Перейти к содержанию
инструкция 21 апреля 2027 По состоянию на 21 апреля 2027

Перечень должностей с доступом к ПДн

Перечень должностей с доступом к персональным данным — обязательный локальный акт оператора по ст. 18.1 ФЗ-152. Его отсутствие фиксируется при каждой проверке Роскомнадзора и влечёт штраф по ч. 3 ст. 13.11 КоАП.
С 30.05.2025 ч. 3 ст. 13.11 КоАП предусматривает штраф для юрлица 30 000 — 60 000 ₽ за отсутствие политики и сопутствующих документов. Если нарушение связано с утечкой — применяется ч. 12–14 с диапазоном 3–15 млн ₽ и выше.
→ Если вы юрист и перечень должностей не оформлен или устарел — инструкция ниже даёт пошаговый порядок.

Перечень должностей с доступом к персональным данным — один из документов, который инспектор Роскомнадзора запрашивает в первую очередь. Без него ни один из остальных элементов системы защиты ПДн не считается полным: согласия есть, политика опубликована, но непонятно, кому именно разрешено работать с данными. Этот материал — пошаговая инструкция для юриста или ответственного за обработку ПДн: от анализа категорий обработки до подписания и актуализации документа.

Что такое перечень должностей и зачем он нужен по ст. 18.1 ФЗ-152?

Статья 18.1 ФЗ-152 обязывает оператора принять меры, обеспечивающие соблюдение закона. К числу таких мер относится ограничение круга лиц, имеющих доступ к персональным данным. Перечень должностей — это локальный нормативный акт, который фиксирует: какие должности (а не конкретные физлица) получают доступ к каким категориям ПДн и с какой целью.

Разграничение по должностям, а не по именам, принципиально: при смене сотрудника документ не переделывается. Достаточно приказа о назначении нового работника на должность, включённую в перечень. Это требование вытекает из принципа минимизации обработки по ст. 5 ФЗ-152 — объём обрабатываемых данных должен соответствовать заявленным целям, а значит, доступ предоставляется только тем, кому он необходим для исполнения должностных обязанностей.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры по обеспечению соблюдения требований закона, в том числе ограничить круг лиц, допущенных к обработке персональных данных, и ознакомить их с требованиями.»

Документ входит в пакет организационно-распорядительной документации (ОРД) наряду с политикой обработки ПДн, согласиями, приказом об ответственном по ст. 22.1 и другими актами. Его отсутствие — самостоятельное основание для предписания и штрафа при проверке.

Какие должности включить в перечень и как их классифицировать?

Состав перечня определяется через инвентаризацию информационных систем и бизнес-процессов. Цель — найти все точки, в которых работник соприкасается с персональными данными: вводит, просматривает, изменяет, передаёт или уничтожает их.

Типовые группы должностей для большинства операторов:

  • HR-блок: специалист по кадровому делопроизводству, руководитель службы персонала, расчётчик заработной платы — доступ к данным работников по ст. 86–88 ТК и ст. 9 ФЗ-152.
  • Бухгалтерия: главный бухгалтер, бухгалтер расчётного отдела — данные работников и контрагентов для расчётов и отчётности.
  • IT-администрирование: системный администратор, специалист по информационной безопасности — технический доступ к инфраструктуре, где хранятся ПДн.
  • Продажи и клиентский сервис: менеджер по работе с клиентами, оператор колл-центра — данные покупателей, заказчиков, лидов.
  • Юридическая служба: корпоративный юрист, специалист по претензионной работе — данные контрагентов и работников по судебным спорам.
  • Руководство: генеральный директор, руководители подразделений — доступ к данным подчинённых и общий надзор.

Для каждой должности в перечне фиксируется: наименование должности, структурное подразделение, категория ПДн (общие / специальные / биометрические по ст. 10–11 ФЗ-152), цель обработки, разрешённые действия (ввод, просмотр, изменение, передача, удаление), правовое основание (ст. 6 ФЗ-152 — конкретный пункт).

«Ст. 5 ФЗ-152 — обработка ПДн ограничивается достижением конкретных, заранее определённых целей. Обработка, несовместимая с целями сбора, недопустима.»

Перечень должностей не составлен или сделан по шаблону из интернета?

Типовой шаблон не учитывает специфику ваших информационных систем, категорий ПДн и правовых оснований. Инспектор РКН это видит. Если вы юрист и сейчас формируете пакет ОРД — юристы DATUM соберут документацию под конкретную структуру оператора, включая перечень должностей, политику и согласия в редакции ФЗ-156 от 24.06.2025.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как составить перечень должностей: пошаговый порядок

Шаг 1. Проведите инвентаризацию категорий ПДн и систем обработки

До составления перечня необходимо зафиксировать: какие категории ПДн обрабатываются (работников, клиентов, контрагентов), в каких информационных системах (1С, CRM, ERP, бумажные дела), каковы цели и правовые основания по ст. 6 ФЗ-152. Результат — реестр информационных систем персональных данных (ИСПДн), который станет основой для следующих шагов.

Шаг 2. Сопоставьте должности с ИСПДн и категориями ПДн

По каждой ИСПДн определите: кто из сотрудников имеет доступ к ней по роду своих обязанностей. Не «кому удобно» и не «кому выдан пароль», а кому он необходим для исполнения трудовой функции. Принцип минимизации из ст. 5 ФЗ-152 означает: если бухгалтер может подготовить отчёт без доступа к медицинским данным работников — этот доступ не предоставляется.

Шаг 3. Составьте проект документа

Форма — произвольная, но практика РКН показывает: документ должен содержать наименование оператора, дату, перечень должностей в табличной форме (наименование, подразделение, категория ПДн, цель, действия, основание), порядок предоставления и отзыва доступа при изменении должности или увольнении, подпись уполномоченного лица. Документ оформляется как приложение к политике обработки ПДн или как самостоятельный локальный акт.

Шаг 4. Согласуйте с ответственным по ст. 22.1 ФЗ-152

По ст. 22.1 ФЗ-152 оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Именно этот сотрудник согласует перечень и несёт ответственность за его актуальность. Если ответственный ещё не назначен — необходимо издать соответствующий приказ до утверждения перечня.

Шаг 5. Утвердите документ и ознакомьте работников

Перечень утверждается приказом руководителя или уполномоченного им лица. Работники, чьи должности включены в перечень, знакомятся с ним под подпись. Это требование прямо следует из ч. 3 ст. 18.1 ФЗ-152. Факт ознакомления фиксируется в листе ознакомления — он хранится вместе с перечнем.

Шаг 6. Актуализируйте перечень при изменениях

Перечень пересматривается при: введении новых должностей или упразднении существующих, внедрении новых ИСПДн или изменении состава обрабатываемых ПДн, изменении правовых оснований обработки, результатах аудита. Рекомендуемая периодичность — не реже одного раза в год и при каждом структурном изменении. Устаревший перечень при проверке РКН равнозначен его отсутствию.

Что подготовить для утверждения перечня

  • Реестр информационных систем ПДн с указанием категорий данных и целей обработки.
  • Перечень должностей в формате: наименование — подразделение — категория ПДн — цель — действия — основание по ст. 6 ФЗ-152.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 (если не издан).
  • Лист ознакомления работников с перечнем под подпись.
  • Актуальная политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — перечень оформляется приложением к ней или отдельным актом.

Как связан перечень с согласиями работников после 01.09.2025?

С 01.09.2025 вступили в силу изменения по ФЗ-156 от 24.06.2025: согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом и не может объединяться с трудовым договором, должностной инструкцией или иными актами. Это напрямую влияет на перечень должностей.

Если в перечне указано, что менеджер по кадрам обрабатывает данные работников на основании согласия (п. 1 ч. 1 ст. 6 ФЗ-152), то само согласие теперь должно быть отдельным документом с обязательными реквизитами: ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Перечень должностей и пакет согласий — взаимозависимые документы, и их необходимо разрабатывать согласованно.

Согласия, включённые в трудовые договоры до 01.09.2025, не имеют обратной силы и не признаются ничтожными автоматически — закон не требует их переоформления. Однако при заключении новых договоров и при получении согласий после этой даты форма должна соответствовать новым требованиям.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025) — с 01.09.2025 согласие субъекта ПДн оформляется отдельным документом, не объединяется с договором или иными актами. Ранее полученные согласия переоформлять не требуется.»

Если вы юрист и обнаружили, что согласия работников встроены в трудовые договоры, а перечень должностей последний раз пересматривался два года назад — каждое новое согласие, оформленное не по правилам ФЗ-156, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 000 ₽ за юрлицо). Юристы DATUM проведут аудит ОРД и приведут документацию в соответствие.

Заказать аудит 152-ФЗ

Типовые нарушения при оформлении перечня: практические сценарии

Анализ проверочной практики РКН и арбитражных дел по ст. 13.11 КоАП позволяет выделить три устойчивых паттерна.

Сценарий 1. Перечень составлен формально — не привязан к ИСПДн. Ситуация: перечень содержит общий список должностей без указания конкретных информационных систем, категорий ПДн и правовых оснований. Инспектор задаёт вопрос: «На каком основании IT-администратор имеет доступ к медицинским данным работников?» — и ответа нет. Исход: предписание об устранении + штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽). Стратегия: привязать каждую должность к конкретной ИСПДн и основанию по ст. 6 ФЗ-152 ещё до проверки.

Сценарий 2. Перечень есть, но работники не ознакомлены. Ситуация: документ утверждён, но листа ознакомления нет, часть работников сменилась, новые сотрудники не подписали. По ч. 3 ст. 18.1 ФЗ-152 именно ознакомление — обязательный элемент меры. Исход: при проверке это квалифицируется как отсутствие меры, а не её ненадлежащее исполнение. Стратегия: вести лист ознакомления в составе личных дел или в виде отдельного журнала.

Сценарий 3. Утечка через сотрудника, не включённого в перечень. Ситуация: работник с должностью, не указанной в перечне, имел фактический доступ к CRM-системе и допустил утечку данных клиентов. Оператор попытался сослаться на перечень как доказательство разграничения доступа. Суд принял во внимание, что фактический доступ не соответствовал документированному. Исход: штраф по ч. 12 ст. 13.11 (3 000 000 — 5 000 000 ₽) плюс предписание о приведении перечня в соответствие с реальным состоянием систем. Стратегия: синхронизировать перечень с настройками прав доступа в ИСПДн — документ и техническая реальность должны совпадать.

Как связать перечень должностей с уведомлением в реестре РКН?

По ст. 22 ФЗ-152 оператор уведомляет РКН о намерении обрабатывать ПДн до начала обработки. Форма уведомления по Приказу РКН №180 от 28.10.2022 содержит поля о категориях субъектов, категориях ПДн, целях обработки, описании мер защиты. Сведения в уведомлении должны соответствовать содержанию перечня должностей: если в уведомлении заявлена обработка только данных работников, а в CRM ведётся обработка клиентских ПДн — это расхождение выявляется при проверке.

Неуведомление РКН о намерении обрабатывать ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП — 100 000 — 300 000 ₽ для юрлица (в редакции с 30.05.2025). Поэтому перечень должностей и уведомление разрабатываются в связке: сначала инвентаризация систем и должностей, затем уведомление, которое отражает реальную картину обработки.

Связанные услуги DATUM по теме

  • Комплект ОРД под ключ — 38-документный пакет, включая перечень должностей, политику, согласия, приказы.
  • Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу из 38 пунктов с приоритизированным планом устранения.
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 на абонентской основе.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1), перечень должностей с доступом к ПДн, приказ о назначении ответственного (ст. 22.1), согласия субъектов в надлежащей форме (ст. 9), регламент реагирования на утечки (ст. 21 ч. 3.1), журнал обращений субъектов. На практике полный пакет ОРД содержит порядка 38 документов — каждый закрывает конкретное требование закона.

2. Как составить политику обработки ПДн?

Политика обработки ПДн должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6 ФЗ-152, категории субъектов и ПДн, порядок и условия обработки, описание мер защиты, права субъектов и порядок их реализации, сведения об ответственном. Политика публикуется в открытом доступе — на сайте оператора. Отсутствие публикации или публикация устаревшей версии влечёт штраф по ч. 3 ст. 13.11 КоАП (30 000 — 60 000 ₽ для юрлица).

3. Кого назначить ответственным по ст. 22.1?

По ст. 22.1 ФЗ-152 ответственным за организацию обработки ПДн может быть любое должностное лицо оператора: штатный юрист, специалист по кадрам, сотрудник службы ИБ или руководитель подразделения. Закон не устанавливает квалификационных требований, но ч. 4 ст. 22.1 предписывает, что это лицо должно быть ознакомлено с законодательством о ПДн. Альтернатива — DPO-аутсорсинг, при котором функция передаётся внешнему специалисту по договору.

4. Можно ли использовать шаблон политики из интернета?

Использование готового шаблона без адаптации — одна из наиболее распространённых ошибок. Шаблон не учитывает: конкретные категории ПДн вашего оператора, фактические основания обработки по ст. 6 ФЗ-152, перечень ИСПДн и применяемые меры защиты. Инспектор РКН проверяет соответствие политики реальной обработке, а не соответствие шаблону. Расхождение между политикой и фактом — самостоятельное основание для предписания.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие субъекта на обработку ПДн оформляется отдельным документом. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок действия, порядок отзыва. Согласие, встроенное в трудовой договор или пользовательское соглашение, с этой даты не соответствует требованиям. Ранее полученные согласия переоформлять не требуется — закон не имеет обратной силы.

Итог

Перечень должностей с доступом к персональным данным — не формальность, а рабочий инструмент разграничения доступа. Его содержание определяется инвентаризацией ИСПДн, а не копированием шаблонов. Документ должен совпадать с реальными настройками прав доступа в системах — иначе он не защищает, а создаёт дополнительные риски при проверке.

Юристы DATUM сопровождают операторов ПДн при подготовке ОРД с 2014 года: от инвентаризации систем до утверждения пакета документов и подготовки к проверке Роскомнадзора.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.

21 апреля 2027 года