инструкция 21 января 2027 По состоянию на 21 января 2027

Положение об обработке ПДн по ст. 18.1 ч. 1

Положение об обработке персональных данных — внутренний документ оператора, фиксирующий правовые основания, цели, категории ПДн, меры защиты и порядок реализации прав субъектов. Ст. 18.1 ч. 1 ФЗ-152 обязывает каждого оператора принять такой документ и обеспечить его выполнение.

За отсутствие политики или её несоответствие требованиям ч. 2 ст. 18.1 грозит штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽. Но если при проверке выявят, что реальная обработка шире задокументированной, РКН составит протокол по ч. 1 ст. 13.11 — до 300 000 ₽.

Если вы юрист и готовите комплект ОРД или проверяете документы к аудиту — эта инструкция даёт пошаговый алгоритм: от структуры положения до актуализации согласий после 01.09.2025. → Посмотреть услугу «ОРД под ключ»

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024: 18 частей вместо прежних 7. Роскомнадзор при плановой и внеплановой проверке проверяет наличие положения об обработке ПДн в первую очередь — это базовый индикатор зрелости комплаенса. Инструкция ниже описывает, как составить документ, соответствующий ст. 18.1 ФЗ-152, согласовать его с уведомлением по ст. 22, назначить ответственного по ст. 22.1 и привести согласия работников в соответствие с ФЗ-156 от 24.06.2025.

Что такое положение об обработке ПДн и чем оно отличается от политики конфиденциальности?

Законодатель использует термин «документы, определяющие политику оператора в отношении обработки персональных данных» (ч. 1 ст. 18.1 ФЗ-152). На практике этот документ называют по-разному: положение об обработке ПДн, политика обработки ПДн, политика конфиденциальности. Разграничение существенно.

Политика конфиденциальности — публичный документ для субъектов, размещённый на сайте или переданный при сборе данных. Её содержание регулирует ч. 2 ст. 18.1: наименование и адрес оператора, цели и правовые основания обработки, категории ПДн, получатели, порядок реализации прав субъектов, сведения о трансграничной передаче (если есть).

Положение об обработке ПДн — внутренний документ, обязательный по ч. 1 ст. 18.1. Он шире политики: включает организационные меры, перечень ИСПДн, уровни защищённости, порядок поручения обработки третьим лицам, порядок реагирования на запросы субъектов и инциденты.

«Ст. 18.1 ч. 1 ФЗ-152 обязывает оператора принять меры, необходимые и достаточные для выполнения требований закона, в том числе определить цели обработки, правовые основания, перечень действий и сроки обработки, порядок выявления и устранения нарушений.»

Оба документа могут быть объединены в один акт, если его структура позволяет выделить публичную часть для раскрытия субъектам. На практике удобнее держать их раздельно: политика — на сайте, положение — во внутреннем документообороте.

Шаг 1. Определите перечень целей, оснований и категорий ПДн

До составления положения проведите инвентаризацию обработки. Зафиксируйте для каждой категории субъектов: цели обработки, правовые основания по ст. 6 ФЗ-152 (согласие, договор, обязанность оператора, законный интерес и др.), перечень обрабатываемых данных, сроки хранения, получателей (в том числе третьих лиц и обработчиков по поручению).

Типовые категории субъектов для большинства операторов: работники и соискатели, клиенты (физические лица), контрагенты — физические лица, пользователи сайта. Если обрабатываются специальные категории (ст. 10 ФЗ-152: здоровье, судимость, биометрия по ст. 11) — зафиксируйте правовые основания отдельно, они ограничены.

Что зафиксировать при инвентаризации

Категории субъектов и конкретный перечень ПДн по каждой
Правовые основания обработки со ссылкой на пункт ст. 6 ФЗ-152
Сроки хранения и критерии их определения
Перечень третьих лиц и обработчиков с реквизитами договоров поручения
Наличие трансграничной передачи и страны-получатели

Результат инвентаризации — таблица обработки, которая ляжет в основу как положения, так и уведомления по ст. 22 ФЗ-152. Расхождение между реестром РКН и реальной обработкой — типичное нарушение по ч. 1 ст. 13.11 (до 300 000 ₽).

Готовите ОРД и не знаете, с чего начать инвентаризацию?

Юрист без опыта в ПДн тратит на инвентаризацию 2–3 недели. Типичная ошибка — не учесть обработчиков (CRM, облака, HR-сервисы), которые де-факто получают доступ к ПДн. Каждый такой пропуск — основание для протокола по ч. 1 ст. 13.11. Юристы DATUM соберут полный комплект ОРД из 38 документов: политика, положение, согласия, приказы, регламент реагирования, журналы.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Составьте структуру положения об обработке ПДн по ст. 18.1 ч. 1

Обязательные разделы положения вытекают из ч. 1 и ч. 2 ст. 18.1 ФЗ-152, требований ст. 22 к уведомлению и ст. 22.1 к ответственному лицу. Ниже минимально необходимый состав.

Раздел 1. Общие положения. Наименование и адрес оператора, правовые основания принятия документа (ч. 1 ст. 18.1 ФЗ-152), сфера действия, определения ключевых терминов по ст. 3 ФЗ-152.

Раздел 2. Цели и правовые основания обработки. Перечень целей, привязанных к основаниям по ст. 6 (для общих ПДн), ст. 10 (для специальных), ст. 11 (для биометрических). Принцип недопустимости объединения баз с несовместимыми целями по ст. 5 ФЗ-152.

Раздел 3. Перечень обрабатываемых ПДн по категориям субъектов. Для каждой категории — конкретный состав данных, срок хранения, способ уничтожения.

Раздел 4. Порядок и условия обработки. Автоматизированная и неавтоматизированная обработка; поручение обработки третьим лицам (ч. 3 ст. 6 ФЗ-152) с требованиями к договору поручения; трансграничная передача (ст. 12) — при наличии.

Раздел 5. Меры защиты ПДн. Организационные (назначение ответственного по ст. 22.1, ознакомление работников, контроль доступа) и технические (уровень защищённости по ПП РФ №1119, выполнение мер по Приказу ФСТЭК №21). Не требуется раскрывать технические детали в публичной части — они остаются во внутренних регламентах.

Раздел 6. Права субъектов и порядок их реализации. Срок ответа на запрос — 10 рабочих дней с даты обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Порядок отзыва согласия, уничтожения, блокирования, уточнения ПДн (ст. 21 ФЗ-152).

Раздел 7. Порядок реагирования на инциденты. Ссылка на регламент реагирования; сроки уведомления РКН — 24 часа на первичное уведомление, 72 часа на отчёт (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187 от 14.11.2022).

Раздел 8. Актуализация документа. Периодичность пересмотра (рекомендуется не реже 1 раза в год), ответственный за актуализацию.

Шаг 3. Назначьте ответственного по ст. 22.1 ФЗ-152

Оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн (ч. 1 ст. 22.1 ФЗ-152). Это не просто формальный приказ: ответственный принимает на себя функции внутреннего контролёра и первого адресата при запросах субъектов и обращениях РКН.

Требования к ответственному по ч. 4 ст. 22.1: лицо должно получить необходимые знания в области обработки ПДн. Закон не требует специального сертификата, но на практике РКН при проверке задаёт квалификационные вопросы. Назначение сотрудника без реального понимания ФЗ-152 — риск.

«Ст. 22.1 ч. 1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Ч. 4 той же статьи устанавливает требование к наличию у этого лица необходимых знаний в сфере законодательства о ПДн.»

Ответственный оформляется приказом руководителя с указанием ФИО, должности и конкретных полномочий. Приказ и должностная инструкция — отдельные документы ОРД. Контактные данные ответственного публикуются в политике конфиденциальности (ч. 2 ст. 18.1) и вносятся в уведомление по форме Приказа РКН №180 от 28.10.2022.

Если в штате нет специалиста с нужной квалификацией, функцию ответственного можно передать на аутсорс. DPO-аутсорсинг по ст. 22.1 — один из инструментов DATUM: юрист берёт на себя ответы на запросы субъектов, подготовку к проверкам и взаимодействие с РКН от 30 000 ₽/мес.

Шаг 4. Синхронизируйте положение с уведомлением в реестре РКН по ст. 22

Положение об обработке ПДн и уведомление в реестре РКН (ст. 22 ФЗ-152) должны описывать одни и те же цели, основания и категории ПДн. Расхождение — это документальное свидетельство нарушения принципа законности (ст. 5 ФЗ-152) и основание для протокола.

Уведомление подаётся через портал pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022. Срок включения в реестр — 30 дней. При изменении сведений оператор обязан направить уведомление об изменении. Наиболее частые расхождения: добавление новой CRM-системы без обновления реестра, передача ПДн новому обработчику без уведомления, расширение состава обрабатываемых данных.

Неуведомление о намерении осуществлять обработку или несвоевременное уведомление — состав по ч. 10 ст. 13.11 КоАП (100 000 – 300 000 ₽). Проверить актуальность записи можно на pd.rkn.gov.ru в поиске по реестру операторов.

Если вы юрист и обнаружили, что уведомление в реестре РКН не соответствует реальной обработке — это нарушение ч. 10 ст. 13.11 КоАП (штраф 100 000–300 000 ₽). На исправление уходит до 30 дней с момента подачи нового уведомления. Юристы DATUM проверят реестр, составят актуальное уведомление и синхронизируют положение об обработке.

Заказать аудит 152-ФЗ

Шаг 5. Актуализируйте согласия субъектов с учётом ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025). Его нельзя включать в трудовой договор, оферту, политику конфиденциальности или иной акт. Ранее полученные согласия, включённые в другие документы, обратной силы не лишаются — но при переоформлении или запросе субъекта на отзыв согласия форма должна соответствовать новым требованиям.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия, способ отзыва. Отсутствие любого реквизита или объединение согласия с другим документом — нарушение ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ для юрлица).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие субъекта должно быть оформлено отдельным документом, не объединённым с иными документами оператора.»

Для работников согласие требуется в случаях, выходящих за пределы ст. 86–88 ТК РФ: передача данных третьим лицам, публикация фотографий, обработка биометрии в СКУД. Положение об обработке ПДн должно содержать перечень целей, для которых согласие работника обязательно, с отсылкой к актуальным формам.

Как это работает на практике: типовые сценарии для юриста

Сценарий 1. Проверка РКН по плану — положение в трудовом договоре. Инспектор РКН запрашивает внутренние акты по ст. 18.1. Компания представляет трудовой договор, в котором раздел о ПДн выполняет функцию политики. РКН квалифицирует это как отсутствие самостоятельного документа — штраф по ч. 3 ст. 13.11 (30 000–60 000 ₽). Параллельно инспектор проверяет наличие отдельных согласий по ст. 9 — они отсутствуют. Второй протокол по ч. 2 ст. 13.11 (300 000–700 000 ₽). Итог: два протокола вместо одного превентивного аудита.

Сценарий 2. Субъект подаёт жалобу в РКН — положение есть, но устарело. Работник уволился и потребовал уничтожения ПДн. HR ответил со ссылкой на положение 2019 года, в котором срок хранения личного дела не указан. РКН возбудил дело по ч. 5 ст. 13.11 (50 000–90 000 ₽) — невыполнение требования субъекта об уточнении данных в установленный срок. Актуальное положение с указанием 75-летнего срока хранения личного дела по типовым перечням закрыло бы вопрос без штрафа.

Сценарий 3. Внеплановая проверка после жалобы — расхождение с реестром. Компания обновила CRM и перенесла клиентскую базу в облачный сервис американского вендора. Уведомление в РКН не обновлялось. Положение об обработке описывает только локальный сервер. РКН выявил фактическую трансграничную передачу без уведомления по ст. 12 ФЗ-152 и расхождение с реестром по ч. 10 ст. 13.11 (100 000–300 000 ₽). Юрист, проведший своевременную синхронизацию положения с реестром, предотвратил бы оба нарушения.

Кейс 1. Юридический департамент производственной компании (Уральский ФО, осень 2025) провёл внутренний аудит накануне плановой проверки РКН. Выявлено: согласия работников включены в трудовые договоры, положение об обработке не обновлялось с 2020 года, уведомление в реестре не отражает три актуальных ИСПДн. Юристы DATUM за три недели переоформили согласия по ФЗ-156, актуализировали положение, направили уведомление об изменении сведений. Проверка РКН прошла без протоколов.

Кейс 2. Медицинский оператор (Северо-Западный ФО, начало 2026) получил предписание РКН после жалобы пациента на непредоставление информации об обработке ПДн (ч. 4 ст. 13.11 КоАП — 40 000–80 000 ₽). Положение об обработке содержало раздел о правах субъектов без указания конкретного контактного лица и срока ответа. После дополнения положения, назначения ответственного по ст. 22.1 и публикации обновлённой политики штраф был оспорен в арбитражном суде со снижением до минимального размера по ст. 4.1 КоАП.

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов, включая положение, политику, согласия и приказы по ст. 22.1
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов с отчётом и планом устранения
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании от 30 000 ₽/мес

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный пакет: положение об обработке ПДн (ст. 18.1 ч. 1 ФЗ-152), политика конфиденциальности для публикации (ст. 18.1 ч. 2), согласия субъектов в случаях, когда они требуются (ст. 9 ФЗ-152), приказ о назначении ответственного (ст. 22.1), уведомление в реестре РКН (ст. 22), договоры поручения с обработчиками (ч. 3 ст. 6 ФЗ-152), журнал учёта обращений субъектов и регламент реагирования на инциденты. Полный перечень ОРД включает около 38 документов в зависимости от специфики оператора.

2. Как составить политику обработки ПДн по ст. 18.1 ч. 2?

Политика конфиденциальности должна содержать: наименование и адрес оператора, цели и правовые основания обработки, перечень обрабатываемых ПДн, состав третьих лиц — получателей, порядок реализации прав субъектов, сведения о трансграничной передаче (если есть), контактные данные ответственного по ст. 22.1. Документ размещается в открытом доступе — на сайте или вывешивается в офисе. Типовой объём — 4–8 страниц. Шаблон из интернета нужно адаптировать под реальные цели и категории ПДн оператора, иначе он создаст риск расхождения с реестром РКН.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Закон не ограничивает круг лиц: это может быть штатный сотрудник (юрист, специалист по ИБ, кадровик) или внешний аутсорсер. Требование ч. 4 ст. 22.1 — наличие необходимых знаний в области законодательства о ПДн. На практике РКН при проверке задаёт ответственному профессиональные вопросы. Назначение формального лица без реальной квалификации не снимает ответственность с оператора. Контактные данные ответственного вносятся в политику конфиденциальности и уведомление по ст. 22.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу, но не как готовый документ. Типичные проблемы готовых шаблонов: устаревшие основания обработки (не учтены поправки 2024–2025 годов), отсутствие раздела о трансграничной передаче при реальном использовании зарубежных сервисов, несоответствие реальным категориям ПДн оператора, отсутствие сроков хранения. Несоответствие политики реальной обработке — это доказательство нарушения, а не его отсутствия.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

С 01.09.2025 каждое согласие на обработку ПДн оформляется отдельным документом (ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025) — не вставляется в договор, оферту или политику. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок и способ отзыва. Для работников отдельное согласие требуется при обработке, выходящей за пределы ст. 86–88 ТК РФ: биометрия, публикация персональных данных, передача третьим лицам. Ранее полученные согласия, включённые в трудовые договоры, действуют, но при переоформлении форма должна соответствовать новым требованиям.

Итог

Положение об обработке ПДн по ст. 18.1 ч. 1 ФЗ-152 — не формальность, а рабочий документ, синхронизированный с реестром РКН, актуальными согласиями и назначением ответственного. Расхождение хотя бы по одному из этих параметров при проверке РКН создаёт основание для протокола — вплоть до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Практика DATUM по разработке и актуализации ОРД охватывает операторов из разных отраслей: ритейл, производство, финтех, медицина. Документы готовятся под конкретные категории субъектов и ИСПДн оператора, а не по универсальному шаблону.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025.