услуга 10 декабря 2026 По состоянию на 10 декабря 2026

Ответственность ответственного по 22.1

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Отсутствие такого назначения, неполнота его полномочий или формальное исполнение функции создают самостоятельные основания для штрафа по ст. 13.11 КоАП.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 составов, штрафы до 500 млн ₽ по оборотному составу ч. 15. С 01.09.2025 согласие на обработку ПДн — отдельный документ по ФЗ-156 от 24.06.2025. Ответственный по ст. 22.1 обязан обеспечить соответствие этим требованиям.

Если вы юрист компании и готовите документы по 152-ФЗ — проверьте, есть ли приказ о назначении, актуальная политика и корректные согласия. Без этого три состава ст. 13.11 КоАП применяются одновременно. → Мы разберём вашу ситуацию.

Ответственный по ст. 22.1 ФЗ-152 — это должностное лицо оператора, которое организует всю систему обработки персональных данных внутри компании. Его полномочия, документация и реальные действия проверяются Роскомнадзором при плановых и внеплановых проверках. Ниже — разбор обязанностей, рисков ответственного и документов, которые юрист должен подготовить до того, как придёт запрос РКН.

Кому подходит и в каких случаях нужна помощь?

Услуга актуальна для юриста компании, которому поручено привести обработку ПДн в соответствие с 152-ФЗ: назначить ответственного по ст. 22.1, собрать ОРД, актуализировать согласия после 01.09.2025. Также — для компаний, где ответственный назначен формально, без реальных полномочий и документальной базы.

Три типичные ситуации, при которых требуется помощь юриста DATUM:

Назначение ответственного «на бумаге». Приказ есть, но у лица нет полномочий получать запросы субъектов, взаимодействовать с РКН и контролировать обработчиков. При проверке РКН это квалифицируется как отсутствие надлежащего назначения.
Устаревшая политика обработки ПДн. Политика не учитывает согласия в редакции ФЗ-156, новые составы ст. 13.11 КоАП и актуальные требования ч. 2 ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 — 30–60 тыс. ₽ за ненадлежащую публикацию политики, но содержательные нарушения тянут ч. 1 и ч. 2 на 150–700 тыс. ₽.
Согласия до 01.09.2025 встроены в договор или оферту. С 01.09.2025 ФЗ-156 от 24.06.2025 запрещает объединять согласие с другими документами. Каждое такое согласие — потенциальный штраф по ч. 2 ст. 13.11 КоАП в диапазоне 300–700 тыс. ₽.

Есть сомнения в полноте полномочий ответственного по ст. 22.1?

Если юрист компании проверяет, корректно ли назначен ответственный и оформлены ли его функции — важно сделать это до проверки РКН. Пробел в полномочиях превращает формальное назначение в нарушение, а не в защиту. Юристы DATUM проверят пакет документов и назначат ответственного в рамках DPO-аутсорсинга.

Подключить DPO-аутсорсинг

+7 (383) 310-38-76 · info@vitveteam.ru · Telegram

Что входит в работу ответственного по ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 устанавливает обязанность оператора-юрлица назначить лицо, ответственное за организацию обработки ПДн. Закон не требует отдельной должности — функции можно возложить на штатного юриста, HR-директора или внешнего консультанта. Ч. 4 ст. 22.1 предъявляет требования к квалификации такого лица.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн; ч. 4 содержит требования к его квалификации и компетенции.»

Обязанности ответственного по ст. 22.1 охватывают несколько ключевых направлений:

Контроль за соблюдением 152-ФЗ и принятых операторов локальных актов (ст. 18.1 ФЗ-152).
Приём и обработка обращений субъектов ПДн в срок 10 рабочих дней (ст. 20 ФЗ-152).
Взаимодействие с Роскомнадзором: уведомления об обработке по Приказу РКН №180, уведомления об утечках за 24/72 часа по Приказу РКН №187.
Контроль за согласиями субъектов: с 01.09.2025 каждое согласие должно быть отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.
Актуализация политики обработки ПДн — документ должен соответствовать ч. 2 ст. 18.1 ФЗ-152 и быть доступен на сайте оператора.

Какие документы должен обеспечить ответственный?

Юрист, готовящий систему ОРД для оператора, должен проверить наличие и актуальность каждого из следующих документов.

Минимальный пакет ОРД для ответственного по ст. 22.1

Приказ о назначении ответственного за организацию обработки ПДн с перечнем полномочий и ссылкой на ст. 22.1 ФЗ-152.
Политика обработки персональных данных — опубликована на сайте, содержит разделы по ч. 2 ст. 18.1 ФЗ-152.
Уведомление в РКН о намерении обрабатывать ПДн (Приказ РКН №180 от 28.10.2022) — актуальная запись в реестре.
Согласия субъектов ПДн в виде отдельных документов по ст. 9 ФЗ-152 (с 01.09.2025 — требование ФЗ-156).
Инструкция по реагированию на утечку с таймлайном уведомления РКН (24 ч / 72 ч по Приказу РКН №187).

Как работает DATUM при подключении к задаче?

Юристы DATUM берут задачу по назначению ответственного и сборке ОРД в пять последовательных шагов.

Шаг 1. Экспресс-анализ. Проверяем текущий статус: есть ли уведомление в реестре РКН, назначен ли ответственный, какие документы актуальны. Занимает 1–2 рабочих дня.
Шаг 2. Аудит пробелов. Сверяем имеющиеся документы с требованиями ст. 9, 18.1, 22, 22.1 ФЗ-152 и ст. 13.11 КоАП. Приоритизируем риски по вероятному размеру штрафа.
Шаг 3. Подготовка документов. Составляем приказ о назначении, актуализируем политику, формируем шаблоны согласий с учётом ФЗ-156 от 24.06.2025.
Шаг 4. Уведомление РКН. Подаём или корректируем уведомление через pd.rkn.gov.ru по форме Приказа РКН №180.
Шаг 5. Абонентское сопровождение (DPO-аутсорсинг). Берём функцию ответственного на себя: отвечаем на запросы субъектов в 10 рабочих дней, реагируем на запросы РКН, уведомляем об инцидентах за 24 часа.

Если юрист компании уже получил предписание РКН или протокол по ст. 13.11 — срок на ответ ограничен. Приказ о назначении, актуальная политика и корректные согласия снижают риск по ч. 1 и ч. 2 ст. 13.11 КоАП на этапе рассмотрения дела.

Подключить DPO-аутсорсинг

Как это применяется на практике

Кейс 1. Торговая компания (Сибирский ФО, осень 2025) прошла внеплановую проверку РКН. Ответственный был назначен, но приказ не содержал функций взаимодействия с субъектами и РКН. Политика опубликована на сайте, но не обновлялась с 2022 года и не учитывала новые составы ст. 13.11 КоАП. РКН вынес предписание по ч. 3 и ч. 4 ст. 13.11. Юристы DATUM актуализировали политику, переоформили приказ с расширенными полномочиями и добились прекращения производства на основании устранения нарушений до вынесения постановления.

Кейс 2. IT-компания (Центральный ФО, начало 2026) использовала согласие на обработку ПДн сотрудников, встроенное в трудовой договор. После 01.09.2025 такая форма перестала соответствовать ст. 9 ФЗ-152 в редакции ФЗ-156. При подготовке к аудиту по чек-листу из 38 пунктов DATUM выявил несоответствие и подготовил отдельные согласия по всем 74 сотрудникам, сохранив соответствие требованиям. Протокол по ч. 2 ст. 13.11 (штраф до 700 тыс. ₽) не потребовался.

Услуги DATUM по теме

DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
Комплект ОРД под ключ — политика, согласия, приказы, регламенты
Аудит соответствия 152-ФЗ — проверка пакета документов по 38 пунктам

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН по Приказу РКН №180, политику обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, согласия субъектов по ст. 9 ФЗ-152, инструкцию по реагированию на инциденты с таймлайном 24/72 часа по Приказу РКН №187. Отсутствие любого из этих документов создаёт основание для штрафа по одной из частей ст. 13.11 КоАП в редакции с 30.05.2025.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень обрабатываемых категорий ПДн, порядок и условия обработки, права субъектов, порядок уничтожения по достижении цели. Документ размещается в открытом доступе — на сайте оператора. Политика, не обновлённая после вступления в силу ФЗ-420 от 30.11.2024 и ФЗ-156 от 24.06.2025, не отражает актуальные требования.

3. Кого назначить ответственным по ст. 22.1?

Закон не требует отдельной штатной единицы: функции можно возложить на штатного юриста, HR-специалиста, сотрудника ИБ или внешнего консультанта. Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации. Ключевое условие — у лица должны быть реальные полномочия: получать запросы субъектов, взаимодействовать с РКН, контролировать исполнение политики. Формальное назначение без этих полномочий не защищает от штрафа при проверке.

4. Можно ли использовать шаблон политики из интернета?

Готовые шаблоны не учитывают специфику конкретного оператора: категории ПДн, цели обработки, перечень обработчиков по поручению, каналы сбора. Политика, скопированная без адаптации, не будет соответствовать ч. 2 ст. 18.1 ФЗ-152 по существу — даже если формально содержит нужные разделы. При проверке РКН инспектор сверяет содержание политики с реальной практикой обработки. Расхождение — самостоятельное нарушение.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — не встроено в договор, оферту или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий с ними, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется — ФЗ-156 не имеет обратной силы. Новые согласия с 01.09.2025 должны соответствовать обновлённым требованиям.

Итог

Ответственный по ст. 22.1 ФЗ-152 — не формальная должность, а реальная функция с конкретными обязанностями перед РКН и субъектами ПДн. Отсутствие или неполнота полномочий, устаревшая политика и несоответствующие согласия создают три независимых состава по ст. 13.11 КоАП с суммарным штрафом до 1,1 млн ₽ при первой проверке.

DATUM сопровождает назначение ответственного по ст. 22.1, сборку ОРД под ключ и DPO-аутсорсинг для операторов, которым нужна функция без штатной единицы. Практика по 152-ФЗ — с 2014 года.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, подсудность мировым судьям после ФЗ-508 от 28.12.2025.

10 декабря 2026 года