Перейти к содержанию
услуга 21 апреля 2027 По состоянию на 21 апреля 2027

Полномочия ответственного по 22.1: 6 функций

Ст. 22.1 ФЗ-152 обязывает каждое юридическое лицо — оператора ПДн — назначить лицо, ответственное за организацию обработки персональных данных. Это не формальная должность: закон закрепляет шесть конкретных функций, за неисполнение которых наступает административная ответственность по ст. 13.11 КоАП.
С 30.05.2025 действует редакция ст. 13.11 КоАП по ФЗ-420 от 30.11.2024: штраф за отсутствие политики обработки ПДн — до 60 000 ₽ по ч. 3, за обработку без надлежащего согласия — до 700 000 ₽ по ч. 2. При повторной утечке — оборотный штраф до 500 млн ₽ по ч. 15.
Если вы юрист и выстраиваете систему комплаенса по 152-ФЗ — оцените, закрыты ли все шесть функций ответственного, прежде чем Роскомнадзор задаст этот вопрос сам. → DATUM подключит DPO-аутсорсинг или соберёт ОРД под ключ.

Назначение ответственного по ст. 22.1 ФЗ-152 — одно из первых действий, которые фиксирует инспектор Роскомнадзора при плановой или внеплановой проверке. Отсутствие приказа о назначении либо формальное исполнение функций без реального содержания — равнозначные основания для протокола. Ниже — шесть функций, которые закон возлагает на ответственного, и документальное подтверждение каждой.

Кому подходит эта услуга?

Материал адресован юристам компаний, которые обрабатывают ПДн сотрудников, клиентов или пользователей сайта. Актуально для операторов, которые:

  • впервые выстраивают систему защиты ПДн и формируют пакет ОРД;
  • готовятся к проверке Роскомнадзора или уже получили уведомление о её проведении;
  • сомневаются, достаточно ли их действующего пакета документов после изменений 2025 года;
  • рассматривают DPO-аутсорсинг как альтернативу штатной единице.

Не уверены, что все функции ответственного закрыты?

Если в компании назначен ответственный, но его полномочия не закреплены приказом и регламентом — это уязвимость, которую инспектор РКН обнаружит в первые 30 минут проверки. Срок на устранение нарушений по предписанию — от 10 рабочих дней, и не всегда его достаточно для полной сборки ОРД.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие именно шесть функций закрепляет ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 не просто требует «назначить» — она перечисляет, что именно обязан делать ответственный. Разберём каждую функцию с точки зрения документального подтверждения.

Функция 1. Контроль соблюдения закона и локальных актов. Ответственный осуществляет внутренний контроль за тем, чтобы оператор и его работники соблюдали ФЗ-152 и принятые на его основании подзаконные акты. На практике это означает периодические проверки подразделений, фиксацию результатов и доведение выводов до руководства. Без журнала или отчётов о внутреннем контроле функция считается неисполненной.

Функция 2. Информирование и консультирование работников. Ответственный обязан информировать работников оператора о требованиях законодательства в сфере ПДн и консультировать их по вопросам применения этих требований. Подтверждение — программы инструктажей, листы ознакомления, журналы обучения.

Функция 3. Разработка и актуализация локальных актов. Ответственный участвует в разработке политики обработки ПДн, регламентов и иных документов, предусмотренных ст. 18.1 ФЗ-152. После ФЗ-156 от 24.06.2025 политика должна учитывать новый порядок оформления согласий, действующий с 01.09.2025.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн, и обеспечить ему условия для исполнения обязанностей. Перечень обязанностей — ч. 4 той же статьи.»

Функция 4. Приём и обработка обращений субъектов ПДн. Ответственный организует приём обращений и запросов субъектов ПДн и обеспечивает ответы в установленные сроки. По ст. 20 ФЗ-152 — 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Журнал входящих обращений и исходящих ответов — обязательный документ.

Функция 5. Контроль за обеспечением безопасности ПДн. Ответственный взаимодействует со структурными подразделениями, отвечающими за техническую защиту информации. Это не означает, что он лично настраивает ИТ-системы, но он должен фиксировать результаты технических мер защиты применительно к требованиям ПП РФ №1119 и Приказа ФСТЭК №21.

Функция 6. Взаимодействие с Роскомнадзором. Ответственный организует взаимодействие с РКН: подачу уведомлений по ст. 22 ФЗ-152 через Приказ РКН №180, ответы на запросы регулятора, а при инциденте — уведомление об утечке в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 и отчёт о расследовании в течение 72 часов по Приказу РКН №187.

Как мы работаем: 5 шагов DPO-аутсорсинга

DATUM берёт функцию ответственного по ст. 22.1 на абонентское обслуживание. Процесс выглядит следующим образом.

  • Шаг 1. Диагностика за 3 рабочих дня. Проверяем действующий пакет ОРД: политику по ст. 18.1, согласия по ст. 9 в редакции ФЗ-156 от 24.06.2025, уведомление в реестре РКН по ст. 22, приказ о назначении ответственного.
  • Шаг 2. Устранение пробелов. Дорабатываем или создаём недостающие документы: политику конфиденциальности, согласия в формате отдельного документа с 01.09.2025, регламент реагирования на обращения субъектов.
  • Шаг 3. Назначение ответственного. Оформляем приказ о назначении, доверенность, должностную инструкцию или регламент полномочий — в зависимости от организационной структуры клиента.
  • Шаг 4. Абонентское сопровождение. Ежемесячно: контроль актуальности ОРД, ответы на обращения субъектов в течение 10 рабочих дней, мониторинг изменений законодательства, взаимодействие с РКН при необходимости.
  • Шаг 5. Реагирование на инциденты. При выявлении утечки — первичное уведомление РКН в течение 24 часов, координация расследования и подготовка 72-часового отчёта по Приказу РКН №187.

Что подготовить до первой встречи

  • Выписка из реестра операторов ПДн с pd.rkn.gov.ru (или подтверждение отсутствия уведомления).
  • Действующая политика обработки ПДн — файл или ссылка на сайт.
  • Образцы согласий, используемых в работе (для сотрудников, клиентов, пользователей сайта).
  • Приказ о назначении ответственного — если есть.
  • Перечень ИТ-систем, в которых хранятся ПДн (CRM, 1С, кадровая система, сайт).

Как применяется на практике: два сценария

Сценарий 1. Юрист торговой компании (Сибирский ФО, начало 2026 года) обнаружил при внутренней проверке, что приказ о назначении ответственного оформлен, но фактические функции не исполнялись: журнал обращений субъектов отсутствовал, политика не обновлялась два года. Роскомнадзор провёл плановую проверку и выдал предписание об устранении нарушений. DATUM в течение 10 рабочих дней собрал полный пакет ОРД и представил интересы компании при ответе на предписание. Административного штрафа удалось избежать.

Сценарий 2. Юрист IT-компании (Центральный ФО, осень 2025 года) получил обращение субъекта ПДн с требованием уточнить и ограничить обработку данных. Регламент реагирования на обращения отсутствовал, срок ответа по ст. 20 ФЗ-152 — 10 рабочих дней — был нарушен. РКН возбудил дело по ч. 5 ст. 13.11 КоАП (штраф до 90 000 ₽). DATUM подключился на стадии рассмотрения дела, представил доказательства принятых мер и добился снижения санкции до минимума.

Услуги DATUM по теме

Если вы юрист и функции ответственного не закреплены регламентом — это риск штрафа по ч. 3–5 ст. 13.11 КоАП при ближайшей проверке РКН. DATUM возьмёт функцию на аутсорсинг с первого рабочего дня.

Подключить DPO-аутсорс

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН по ст. 22 ФЗ-152, политику обработки ПДн по ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 ФЗ-152, регламент реагирования на обращения субъектов, журнал учёта обращений и журнал инцидентов. После ФЗ-156 от 24.06.2025 к этому добавляются согласия в форме отдельного документа — для всех новых субъектов с 01.09.2025.

2. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов и перечни ПДн, порядок и условия обработки, права субъектов и порядок их реализации, меры защиты. Политика публикуется на сайте оператора или иным образом доводится до сведения субъектов. Использование шаблона из интернета без адаптации под конкретную деятельность — распространённая ошибка, которую инспектор РКН выявляет при сравнении текста с реальными процессами компании.

3. Кого назначить ответственным по ст. 22.1?

Закон не устанавливает квалификационных требований к должности. Ответственным может быть штатный сотрудник (юрист, специалист по ИБ, HR) или внешний исполнитель по договору DPO-аутсорсинга. Ключевое условие — реальное исполнение шести функций, перечисленных в ч. 4 ст. 22.1 ФЗ-152, с документальным подтверждением каждой. Формальное назначение без функционального наполнения не защищает оператора от ответственности.

4. Какие согласия нужны после 01.09.2025?

По ФЗ-156 от 24.06.2025, вступившему в силу с 01.09.2025, согласие на обработку ПДн оформляется отдельным документом и не может быть включено в текст договора, оферты или политики конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Ранее полученные согласия переоформлять не требуется — обратной силы у поправок нет.

Итог

Шесть функций ответственного по ст. 22.1 ФЗ-152 — это не декларация, а операционный процесс с документальным следом. Каждая функция должна подтверждаться конкретным документом: приказом, журналом, регламентом, листом ознакомления.

DATUM сопровождает операторов ПДн по всем шести функциям в формате DPO-аутсорсинга с 2014 года: от первичной диагностики до представления интересов в РКН при проверке или инциденте.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, оборотные штрафы с 30.05.2025, подсудность после ФЗ-508 от 28.12.2025.

21 апреля 2027 года