Когда DPO-аутсорсинг выгоднее штатного юриста
С 01.09.2025 требования к составу согласий изменились по ФЗ-156 от 24.06.2025: согласие на обработку персональных данных оформляется отдельным документом. Одновременно ст. 22.1 ФЗ-152 требует, чтобы у каждого оператора-юрлица был назначенный ответственный с достаточной квалификацией. Большинство компаний закрывают эту позицию одним из двух способов: нанимают специалиста в штат или передают функцию на аутсорсинг. Ниже — критерии выбора, экономика и типовые ситуации.
Кому подходит DPO-аутсорсинг по ст. 22.1 ФЗ-152?
Ст. 22.1 ФЗ-152 обязывает оператора назначить лицо, ответственное за организацию обработки персональных данных. Закон не запрещает передавать эту функцию внешнему исполнителю — главное, чтобы исполнитель отвечал требованиям ч. 4 ст. 22.1 к компетентности.
DPO-аутсорсинг целесообразен, когда компания обрабатывает ПДн в стандартных категориях (клиенты, работники, контрагенты), не строит собственную ИБ-команду и не планирует расширять юридический блок. Типичные профили: торговые компании, сервисные организации, медицинские клиники без специализированного IT-отдела, образовательные учреждения.
Штатный специалист оправдан, если компания обрабатывает спецкатегории ПДн в большом объёме, имеет регулярные проверки РКН или строит in-house экспертизу по 152-ФЗ как конкурентное преимущество.
Нужно закрыть функцию ответственного по ст. 22.1 до проверки?
Если юрист компании ищет способ быстро назначить ответственного и не нанимать дополнительного сотрудника — DPO-аутсорсинг DATUM закрывает эту задачу за 5 рабочих дней. Включает приказ о назначении, регламент взаимодействия и ответы на запросы субъектов по ст. 20 ФЗ-152 в течение 10 рабочих дней.
Подключить DPO-аутсорс+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что входит в DPO-аутсорсинг и чем он отличается от штатного юриста?
Функция ответственного по ст. 22.1 включает: организацию обработки ПДн в соответствии с требованиями ФЗ-152, контроль за соблюдением политики обработки по ст. 18.1, ответы на запросы субъектов в срок 10 рабочих дней по ст. 20, взаимодействие с РКН при уведомлениях по форме Приказа РКН №180 и при проверках.
Штатный юрист общей практики, как правило, не ведёт реестр согласий, не отслеживает изменения подзаконных актов РКН и не имеет опыта работы с уведомлениями об инцидентах по Приказу РКН №187. Аутсорсинговая команда специализируется исключительно на 152-ФЗ и ведёт несколько операторов одновременно, что снижает удельную стоимость экспертизы.
Разница в экономике: штатная единица с требуемой квалификацией по 152-ФЗ обходится от 120 000 ₽ в месяц с учётом налогов и социальных взносов. DPO-аутсорсинг стоит от 30 000 ₽ в месяц и не требует onboarding, обучения и замены при увольнении.
Как работает DPO-аутсорсинг на практике: пять шагов
Подключение занимает от 5 до 10 рабочих дней и проходит по стандартному маршруту.
Шаг 1. Экспресс-аудит текущего состояния. Юристы DATUM оценивают реестр обрабатываемых ПДн, актуальность уведомления по ст. 22 ФЗ-152 в системе pd.rkn.gov.ru и наличие ОРД.
Шаг 2. Подготовка приказа о назначении. Оформляется приказ по ст. 22.1, назначается ответственный из состава DATUM с указанием реквизитов в уведомлении РКН.
Шаг 3. Актуализация политики конфиденциальности. Политика обработки ПДн по ст. 18.1 приводится в соответствие с текущими требованиями, включая категории ПДн, цели, основания по ст. 6 и ст. 9 ФЗ-152.
Шаг 4. Обновление согласий по ФЗ-156. Согласия на обработку с 01.09.2025 — отдельный документ. Шаблоны согласий для работников и клиентов обновляются под требования ст. 9 в редакции ФЗ-156 от 24.06.2025.
Шаг 5. Абонентское сопровождение. Ответы на запросы субъектов, мониторинг изменений НПА, подготовка к проверкам РКН, реагирование на инциденты.
Что должно быть у оператора ПДн по ст. 18.1
- Политика обработки ПДн — опубликована и актуальна по ст. 18.1 ФЗ-152
- Приказ о назначении ответственного по ст. 22.1 с указанием компетентного лица
- Уведомление в реестре РКН по форме Приказа РКН №180 — подано и отражает реальную обработку
- Согласия субъектов — отдельные документы с 01.09.2025 по требованиям ФЗ-156
- Журнал учёта обращений субъектов с датами и сроками ответов по ст. 20 ФЗ-152
Типовые ситуации: когда аутсорсинг закрывает задачу быстрее
Ситуация 1. Юрист получил предписание РКН. Компания получила запрос от Роскомнадзора с требованием устранить нарушения по ст. 18.1 — политика устарела, ответственный не назначен. Срок устранения — 30 дней. Штатный юрист без опыта 152-ФЗ тратит неделю на изучение требований. Аутсорсинговая команда закрывает пакет документов за 5 рабочих дней. Исход без реакции — штраф по ч. 3 ст. 13.11 КоАП до 60 000 ₽ плюс повторное предписание.
Ситуация 2. Компания не подала уведомление по ст. 22 ФЗ-152. Небольшая торговая компания три года собирала ПДн клиентов и сотрудников без уведомления РКН. Штраф по ч. 10 ст. 13.11 КоАП — 100 000–300 000 ₽. При подключении DPO-аутсорсинга DATUM готовит уведомление по форме Приказа РКН №180 и подаёт через pd.rkn.gov.ru, что снижает риск повторного нарушения. Срок включения в реестр — 30 дней.
Ситуация 3. Согласия работников в трудовом договоре — не переоформлены после 01.09.2025. С 01.09.2025 по ФЗ-156 согласие должно быть отдельным документом. Включение согласия в трудовой договор создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — до 700 000 ₽. DPO-аутсорсинг закрывает эту задачу: шаблоны согласий по ст. 9 ФЗ-152 в редакции ФЗ-156 готовятся в течение 3 рабочих дней.
Если у компании нет ответственного по ст. 22.1 или политика конфиденциальности не обновлялась больше года — каждый из этих фактов даёт РКН самостоятельное основание для протокола. Подключите DPO-аутсорсинг до проверки.
Подключить DPO-аутсорсКейсы: что происходит без специализированного ответственного
Кейс 1. Сервисная компания (Центральный ФО, осень 2025) получила внеплановую проверку РКН после жалобы субъекта. Политика конфиденциальности не была опубликована на сайте, ответственный по ст. 22.1 в приказе не значился. По итогам проверки назначено два штрафа: по ч. 3 ст. 13.11 (отсутствие политики) и по ч. 4 ст. 13.11 (непредоставление информации субъекту). Суммарно — в районе 100 000–140 000 ₽. После подключения DPO-аутсорсинга и подготовки ОРД повторных нарушений не зафиксировано.
Кейс 2. Образовательная организация (Уральский ФО, начало 2026) использовала согласия в составе договора оферты — до и после 01.09.2025. При плановой проверке инспектор РКН квалифицировал согласия как не отвечающие требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 — в диапазоне нескольких сотен тысяч рублей. Организация обратилась за защитой в арбитраже; применение ст. 4.1.1 КоАП было невозможно — нарушение не первичное.
Услуги DATUM по теме
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
- Комплект ОРД под ключ — политика, согласия, приказы, журналы по ст. 18.1
- Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов перед проверкой РКН
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет по ст. 18.1 ФЗ-152 включает: политику обработки ПДн (опубликованную на сайте или в доступном месте), приказ о назначении ответственного по ст. 22.1, уведомление в реестре РКН по форме Приказа РКН №180, согласия субъектов с реквизитами ст. 9 ФЗ-152, журнал обращений субъектов. Отсутствие любого из них — самостоятельный состав по ст. 13.11 КоАП.
2. Как составить политику обработки ПДн?
Политика по ч. 2 ст. 18.1 ФЗ-152 должна содержать: перечень категорий ПДн, цели обработки, правовые основания по ст. 6, сроки хранения, порядок уничтожения, сведения об ответственном по ст. 22.1, порядок обработки обращений субъектов. Использовать шаблон из интернета без адаптации под реальные процессы компании не рекомендуется — инспектор РКН проверяет соответствие политики фактической обработке.
3. Кого назначить ответственным по ст. 22.1?
Ст. 22.1 ч. 4 ФЗ-152 требует, чтобы ответственный обладал достаточной компетентностью для организации обработки ПДн. Назначить можно штатного сотрудника или внешнего исполнителя. Внешний исполнитель должен быть указан в уведомлении РКН и иметь полномочия действовать от имени оператора при взаимодействии с регулятором.
4. Можно ли использовать шаблон политики из интернета?
Шаблон допустим как основа, но не как готовый документ. РКН при проверке сопоставляет политику с реальным перечнем обрабатываемых ПДн, целями и основаниями. Если политика описывает категории или цели, которых в компании нет, — это нарушение ст. 5 ФЗ-152 (принцип достаточности). Если реальная обработка шире политики — нарушение ч. 3 ст. 13.11.
5. Какие согласия нужны после 01.09.2025?
По ФЗ-156 от 24.06.2025 с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — не включается в трудовой договор, оферту или политику. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контакты, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия, оформленные как отдельный документ с этими реквизитами, переоформлять не требуется.
Итог
DPO-аутсорсинг закрывает функцию ответственного по ст. 22.1 ФЗ-152 быстрее и дешевле штатной единицы — при условии, что компания не строит in-house экспертизу и обрабатывает стандартные категории ПДн. Ключевые точки риска — отсутствие ответственного, устаревшая политика по ст. 18.1 и несоответствующие требованиям согласия после 01.09.2025 — закрываются в рамках абонентского обслуживания.
DATUM сопровождает операторов ПДн по функции ответственного, ОРД и взаимодействию с РКН. Практика «Ветров и партнёры» специализируется на 152-ФЗ с 2014 года.