инструкция 16 февраля 2027 По состоянию на 16 февраля 2027

Положение о DPO-функции при аутсорсинге

Q: Что делать, если положение о DPO-функции составлено, но ответственный сменился?

При смене физического лица необходимо: издать новый приказ о назначении с ФИО нового ответственного, внести изменения в положение, уведомить РКН об изменении сведений по форме Приказа №180, обновить контактные данные во всех внутренних документах и на сайте. Срок — до начала исполнения обязанностей новым лицом. Разрыв в назначении — нарушение ст. 22.1 ФЗ-152.

Положение о DPO-функции при аутсорсинге — внутренний документ оператора ПДн, закрепляющий роль, полномочия и ответственность внешнего исполнителя по ст. 22.1 ФЗ-152.

С 01.09.2025 требования к согласиям изменились по ФЗ-156, с 30.05.2025 действуют новые составы ст. 13.11 КоАП с оборотным штрафом до 500 млн ₽. Отсутствие корректного положения — основание для штрафа при проверке РКН.

→ Если вы юрист компании и выстраиваете DPO-аутсорсинг: в этой инструкции — пошаговый порядок подготовки положения и сопутствующего пакета ОРД.

Аутсорсинг DPO-функции позволяет оператору исполнить требование ст. 22.1 ФЗ-152 без найма штатного специалиста. Однако без правильно оформленного положения и пакета организационно-распорядительной документации аутсорсинговая схема не имеет юридической силы: РКН при проверке оценивает не договор с подрядчиком, а наличие локальных актов. В этой инструкции — шесть шагов от анализа текущего состояния до финального архива ОРД.

Шаг 1. Проверьте, нужно ли назначать ответственного по ст. 22.1 ФЗ-152

Обязанность назначить лицо, ответственное за организацию обработки персональных данных, распространяется на операторов — юридических лиц. Индивидуальные предприниматели и физические лица-операторы вправе исполнять эту функцию самостоятельно. Для юрлица назначение обязательно вне зависимости от численности сотрудников и объёма обрабатываемых данных.

«Ст. 22.1 ФЗ-152 — оператор, являющийся юридическим лицом, обязан назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации и перечень обязанностей — в ч. 4 ст. 22.1.»

Аутсорсинг этой функции законом прямо не запрещён. На практике РКН принимает аутсорсинговую модель, если оператор издал приказ о назначении конкретного физического лица (сотрудника подрядчика), а не просто заключил договор с организацией. Проверьте: есть ли у вас действующий приказ с именем физического лица и есть ли документ, описывающий его полномочия.

Шаг 2. Определите структуру положения о DPO-функции

Положение о DPO-функции при аутсорсинге — это локальный нормативный акт оператора (не подрядчика). Документ принимается приказом руководителя оператора и описывает, как именно аутсорсер исполняет функцию ответственного за обработку ПДн. Типовая структура включает семь разделов.

Общие положения — цель документа, ссылки на ФЗ-152, ст. 22.1, договор с аутсорсером.
Термины и сокращения — ПДн, оператор, ответственный, аутсорсер, ОРД.
Назначение ответственного — реквизиты приказа, ФИО физического лица, контактные данные.
Полномочия и обязанности ответственного — перечень по ч. 4 ст. 22.1: организация обработки, контроль соответствия, взаимодействие с РКН, рассмотрение обращений субъектов.
Порядок взаимодействия с оператором — каналы связи, регулярность отчётности, сроки реагирования на инциденты.
Ответственность сторон — что оператор несёт перед РКН, что аутсорсер несёт перед оператором по договору.
Порядок пересмотра и отмены — условия обновления при смене законодательства или подрядчика.

«Ст. 18.1 ФЗ-152 ч. 2 — политика обработки персональных данных и документы, определяющие порядок обработки, должны быть доступны субъектам. Положение о DPO-функции — внутренний документ; политика — публичный. Смешивать их не следует.»

Есть договор с DPO-аутсорсером, но положения нет?

Договор с подрядчиком не заменяет локальный акт оператора. РКН при проверке запросит приказ о назначении и положение. Отсутствие любого из них — основание для штрафа по ч. 3 ст. 13.11 КоАП (до 60 000 ₽) и по ч. 1 (до 300 000 ₽) за нарушение условий обработки. Юристы DATUM соберут пакет ОРД для DPO-аутсорсинга под ключ: положение, приказ, регламент взаимодействия, журнал обращений субъектов.

Собрать ОРД для DPO под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте сопутствующий пакет ОРД

Положение — один документ из взаимосвязанного комплекта. Без сопутствующих актов оно не работает. Минимальный пакет для аутсорсинговой модели DPO состоит из следующих документов.

Что подготовить

Приказ о назначении ответственного за организацию обработки ПДн с указанием ФИО физического лица от аутсорсера.
Положение о DPO-функции при аутсорсинге (описываемый документ).
Политика обработки персональных данных по ст. 18.1 ФЗ-152 (публичный документ на сайте).
Договор на оказание услуг с аутсорсером (содержит обязательства по ст. 6 п. 3 ФЗ-152 — поручение обработки).
Регламент реагирования на инциденты: 24 ч на первичное уведомление РКН, 72 ч на отчёт по Приказу РКН №187.

Отдельный документ — перечень обрабатываемых ПДн с указанием целей, оснований и сроков. Он необходим для актуального уведомления в реестре РКН по ст. 22 ФЗ-152 (форма — Приказ РКН №180 от 28.10.2022). Если уведомление подавалось более двух лет назад или менялась инфраструктура — проверьте актуальность сведений.

Шаг 4. Проверьте соответствие согласий требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом. Оно не может быть включено в трудовой договор, оферту, политику конфиденциальности или любой иной смешанный документ. Требование введено ФЗ-156 от 24.06.2025 и закреплено в ч. 1 ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие субъекта оформляется в виде отдельного документа; обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок, способ отзыва.»

Обратной силы поправка не имеет: ранее полученные согласия переоформлять не требуется. Однако любое новое согласие, оформленное после 01.09.2025 в составе другого документа, недействительно. Это напрямую касается DPO-аутсорсинга: если ответственный собирает согласия работников или клиентов по старым формам — операция порождает нарушение по ч. 2 ст. 13.11 КоАП (до 700 000 ₽). Включите требование к формату согласий в полномочия ответственного в разделе IV положения.

Как DPO-аутсорсинг взаимодействует с уведомлением РКН по ст. 22 ФЗ-152?

Ответственный за организацию обработки ПДн обязан контролировать актуальность уведомления в реестре операторов. Уведомление подаётся оператором через pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр — 30 дней с момента подачи (ч. 4 ст. 22 ФЗ-152). Изменение сведений — повторная подача по форме Приказа РКН №180.

Зона ответственности DPO-аутсорсера в этой части: подготовка сведений для уведомления (перечень ПДн, цели, основания, сроки), проверка корректности уведомления, инициирование обновления при изменениях. Зона ответственности оператора: фактическая подача уведомления и подписание УКЭП руководителя. Разграничение фиксируется в положении (раздел V) и договоре с аутсорсером.

«Ст. 22 ФЗ-152 — оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Неуведомление или несвоевременное уведомление — штраф по ч. 10 ст. 13.11 КоАП 100 000 – 300 000 ₽ (в редакции с 30.05.2025).»

Если юрист компании готовит положение без проверки уведомления в реестре РКН — документ будет корректным, но риск штрафа по ч. 10 ст. 13.11 сохраняется. Аудит уведомления занимает 1–2 рабочих дня.

Заказать аудит 152-ФЗ

Шаг 6. Утвердите положение и проверьте пакет перед подачей в РКН

После подготовки всех документов проведите внутреннюю сверку по чек-листу РКН. Инспектор при плановой проверке запросит минимум восемь категорий документов: уведомление из реестра, политику, приказ о назначении ответственного, журнал обращений субъектов, перечень ИСПДн, согласия по новым формам (если обрабатываете с 01.09.2025), договоры с обработчиками по поручению, регламент реагирования на инциденты.

Положение о DPO-функции утверждается приказом руководителя с указанием даты. Дата имеет значение: если проверка обнаружит, что положение принято после начала обработки ПДн — это дополнительный индикатор риска. Все документы хранятся в бумажном и электронном виде; электронные версии должны быть доступны ответственному в любой момент для оперативного предоставления регулятору.

Типичные ситуации при аутсорсинге DPO

Ситуация 1. Оператор заключил договор с DPO-аутсорсером, но приказ о назначении не издал, положения нет. При плановой проверке РКН (Центральный ФО, I квартал 2026) инспектор зафиксировал отсутствие локальных актов. Составлен протокол по ч. 3 ст. 13.11 КоАП (отсутствие опубликованной политики) и по ч. 1 (обработка без надлежащего оформления). Совокупный штраф — в диапазоне нескольких сотен тысяч рублей. Договор с аутсорсером не принят во внимание как замена ОРД.

Ситуация 2. Юрист производственной компании (Уральский ФО, осень 2025) обнаружил, что согласия работников включены в текст трудового договора. После 01.09.2025 это нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. DPO-аутсорсер подготовил отдельные формы согласий и провёл их сбор до получения предписания РКН. Компания устранила нарушение в досудебном порядке; ч. 2 ст. 13.11 (до 700 000 ₽) применена не была. Оперативность — ключевой фактор.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая положение о DPO-функции и приказ о назначении.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании от 30 000 ₽/мес.
Аудит соответствия 152-ФЗ — проверка пакета ОРД и уведомления в реестре РКН от 100 000 ₽.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1), приказ о назначении ответственного (ст. 22.1), перечень ИСПДн с уровнями защищённости по ПП РФ №1119, согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельным документом по ФЗ-156), договоры с обработчиками по поручению (ст. 6 п. 3), регламент реагирования на инциденты по Приказу РКН №187. При аутсорсинге DPO — дополнительно положение о DPO-функции и сам договор с аутсорсером.

2. Как составить политику обработки персональных данных?

Политика по ст. 18.1 ФЗ-152 должна содержать: цели обработки, правовые основания (ст. 6 ФЗ-152), перечень категорий субъектов и категорий ПДн, порядок и условия обработки, меры защиты, права субъектов, порядок обращения. Документ публикуется на сайте оператора в свободном доступе. Нельзя использовать шаблон без адаптации под реальные процессы компании: при проверке РКН сравнивает политику с фактической обработкой. Расхождение — нарушение по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Назначается конкретное физическое лицо — не подразделение и не организация. При аутсорсинге это сотрудник подрядчика. Приказ оператора должен содержать ФИО, контактные данные и ссылку на договор с аутсорсером. Требования к квалификации установлены в ч. 4 ст. 22.1: знание ФЗ-152 и подзаконных актов, понимание организационных и технических мер защиты. Ответственный не несёт административную ответственность вместо оператора — он организует процесс; оператор отвечает по КоАП.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — только отправная точка. Политика должна отражать реальные процессы оператора: конкретные цели обработки, используемые ИСПДн, список третьих лиц, которым передаются данные. РКН при проверке соотносит текст политики с уведомлением в реестре и фактической обработкой. Типовой шаблон из интернета, не адаптированный под компанию, создаёт риск штрафа по ч. 3 и ч. 1 ст. 13.11 КоАП. Адаптация занимает от одного рабочего дня при наличии корректно заполненного перечня ПДн.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) любое новое согласие по ст. 9 ФЗ-152 оформляется отдельным документом с обязательными реквизитами: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ отзыва. Согласие не может быть частью договора, оферты или политики. Ранее полученные согласия действительны — обратной силы поправка не имеет. Нарушение формата нового согласия — штраф по ч. 2 ст. 13.11 до 700 000 ₽.

6. Что делать, если положение о DPO-функции составлено, но ответственный сменился?

При смене физического лица — аутсорсера необходимо: издать новый приказ о назначении с указанием ФИО нового ответственного, внести изменения в положение (раздел «Назначение ответственного»), уведомить РКН об изменении сведений по форме Приказа №180, обновить контактные данные ответственного во всех внутренних документах и на сайте. Срок — до начала исполнения обязанностей новым лицом. Разрыв в назначении (период без действующего ответственного) — нарушение ст. 22.1 ФЗ-152.

Итог

Положение о DPO-функции при аутсорсинге — обязательный локальный акт оператора, а не опция. Без него договор с подрядчиком не имеет нормативного основания при проверке РКН. Документ разрабатывается в связке с приказом о назначении, политикой обработки ПДн и регламентом реагирования на инциденты — все три документа проверяются инспектором одновременно.

Практика DATUM по ст. 22.1 ФЗ-152 и аутсорсингу DPO охватывает операторов из производства, розничной торговли, медицины и ИТ-сектора. Типовая ошибка — смешение договора с подрядчиком и локального акта оператора. Исправить её до проверки дешевле, чем обжаловать протокол в арбитраже.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025. Подсудность после ФЗ-508 — мировые судьи.

16 февраля 2027 года