услуга 19 марта 2027 По состоянию на 19 марта 2027

Назначение ответственного по ст. 22.1: обязательно для юрлица

Ст. 22.1 ФЗ-152 обязывает каждое юрлицо-оператора назначить лицо, ответственное за организацию обработки персональных данных.

Отсутствие назначенного ответственного — самостоятельное нарушение, которое РКН фиксирует при любой проверке. Штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽, а по ч. 1 за незаконную обработку — до 300 000 ₽.

→ Если вы юрист компании и пакет ОРД ещё не собран — DATUM подготовит приказ о назначении, должностную инструкцию и весь комплект документов под ключ.

Обязанность назначить ответственного по ст. 22.1 ФЗ-152 действует с 2011 года, но массово игнорируется малым и средним бизнесом. После расширения ст. 13.11 КоАП через ФЗ-420 от 30.11.2024 (в силе с 30.05.2025) регулятор получил новые основания для протоколов. Ниже — кому нужна услуга, что входит в работу и как это устроено на практике.

Кому подходит назначение ответственного через DATUM?

Услуга нужна любому юридическому лицу, которое обрабатывает персональные данные хотя бы одного физического лица — клиента, работника или контрагента. Ч. 1 ст. 22.1 ФЗ-152 не делает исключений по размеру или отрасли: обязанность распространяется на ООО с двумя сотрудниками так же, как на крупный холдинг.

Особенно актуально для компаний, которые:

готовятся к плановой или внеплановой проверке Роскомнадзора;
получили предписание РКН и устраняют замечания;
формируют пакет ОРД с нуля или обновляют документы после 01.09.2025;
переводят функцию ответственного на аутсорсинг в рамках DPO-модели.

Нет назначенного ответственного — что грозит юристу компании?

Если юрист обнаружил, что приказ о назначении отсутствует, до проверки РКН нужно закрыть пробел. Ч. 3 ст. 13.11 КоАП — штраф до 60 000 ₽ за отсутствие политики и связанных документов. Совокупность нарушений при комплексной проверке даёт штрафы по нескольким частям одновременно. DATUM подготовит приказ, должностную инструкцию и сопутствующий ОРД за 5 рабочих дней.

Подключить DPO-аутсорс

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что делает DATUM в рамках услуги?

Работа включает пять последовательных этапов.

Диагностика. Проверяем реестр операторов на pd.rkn.gov.ru, анализируем действующие локальные акты, определяем кандидата на роль ответственного и объём его полномочий по ч. 4 ст. 22.1 ФЗ-152.
Приказ о назначении. Готовим приказ с указанием ФИО, должности, полномочий и сроков отчётности. Документ соответствует требованиям ч. 1 ст. 22.1 и ч. 1 ст. 18.1 ФЗ-152.
Должностная инструкция. Фиксируем функции ответственного: ведение реестра, взаимодействие с РКН, ответы на запросы субъектов по ст. 20 ФЗ-152 в течение 10 рабочих дней, контроль уведомлений об инцидентах за 24 и 72 часа по Приказу РКН №187.
Политика обработки ПДн. Разрабатываем документ с обязательными разделами по ч. 2 ст. 18.1: цели, правовые основания, категории субъектов, меры защиты, права субъектов, порядок обращений. Размещаем на сайте оператора в открытом доступе.
Связанный ОРД. При необходимости дополняем пакет: согласия по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (отдельный документ с 01.09.2025), согласие на распространение по ст. 10.1, регламент реагирования на утечки, журнал учёта обращений субъектов.

«Ст. 22.1 ч. 1 ФЗ-152 — оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Ч. 4 той же статьи устанавливает минимальные требования к квалификации и задачам этого лица.»

Как выглядит работа на практике: два кейса

Кейс 1. Юридическая служба торговой компании (Сибирский ФО, конец 2025) обратилась в DATUM после получения уведомления о плановой проверке РКН. В компании отсутствовал приказ о назначении ответственного, политика обработки ПДн была размещена только в виде ссылки на типовой шаблон из интернета — без подписи и реквизитов оператора. За 5 рабочих дней DATUM подготовил полный пакет: приказ, инструкцию, политику, журнал. Проверка прошла без предписаний по разделу «организационные меры».

Кейс 2. Медицинская лаборатория (Центральный ФО, начало 2026) передала функцию ответственного на DPO-аутсорсинг после внутреннего аудита, выявившего 11 несоответствий. В том числе — отсутствие отдельных согласий работников в соответствии с требованиями ФЗ-156 от 24.06.2025. DATUM обновил все согласия, скорректировал уведомление в реестре РКН по Приказу №180 от 28.10.2022 и взял на себя ответы на запросы субъектов в установленные сроки.

Что подготовить для назначения ответственного

Выписка из реестра операторов ПДн с pd.rkn.gov.ru (актуальная).
Проект приказа о назначении с указанием полномочий по ч. 4 ст. 22.1 ФЗ-152.
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152.
Согласия субъектов в формате отдельного документа по ст. 9 ФЗ-152 (ред. ФЗ-156, с 01.09.2025).
Регламент реагирования на утечки: 24 часа — первичное уведомление, 72 часа — отчёт (Приказ РКН №187).

Если юрист компании проверяет комплаенс и обнаружил пробелы в ОРД — DATUM закроет задачу за 5 рабочих дней. Согласия по новым требованиям ФЗ-156 с 01.09.2025, приказ о назначении, политика конфиденциальности — всё в одном пакете.

Собрать ОРД под ключ

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, соответствие ст. 18.1 и ст. 22.1 ФЗ-152.
DPO-аутсорсинг — абонентское ведение функции ответственного с 30 000 ₽/мес.
Аудит соответствия 152-ФЗ — чек-лист из 38 пунктов, отчёт с планом устранения.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет по ст. 18.1 и ст. 22.1 ФЗ-152 включает: приказ о назначении ответственного, политику обработки ПДн (опубликованную на сайте), согласия субъектов по ст. 9, инструкцию по реагированию на инциденты, журнал учёта обращений субъектов и поручение обработки (при передаче данных третьим лицам по п. 3 ст. 6). После 01.09.2025 согласия оформляются отдельным документом по ФЗ-156 от 24.06.2025.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, прямо перечисленные в ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6, категории субъектов и состав ПДн, порядок и сроки хранения, меры защиты, права субъектов и порядок их реализации, контактные данные ответственного. Шаблон без адаптации под конкретного оператора не соответствует требованиям — РКН при проверке запрашивает документ с реквизитами и подписью.

3. Кого назначить ответственным по ст. 22.1?

Закон не устанавливает требований к должности или образованию — важна реальная возможность выполнять функции по ч. 4 ст. 22.1: организовывать обработку, контролировать соответствие, взаимодействовать с РКН и субъектами. На практике назначают штатного юриста, специалиста по ИБ или передают функцию внешнему DPO-аутсорсеру. Для небольших компаний аутсорсинг экономически оправдан: от 30 000 ₽/мес против штата юриста.

4. Можно ли использовать шаблон политики из интернета?

Шаблон может служить отправной точкой, но не финальным документом. РКН при проверке анализирует соответствие политики фактической обработке конкретного оператора: категориям ПДн, целям, перечню третьих лиц, срокам хранения. Документ без адаптации под реальную деятельность компании квалифицируется как ненадлежащее исполнение обязанности по ст. 18.1, что влечёт штраф по ч. 3 ст. 13.11 КоАП.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом. Включать согласие в трудовой договор, оферту или политику конфиденциальности нельзя. Обязательные реквизиты: ФИО и контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок действия, способ отзыва. Согласия, полученные до 01.09.2025, обратной силы не имеют — переоформлять их не требуется, но новые должны соответствовать актуальным требованиям.

Итог

Назначение ответственного по ст. 22.1 ФЗ-152 — не формальность, а рабочий механизм: без него невозможно обеспечить ни соблюдение сроков ответа субъектам, ни 24-часовое уведомление РКН об инциденте. Отсутствие документа при проверке создаёт самостоятельное основание для штрафа и ухудшает позицию по остальным нарушениям.

DATUM сопровождает операторов ПДн с 2014 года в составе сети «Ветров и партнёры». Практика охватывает назначение ответственных, сборку ОРД, аудит соответствия и DPO-аутсорсинг для компаний от 10 до 5 000 сотрудников.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508.

19 марта 2027 года