Когда обязательно назначать DPO
С 01.09.2025 требования к ОРД оператора ужесточились: ФЗ-156 от 24.06.2025 обязал оформлять согласие на обработку персональных данных отдельным документом. Одновременно РКН усилил контроль за наличием ответственного по ст. 22.1 ФЗ-152 как одного из ключевых индикаторов риска при проверках. В этом материале — кому назначение DPO обязательно, что входит в его полномочия и как выстроить эту функцию без найма штатного сотрудника.
Кому назначение ответственного по ст. 22.1 обязательно?
Статья 22.1 ФЗ-152 обязывает каждого оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Исключений для малого бизнеса закон не предусматривает: обязанность распространяется на ООО, АО, НКО, государственные учреждения и любые другие юридические лица, которые обрабатывают ПДн хотя бы в одной системе — кадровой, CRM, системе видеонаблюдения.
Назначение оформляется приказом руководителя с указанием конкретных полномочий. Типичная ошибка — упоминание должности без приказа или включение функции ответственного в должностную инструкцию без отдельного распорядительного документа. Оба варианта РКН считает ненадлежащим исполнением обязанности.
Квалификационных требований к ответственному закон прямо не устанавливает, однако ч. 4 ст. 22.1 указывает: он должен обладать достаточными знаниями в области обработки персональных данных. На практике это означает понимание норм ФЗ-152, умение вести реестр обработки и взаимодействовать с РКН.
Нужно назначить ответственного и оформить ОРД?
Если вы юрист компании и готовите комплект документов к проверке РКН — приказ о назначении ответственного, политика конфиденциальности, согласия в редакции с 01.09.2025 (ФЗ-156) и 35 смежных документов. DATUM собирает полный пакет ОРД и при необходимости берёт функцию ответственного на аутсорсинг по ст. 22.1.
Подключить DPO-аутсорс+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Что входит в полномочия ответственного по ст. 22.1?
Закон закрепляет за ответственным три базовых направления: организация внутреннего контроля соблюдения требований ФЗ-152, доведение норм до сотрудников и взаимодействие с субъектами персональных данных по их запросам. Срок ответа субъекту — 10 рабочих дней с момента обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта (ст. 20 ФЗ-152).
На практике полномочия шире. Ответственный участвует в уведомлении РКН по ст. 22 ФЗ-152 (форма — Приказ РКН №180 от 28.10.2022), контролирует актуальность политики обработки ПДн по ч. 2 ст. 18.1, отслеживает изменения законодательства. С 01.03.2023 он также должен быть готов организовать уведомление РКН об инциденте в течение 24 часов по Приказу РКН №187: именно ответственный координирует внутреннее расследование и отчёт за 72 часа.
Какие документы должны сопровождать назначение ответственного?
Назначение без сопровождающего пакета ОРД — неполное исполнение обязанности. РКН при проверке запрашивает документы в совокупности, а не по отдельности.
Минимальный пакет ОРД при назначении ответственного
- Приказ о назначении ответственного за организацию обработки ПДн с перечнем полномочий (ст. 22.1 ФЗ-152)
- Политика обработки персональных данных — опубликованная на сайте и во внутреннем доступе (ч. 2 ст. 18.1 ФЗ-152)
- Уведомление РКН о намерении осуществлять обработку ПДн или актуальная запись в реестре (ст. 22 ФЗ-152, Приказ РКН №180)
- Согласия работников и клиентов в редакции с 01.09.2025 — отдельным документом (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025)
- Журнал учёта обращений субъектов персональных данных за последние 12 месяцев
Совокупность этих документов формирует базовый комплаенс-профиль оператора. Отсутствие любого из них при проверке — самостоятельный состав по соответствующей части ст. 13.11 КоАП. Штраф по ч. 3 за непубликацию политики — до 60 000 ₽, по ч. 1 за нарушения в обработке — 150 000–300 000 ₽.
Получили запрос от РКН или готовитесь к проверке? Юристы DATUM проверят комплект ОРД по чек-листу из 38 пунктов и устранят нарушения до визита инспектора.
Заказать аудит 152-ФЗКак это работает на практике: два сценария
Сценарий 1. Ответственный назначен формально. Юридическая служба торговой сети (Сибирский ФО, весна 2026) обнаружила при подготовке к проверке РКН: в приказе о назначении ответственного не указаны конкретные полномочия, политика на сайте не обновлялась с 2021 года, согласия работников включены в трудовой договор. Инспектор при внеплановой проверке составил три протокола по разным частям ст. 13.11 КоАП на общую сумму штрафов в несколько сотен тысяч рублей. DATUM переоформил ОРД, подготовил возражения на протоколы и добился снижения санкций за счёт устранения нарушений в ходе производства.
Сценарий 2. Функция ответственного — на аутсорсинге. IT-компания (Центральный ФО, осень 2025) при расширении продуктовой линейки поняла, что штатный юрист не успевает отслеживать изменения ФЗ-152 в режиме реального времени. Аутсорсинговый DPO DATUM взял на себя уведомления в РКН, переоформление согласий под ФЗ-156 и ответы на запросы субъектов. Когда РКН провёл проверку по жалобе пользователя, все документы оказались в актуальном состоянии — производство завершилось без протокола.
Услуги DATUM по теме
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
- Комплект ОРД под ключ — полный пакет документов оператора ПДн
- Аудит соответствия 152-ФЗ — проверка комплаенса по 38 пунктам
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152), политику обработки персональных данных (ст. 18.1), приказ о назначении ответственного (ст. 22.1), согласия субъектов (ст. 9 ФЗ-152 в ред. с 01.09.2025), инструкции для сотрудников и журналы учёта обращений. Отсутствие любого документа — самостоятельный состав по ст. 13.11 КоАП.
2. Как составить политику обработки ПДн?
Политика должна отвечать требованиям ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень обрабатываемых категорий ПДн, сроки хранения, порядок уничтожения, меры защиты и порядок обращений субъектов. Документ публикуется в свободном доступе — на сайте оператора. Шаблон из интернета без адаптации под конкретную деятельность компании не закрывает обязанность: инспектор сравнивает политику с фактической обработкой.
3. Кого назначить ответственным по ст. 22.1?
Закон не требует отдельной штатной единицы: ответственным может быть действующий сотрудник — юрист, кадровик, руководитель ИБ — при условии достаточной компетентности в области 152-ФЗ. Допускается также привлечение внешней организации или специалиста на аутсорсинг. Главное — оформить приказ с конкретными полномочиями и обеспечить реальное исполнение функции.
4. Можно ли использовать шаблон политики из интернета?
Использование типового шаблона без адаптации — одна из наиболее частых причин замечаний при проверках РКН. Политика должна отражать реальную деятельность конкретного оператора: какие системы используются, какие категории ПДн обрабатываются, на каком основании и в течение какого срока. Несоответствие политики фактической обработке фиксируется как нарушение ст. 18.1 ФЗ-152.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом и не может быть включено в текст трудового договора, оферты, политики или иного документа (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025). Реквизиты согласия: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн и действий с ними, срок и способ отзыва. Согласия, оформленные до 01.09.2025, обратной силы закон не лишает — переоформлять их принудительно не требуется.
Итог
Назначение ответственного по ст. 22.1 ФЗ-152 — не формальность, а центральный элемент системы комплаенса оператора. Без приказа с конкретными полномочиями, актуальной политики и согласий в редакции с 01.09.2025 любая проверка РКН завершится протоколом.
DATUM сопровождает операторов по ФЗ-152 с 2014 года: назначение ответственного, сборка ОРД под ключ, аутсорсинг функции DPO и представительство при проверках Роскомнадзора.