услуга 29 марта 2027 По состоянию на 29 марта 2027

Передача функции ответственного на внешнего юриста

Ответственный по ст. 22.1 ФЗ-152 — обязательная должность для каждого оператора-юрлица. Закон не запрещает передать эту функцию внешнему исполнителю.

Без назначенного ответственного РКН квалифицирует это как нарушение ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽. С 30.05.2025 повторное нарушение обходится до 500 000 ₽.

→ Если вы юрист и проверяете комплаенс компании — разберём, как правильно оформить передачу функции и что включить в договор с DPO-аутсорсером.

Ст. 22.1 ФЗ-152 обязывает оператора назначить лицо, ответственное за организацию обработки персональных данных. Малый и средний бизнес, как правило, не держит отдельного специалиста — и вопрос «кем закрыть эту строчку» встаёт при первой же подготовке к проверке РКН. Ниже — что именно передаётся, как это оформить и какие документы потребует инспектор.

Кому подходит передача функции ответственного на внешнего юриста?

Аутсорсинг функции ответственного по ст. 22.1 ФЗ-152 оправдан в трёх ситуациях.

Первая — компания не имеет штатного юриста с профилем ПДн, а нагрузка на внешнего подрядчика по ОРД уже существует. Вторая — готовится уведомление РКН по Приказу РКН №180, и нужно вписать в форму конкретное лицо. Третья — РКН запросил документы: нет приказа о назначении ответственного, нет журналов, нет политики — и нарушение очевидно.

Размер компании не определяет применимость: ст. 22.1 распространяется на всех операторов-юрлиц без исключения.

Нет приказа о назначении ответственного — что делать?

Если юрист при проверке обнаружил отсутствие приказа по ст. 22.1, пустую форму уведомления РКН или согласия, объединённые с договором, — это одновременно несколько составов ст. 13.11 КоАП. Устранить до проверки проще, чем объяснять инспектору. Юристы DATUM возьмут функцию ответственного на абонентское обслуживание по ст. 22.1 — включая ответы на запросы субъектов и взаимодействие с РКН.

Подключить DPO-аутсорс

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что именно передаётся при DPO-аутсорсинге по ст. 22.1?

Ответственный по ст. 22.1 ФЗ-152 организует обработку ПДн внутри компании — это не оператор и не обработчик по поручению, а внутренняя функция управления.

В рамках аутсорсинга внешний юрист принимает на себя следующее:

Контроль за соблюдением ФЗ-152 и подзаконных актов в деятельности оператора.
Организация приёма и обработки запросов субъектов ПДн в срок 10 рабочих дней по ст. 20 ФЗ-152.
Актуализация политики обработки ПДн по ч. 2 ст. 18.1 при изменении законодательства.
Подготовка уведомлений в РКН: первичное по Приказу РКН №180, изменения, прекращение обработки.
Контроль за согласиями по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — с 01.09.2025 каждое согласие оформляется отдельным документом.
Ведение журналов учёта обращений субъектов и инцидентов.

Функция передаётся договором об оказании юридических услуг. В уведомление РКН по ст. 22 ФЗ-152 вносится наименование и контакты внешнего исполнителя как лица, ответственного по ст. 22.1.

Как оформить передачу функции: пять шагов

Что подготовить

Приказ о передаче функции ответственного внешнему юристу (с указанием ФИО, организации, контактов).
Договор с внешним исполнителем: перечень полномочий по ст. 22.1, порядок взаимодействия, конфиденциальность, SLA на ответы субъектам.
Актуализированное уведомление РКН по Приказу №180 — внести данные ответственного.
Политика обработки ПДн в редакции по ч. 2 ст. 18.1 с указанием ответственного лица.
Актуальные согласия субъектов по ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с 01.09.2025).

Приказ — внутренний акт оператора. Договор с внешним юристом — гражданско-правовой. Оба документа инспектор РКН вправе запросить при проверке. Отсутствие приказа при наличии договора формально означает, что функция не передана — и ответственного по ст. 22.1 нет.

«Ст. 22.1 ФЗ-152: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Требования к квалификации — ч. 4 той же статьи. Закон не устанавливает требования об отнесении этого лица к штату оператора.»

Типовые ситуации при передаче функции

Ситуация 1 — уведомление РКН не обновлено. Компания передала функцию внешнему юристу, заключила договор, издала приказ, но в форму уведомления в реестре операторов внесла устаревшие данные. При плановой проверке инспектор сверяет форму на pd.rkn.gov.ru с фактическим положением дел. Расхождение — основание для протокола по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽ для юрлица). Стратегия: обновить уведомление в течение 10 рабочих дней после смены ответственного; хранить подтверждение подачи.

Ситуация 2 — согласия работников в трудовом договоре. Внешний юрист принял функцию, но при аудите обнаружил, что согласия на обработку ПДн работников включены в текст трудового договора, а не оформлены отдельным документом. С 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Исход: протокол по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: до 01.09.2025 переоформить согласия как самостоятельные документы; ранее выданные не требуют принудительного переоформления, если они соответствуют требованиям ст. 9 по составу реквизитов.

Ситуация 3 — нет политики конфиденциальности на сайте. После смены ответственного политика не обновлена, ссылка на сайте ведёт на документ без указания ответственного лица. Инспектор РКН фиксирует нарушение ч. 2 ст. 18.1 — штраф по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). Стратегия: обновить политику одновременно с приказом о назначении ответственного.

Если вы юрист и проверяете комплаенс компании — у вас 10 рабочих дней, чтобы ответить субъекту по ст. 20 ФЗ-152, и 30 дней на включение в реестр после уведомления. Без приказа о назначении ответственного эти сроки некому контролировать.

Подключить DPO-аутсорс

Услуги DATUM по теме

DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.
Комплект ОРД под ключ — политика, согласия, приказы, журналы.
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов с планом устранения.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный комплект по ст. 18.1 ФЗ-152 включает: политику обработки ПДн, приказ о назначении ответственного по ст. 22.1, перечень обрабатываемых ПДн, согласия субъектов по ст. 9, журнал учёта обращений субъектов, а также уведомление в РКН по ст. 22 ФЗ-152 (форма по Приказу РКН №180). При использовании информационных систем — документация об уровне защищённости по ПП РФ №1119.

2. Как составить политику обработки ПДн?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6, перечень обрабатываемых категорий ПДн, сроки обработки и хранения, порядок реализации прав субъектов по ст. 20 ФЗ-152, сведения об ответственном по ст. 22.1. Документ публикуется на сайте в открытом доступе. Шаблон из интернета без адаптации под реальную деятельность компании создаёт риски по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Ответственным может быть штатный сотрудник или внешний исполнитель. Закон не требует состояния в штате оператора. Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации: лицо должно обладать знаниями в области законодательства о ПДн. На практике РКН при проверке запрашивает приказ о назначении и договор с внешним исполнителем — оба документа должны присутствовать одновременно.

4. Можно ли использовать шаблон политики из интернета?

Шаблон допустим как основа, но не как итоговый документ. Политика должна отражать фактическую деятельность конкретного оператора: реальные цели обработки, категории субъектов, применяемые системы, сроки хранения, список третьих лиц, которым передаются данные. Несоответствие политики реальной практике при проверке РКН — самостоятельное основание для протокола по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 оформляется отдельным документом — не может быть включено в текст договора, оферты, политики или трудового договора. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее полученные согласия переоформлять не требуется, если они соответствуют реквизитам ст. 9 по составу.

Итог

Передача функции ответственного на внешнего юриста — законный и распространённый способ закрыть требование ст. 22.1 ФЗ-152 без расширения штата. Условие работоспособности — три документа одновременно: приказ оператора, договор с внешним исполнителем и актуализированное уведомление РКН.

DATUM ведёт функцию ответственного по ст. 22.1 в рамках DPO-аутсорсинга: приём запросов субъектов, взаимодействие с РКН, актуализация ОРД при изменении законодательства — включая требования ФЗ-156 по согласиям с 01.09.2025.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 от 28.12.2025 — мировые судьи.

29 марта 2027 года