Перейти к содержанию
услуга 4 февраля 2027 По состоянию на 4 февраля 2027

Ответственный по 22.1 в группе компаний

Ст. 22.1 ФЗ-152 обязывает каждое юридическое лицо — оператора ПДн — назначить ответственного за организацию обработки персональных данных. В группе компаний это означает отдельное назначение в каждом юрлице, а не единый приказ по холдингу.
Отсутствие назначенного лица — основание для предписания РКН и штрафа по ч. 3 или ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025). Если юрист группы впервые разбирается с этим требованием, сложнее всего — правильно распределить функции между корпоративным центром и «дочками».
→ Юристам группы: разберём, как назначить ответственного в каждом обществе, подготовить приказ и встроить функцию в корпоративную структуру без дублирования.

Ст. 22.1 ФЗ-152 действует с 2017 года, но при проверках РКН именно отсутствие назначенного ответственного или неверно составленный приказ становится одним из первых выявляемых нарушений. В группе компаний задача усложняется: у каждого юридического лица — свой реестр РКН, своя политика, своё назначение. Ниже — как выстроить эту функцию без лишних затрат и конфликтов полномочий.

Кому подходит эта услуга и что мы делаем?

Услуга ориентирована на юристов и комплаенс-менеджеров холдингов, управляющих компаний и групп из двух и более юридических лиц, где обработка ПДн ведётся централизованно или через общие ИТ-платформы. Типичные запросы: «Как один сотрудник управляющей компании может закрыть функцию ответственного в пяти «дочках»?», «Нужно ли переназначать ответственного после реорганизации?».

Специалисты DATUM решают следующие задачи.

  • Анализируют структуру группы и определяют, в каких юрлицах требуется отдельное назначение по ст. 22.1.
  • Готовят приказы о назначении с правильной формулировкой полномочий — без конфликта с должностными инструкциями.
  • Синхронизируют назначение с уведомлением РКН по ст. 22 ФЗ-152 и Приказу РКН №180.
  • При необходимости оформляют DPO-аутсорсинг — передачу функции ответственного внешнему лицу по договору.

Юрист группы и задача по ст. 22.1 стоит в плане?

Если вы юрист холдинга и назначение ответственного нужно оформить по нескольким юрлицам сразу — важно сделать это синхронно с уведомлениями РКН. Расхождение между реестром и внутренними документами фиксируется при первой же проверке. Специалисты DATUM готовят полный пакет для каждого общества группы.

Подключить DPO-аутсорсинг

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как устроено назначение ответственного по ст. 22.1 в группе компаний?

Ст. 22.1 ФЗ-152 адресована каждому оператору — юридическому лицу. Холдинговая структура не создаёт исключений: управляющая компания и каждая «дочка» — самостоятельные операторы. Закон допускает два варианта.

  • Штатный сотрудник — работник конкретного юрлица, в чьи должностные обязанности включена организация обработки ПДн. Приказ о назначении — обязателен; должностная инструкция — актуализирована.
  • Внешнее лицо (DPO-аутсорсинг) — организация или ИП, которым функция передана по договору. Это законный способ закрыть требование ст. 22.1 без расширения штата.

В группе компаний один сотрудник управляющей компании может выполнять функцию ответственного в нескольких обществах — если в каждом из них он оформлен хотя бы по совместительству либо функция передана ему по договору. Без этого оформления РКН квалифицирует ситуацию как отсутствие назначения.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации и полномочиям — в ч. 4 ст. 22.1. Сведения об ответственном отражаются в уведомлении РКН по форме Приказа РКН №180.»

Какие документы нужны для корректного назначения?

Для каждого юрлица группы пакет включает следующие документы.

  • Приказ о назначении ответственного — с указанием ФИО, должности, перечня полномочий согласно ч. 4 ст. 22.1 ФЗ-152.
  • Актуализированная должностная инструкция или дополнительное соглашение к трудовому договору — при штатном варианте.
  • Договор на оказание услуг — при DPO-аутсорсинге, с описанием функций, сроков реагирования и конфиденциальности.
  • Актуализированное уведомление РКН по ст. 22 ФЗ-152 с указанием контактных данных ответственного — подаётся через pd.rkn.gov.ru.
  • Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — опубликованная на сайте или доступная иным образом.

Что подготовить юристу группы

  • Список юрлиц группы, зарегистрированных как операторы в реестре РКН — сверить с pd.rkn.gov.ru.
  • Приказы о назначении ответственного по ст. 22.1 в каждом обществе — с корректными полномочиями.
  • Уведомления РКН с актуальными сведениями об ответственном по Приказу РКН №180.
  • Политики обработки ПДн по ч. 2 ст. 18.1 для каждого юрлица — опубликованы или доступны по запросу.
  • Согласия субъектов в формате отдельного документа — обязательно для согласий, оформляемых с 01.09.2025 по ФЗ-156.

Типичные ситуации в группе компаний: как решаем?

Ситуация 1. Юрист управляющей компании холдинга (Центральный ФО, осень 2025) обнаружил при аудите, что в трёх «дочках» приказы о назначении ответственного отсутствуют, хотя уведомления РКН поданы. Специалисты DATUM подготовили приказы и скорректировали уведомления по ст. 22 ФЗ-152. Внеплановой проверки РКН удалось избежать: документы были в порядке до поступления запроса.

Ситуация 2. В группе из шести обществ (Северо-Западный ФО, начало 2026) функцию ответственного пытались закрыть одним приказом по холдингу без оформления в каждом юрлице. РКН при проверке одной из «дочек» зафиксировал нарушение ч. 1 ст. 22.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП составил десятки тысяч рублей. DATUM помогли оформить правильную структуру назначений и обжаловать предписание в части сроков устранения.

Если юрист группы обнаружил расхождение между реестром РКН и внутренними приказами — это риск предписания при ближайшей проверке. Исправить документы до визита инспектора проще, чем обжаловать постановление.

Подключить DPO-аутсорсинг

Как мы работаем: пять шагов

  • Шаг 1. Анализ структуры группы. Проверяем реестр РКН: все ли юрлица зарегистрированы как операторы, актуальны ли сведения об ответственном.
  • Шаг 2. Выбор модели назначения. Определяем, какой вариант подходит — штатный сотрудник, совместительство или DPO-аутсорсинг.
  • Шаг 3. Подготовка ОРД. Готовим приказы, должностные инструкции или договор аутсорсинга для каждого юрлица.
  • Шаг 4. Актуализация уведомлений РКН. Подаём изменения через pd.rkn.gov.ru по форме Приказа РКН №180.
  • Шаг 5. Сопровождение. При DPO-аутсорсинге берём на себя ответы на запросы субъектов, взаимодействие с РКН, актуализацию документов при изменении закона.

Услуги DATUM по теме

Частые вопросы

1. Какие документы должны быть у оператора ПДн по ст. 22.1 и ст. 18.1?

Минимальный пакет включает приказ о назначении ответственного по ст. 22.1 ФЗ-152, политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, согласия субъектов, актуальное уведомление в реестре РКН по ст. 22 и Приказу РКН №180, регламент реагирования на запросы субъектов. В группе компаний каждый из этих документов нужен в каждом юрлице-операторе.

2. Как составить политику обработки ПДн, чтобы она соответствовала ч. 2 ст. 18.1?

Политика должна содержать: цели и правовые основания обработки по ст. 6 ФЗ-152, перечень обрабатываемых категорий ПДн, порядок хранения и уничтожения, права субъектов и порядок их реализации, контактные данные ответственного по ст. 22.1. Шаблон из интернета, как правило, не учитывает специфику конкретного оператора — категории ПДн, цели, подрядчиков — и при проверке РКН создаёт риски.

3. Кого назначить ответственным по ст. 22.1 в группе компаний?

Закон не требует специального образования, но устанавливает перечень полномочий в ч. 4 ст. 22.1 ФЗ-152. В группе компаний один человек может выполнять функцию в нескольких обществах при наличии надлежащего оформления в каждом из них — через совместительство или договор аутсорсинга. Без такого оформления назначение считается ненадлежащим.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Использовать как основу — допустимо, но шаблон необходимо адаптировать под реальную деятельность оператора. РКН при проверке оценивает соответствие политики фактической обработке: если в политике не упомянуты реально используемые цели или категории ПДн, это нарушение ст. 18.1 ФЗ-152. Штраф по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽ за непубликацию или неполноту политики.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 должно быть оформлено отдельным документом — не встроено в договор, оферту или трудовой договор. Это требование ФЗ-156 от 24.06.2025. Ранее полученные согласия переоформлять не требуется, но новые — только в виде отдельного документа с обязательными реквизитами. В группе компаний это касается каждого юрлица, собирающего согласия субъектов.

Итог

Требование ст. 22.1 ФЗ-152 — не формальность. В группе компаний один неверно оформленный приказ или расхождение с реестром РКН создаёт риск предписания для каждого из обществ. Правильная модель — отдельное назначение или аутсорсинг функции для каждого юрлица с синхронизацией уведомлений по Приказу РКН №180.

Специалисты DATUM сопровождают группы компаний в части ст. 22.1 с 2014 года: от первичного анализа структуры операторов до абонентского DPO-аутсорсинга с ответами на запросы РКН и субъектов.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность после ФЗ-508 от 28.12.2025.

4 февраля 2027 года