить, какие операции являются первичным сбором (должны быть в РФ), а какие — последующей обработкой.
Услуги DATUM по теме
- Комплект ОРД под ключ — полный пакет документов для каждого оператора группы
- Аудит соответствия 152-ФЗ — проверка по 38 пунктам с приоритизированным планом
- DPO-аутсорсинг — функция ответственного по ст. 22.1 для всей группы
Частые вопросы
1. Какие документы должны быть у каждого оператора ПДн в холдинге?
Каждый оператор обязан иметь: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с обязательными разделами по ч. 2 ст. 18.1, приказ о назначении ответственного по ст. 22.1, шаблоны согласий субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025, договоры поручения с обработчиками, журнал обращений субъектов и регламент реагирования на инциденты. При наличии спецкатегорий ПДн или биометрии — дополнительно модель угроз и меры по ПП РФ №1119.
2. Как составить политику обработки ПДн для холдинга?
Политика составляется отдельно для каждого оператора или в виде единого документа с явным перечислением всех юрлиц группы с ИНН и адресами. Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и ПДн, порядок уничтожения, права субъектов, меры защиты. Использование шаблона из открытых источников без адаптации к реальным процессам оператора не соответствует требованиям закона и становится предметом критики при проверке РКН.
3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?
Ответственным может быть штатный сотрудник с достаточными знаниями в области законодательства о ПДн или внешний провайдер (DPO-аутсорсинг) по договору поручения. В холдинге допустимо назначить управляющую компанию ответственным по поручению от каждого дочернего общества — при наличии корректного договора. Приказ о назначении и должностной регламент оформляются в каждом юрлице отдельно.
4. Можно ли использовать шаблон политики конфиденциальности из интернета?
Шаблон может служить основой, но не готовым решением. Политика должна описывать реальные процессы конкретного оператора: фактические цели обработки, категории ПДн, используемые системы и меры защиты. Несоответствие политики реальной практике — типовое нарушение, которое РКН фиксирует при проверке. Штраф за неопубликование или неполноту политики — по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.
5. Какие согласия нужно переоформить после 01.09.2025 по ФЗ-156?
Переоформлять ранее выданные согласия закон не требует — норма обратной силы не имеет. Но начиная с 01.09.2025 новые согласия должны быть отдельным документом: не включаться в трудовой договор, оферту, политику или любой другой документ. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн и действий, срок, способ отзыва. За нарушение требований к согласию — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.
Итог
Единого уведомления для холдинга не существует: каждое юридическое лицо, самостоятельно определяющее цели обработки ПДн, является отдельным оператором и обязано уведомить РКН, подготовить ОРД и назначить ответственного. Разграничение ролей оператора и обработчика по поручению — ключевой шаг, от которого зависит состав обязанностей каждой компании группы. Изменения 2025 года (ФЗ-156, ужесточение локализации) добавляют новые триггеры несоответствия, которые проявляются именно в многоуровневых структурах.
Юристы DATUM сопровождают холдинги при выстраивании комплаенса по ФЗ-152: от аудита ролей и подготовки матрицы операторов до подачи уведомлений и формирования пакета ОРД под каждое юрлицо группы.
21 ноября 2026 года