Перейти к содержанию
инструкция 19 февраля 2027 По состоянию на 19 февраля 2027

Приказ о назначении ответственного по ст. 22.1: образец

Назначить ответственного за обработку персональных данных — обязанность каждого оператора-юрлица по ст. 22.1 ФЗ-152. Без приказа оператор уязвим при любой проверке Роскомнадзора.
Отсутствие назначенного лица фиксируется инспектором как самостоятельное нарушение. Штраф по ч. 3 ст. 13.11 КоАП — до 60 000 ₽ за ненадлежащую документацию, а в совокупности с иными нарушениями практика дотягивается до сотен тысяч рублей.
→ Если вы юрист и готовите ОРД-пакет — ниже образец приказа, обязательные реквизиты и порядок включения документа в общий комплект оператора.

Ст. 22.1 ФЗ-152 введена в 2011 году, однако именно с 2023–2024 года Роскомнадзор включил факт назначения ответственного в стандартный перечень индикаторов риска при проверках. Юрист, который формирует ОРД с нуля или актуализирует существующий пакет, обязан иметь этот документ в числе первых. Ниже — пошаговый порядок: от выбора кандидата до регистрации приказа в журнале.

Что требует ст. 22.1 ФЗ-152 и зачем нужен приказ?

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Это не просто административная формальность — ответственный становится точкой контакта с Роскомнадзором, субъектами ПДн и внутренними подразделениями при инцидентах.

«Ст. 22.1 ФЗ-152: оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Оно обязано в числе прочего принимать меры, направленные на соблюдение требований закона, и взаимодействовать с РКН по вопросам обработки ПДн.»

Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к этому лицу: оно не вправе действовать в ущерб интересам субъектов, обязано информировать работников об ответственности и контролировать соблюдение закона. Требований к наличию диплома юриста или специального сертификата в законе нет — но РКН на практике обращает внимание на компетентность при инцидентах.

Приказ о назначении — юридически значимый документ, который фиксирует: кто именно отвечает, с какой даты и в каком объёме полномочий. Без приказа назначение ответственного невозможно доказать ни РКН, ни суду.

Шаг 1. Определите кандидата и проверьте ограничения

Закон не запрещает назначать ответственным любого штатного работника — директора, юриста, кадровика, специалиста по ИБ или отдельного сотрудника. Однако есть практические соображения:

  • Ответственный должен понимать, какие данные обрабатывает компания и на каких основаниях.
  • У него должно быть достаточно времени для реального выполнения функций — ответы на запросы субъектов в течение 10 рабочих дней по ст. 20 ФЗ-152, взаимодействие с РКН, актуализация документов.
  • При утечке именно этот человек будет координировать уведомление РКН в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152.

Назначение генерального директора — допустимо, но создаёт риск: при проверке инспектор спросит, как директор фактически выполнял функции ответственного. Если ответа нет — это аргумент против добросовестности оператора.

Альтернатива штатному назначению — DPO-аутсорсинг: внешний специалист принимает на себя функцию по договору. В этом случае приказ о назначении дополняется договором поручения.

Шаг 2. Подготовьте текст приказа — обязательные реквизиты

Приказ о назначении ответственного — внутренний распорядительный документ. Унифицированной формы нет, но из требований ст. 22.1 ФЗ-152 и практики проверок РКН следует минимальный набор реквизитов:

Обязательные реквизиты приказа

  • Наименование оператора (полное, как в ЕГРЮЛ) и его реквизиты.
  • Номер и дата приказа — дата должна предшествовать дате начала обработки или совпадать с датой уведомления РКН по ст. 22 ФЗ-152.
  • ФИО и должность назначаемого лица; подразделение.
  • Ссылка на основание — ст. 22.1 ФЗ-152; при DPO-аутсорсинге — ссылка на договор.
  • Перечень функций (кратко): организация обработки ПДн, взаимодействие с РКН, работа с обращениями субъектов, контроль соблюдения закона.
  • Подпись руководителя (единоличного исполнительного органа) и печать (если используется).

Дополнительно — но не обязательно — можно включить: срок действия назначения, порядок замещения в период отсутствия, ссылку на должностную инструкцию ответственного. При наличии обособленных подразделений рекомендуется отдельным пунктом закрепить территориальную сферу ответственности.

Нужен готовый приказ и полный пакет ОРД?

Юрист, который впервые собирает ОРД, тратит на это 3–4 недели: найти актуальные формы, проверить их на соответствие ФЗ-156 от 24.06.2025 и Приказу РКН №180, согласовать с руководством. Юристы DATUM собирают комплект ОРД под ключ — 38 документов, включая приказ о назначении, политику обработки ПДн и согласия в новой редакции с 01.09.2025. Срок — от 5 рабочих дней.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Включите приказ в систему ОРД оператора

Приказ о назначении — один документ из обязательного пакета, предусмотренного ст. 18.1 ФЗ-152. Ст. 18.1 требует от оператора принять меры, обеспечивающие соблюдение закона, в том числе: назначить ответственного, утвердить политику обработки ПДн, разработать локальные акты и ознакомить с ними работников.

«Ст. 18.1 ФЗ-152: оператор обязан принять меры, необходимые для выполнения обязанностей, предусмотренных законом. В частности — определить цели обработки, установить порядок, назначить лицо по ст. 22.1 и опубликовать политику.»

Взаимосвязанные документы, которые необходимо согласовать с приказом о назначении:

  • Политика обработки персональных данных — публичный документ по ч. 2 ст. 18.1 ФЗ-152. Должна содержать в числе прочего сведения об ответственном лице или способе его идентификации.
  • Положение об обработке ПДн — внутренний документ, описывающий цели, категории данных, сроки и порядок обращений субъектов.
  • Должностная инструкция ответственного или дополнение к трудовому договору — фиксирует конкретные задачи и полномочия.
  • Журнал учёта запросов субъектов ПДн — ответственный ведёт его в рамках ст. 20 ФЗ-152 (срок ответа субъекту — 10 рабочих дней).

Ознакомление работников с политикой и локальными актами — требование ст. 18.1. Лист ознакомления хранится вместе с документами ОРД и предъявляется при проверке.

Шаг 4. Зарегистрируйте приказ и обновите уведомление в реестре РКН

После подписания приказа выполните два шага, которые часто упускают:

Регистрация в журнале приказов. Приказ получает порядковый номер и дату. Если в компании ведётся отдельный журнал приказов по персоналу — приказ о назначении ответственного по ПДн можно регистрировать в журнале приказов по основной деятельности. Главное — наличие регистрационной записи.

Обновление уведомления в реестре РКН. По ст. 22 ФЗ-152 и Приказу РКН №180 от 28.10.2022 оператор обязан уведомлять РКН об изменении сведений, ранее внесённых в реестр. Сведения об ответственном лице входят в обязательный состав уведомления (форма подаётся через pd.rkn.gov.ru с УКЭП). Если ответственный сменился — уведомление об изменении подаётся в разумный срок; задержка фиксируется при проверке.

«Ст. 22 ФЗ-152 и Приказ РКН №180: оператор обязан уведомить РКН о намерении обрабатывать ПДн, а при изменении сведений — направить соответствующее уведомление об изменении. Форма подачи — электронная через pd.rkn.gov.ru с использованием УКЭП.»

Ч. 10 ст. 13.11 КоАП (в редакции с 30.05.2025) — штраф за неуведомление или несвоевременное уведомление о намерении обрабатывать ПДн составляет от 100 000 до 300 000 ₽ для юрлица. Это самостоятельный состав, не зависящий от наличия или отсутствия фактических нарушений в обработке.

Шаг 5. Актуализируйте согласия работников после 01.09.2025

ФЗ-156 от 24.06.2025 изменил ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть частью трудового договора, договора об обучении, оферты или иного соглашения. Это затрагивает не только согласия клиентов — но и согласия работников, которые ранее включались в трудовой договор или кадровые документы.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта на обработку его ПДн должно быть оформлено в виде отдельного документа. Совмещение согласия с иным документом не допускается. Норма действует с 01.09.2025.»

Ответственный по ст. 22.1, назначенный приказом, несёт функцию контроля за соблюдением этого требования. На практике это означает: он обязан проверить, не встроены ли действующие согласия в тексты других документов, и организовать переоформление там, где это необходимо. Ранее выданные согласия обратной силы не лишаются — переоформлять их принудительно не нужно, но при заключении новых договоров или обновлении форм использовать старый формат нельзя.

Если вы юрист и готовите ОРД-пакет после 01.09.2025 — проверьте каждое согласие на соответствие ФЗ-156. Использование старых форм создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Заказать аудит 152-ФЗ

Типовые ситуации: как суды и РКН оценивают отсутствие приказа

Ситуация 1. Оператор внесён в реестр РКН, политика конфиденциальности опубликована, согласия имеются — но приказ о назначении ответственного отсутствует. При плановой проверке инспектор фиксирует нарушение ст. 22.1 ФЗ-152. Доказательства: отсутствие документа в ОРД-пакете. Вероятный исход — предписание об устранении и протокол по ч. 3 ст. 13.11 КоАП (до 60 000 ₽ для юрлица). Стратегия: подготовить приказ и направить в РКН в установленный срок; при обжаловании использовать ст. 4.1.1 КоАП о замене на предупреждение при первичном нарушении без вреда.

Ситуация 2. Компания сменила юриста, который ранее был назначен ответственным. Новый сотрудник не назначен приказом, уведомление РКН не обновлено. При внеплановой проверке по жалобе субъекта РКН фиксирует два нарушения: фактическое отсутствие ответственного и нарушение ст. 22 ФЗ-152 (неуведомление об изменении сведений). Доказательства: реестровые данные, показания работников. Исход — совокупный штраф по ч. 3 и ч. 10 ст. 13.11 КоАП. Стратегия: немедленно издать новый приказ и подать уведомление об изменении через pd.rkn.gov.ru.

Ситуация 3. Организация (Сибирский ФО, начало 2026 года) прошла аудит перед проверкой РКН. Приказ о назначении существовал, но должностная инструкция ответственного не была обновлена после вступления в силу ФЗ-156 — в ней отсутствовала функция контроля за форматом согласий с 01.09.2025. При проверке РКН счёл меры недостаточными по ст. 18.1. Арбитражный суд региона по результатам обжалования протокола применил ст. 4.1.1 КоАП: первичное нарушение, вред субъектам не причинён, штраф заменён предупреждением. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Комплект ОРД под ключ — 38 документов, включая приказ о назначении и политику обработки ПДн в актуальной редакции.
  • Аудит соответствия 152-ФЗ — проверка полноты ОРД-пакета по чек-листу из 38 пунктов с приоритизированным планом устранения нарушений.
  • DPO-аутсорсинг — внешний ответственный по ст. 22.1 на абонентском обслуживании, включая ответы на запросы субъектов.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет по ст. 18.1 и ст. 22.1 ФЗ-152 включает: уведомление в реестре РКН (ст. 22), политику обработки ПДн (ч. 2 ст. 18.1), приказ о назначении ответственного (ст. 22.1), положение об обработке ПДн, согласия субъектов в актуальной форме (ст. 9 в редакции ФЗ-156), договоры-поручения с обработчиками (ст. 6 ФЗ-152), журнал учёта запросов субъектов и регламент реагирования на инциденты. В полном ОРД-пакете DATUM — 38 документов.

2. Как составить политику обработки ПДн?

Политика — публичный документ, размещаемый в открытом доступе (на сайте или по запросу). Обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, категории субъектов и ПДн, сроки обработки и хранения, порядок обращений субъектов, сведения об ответственном лице. Использовать шаблоны из интернета без адаптации к конкретной деятельности — прямой путь к нарушению: РКН оценивает содержание, а не факт наличия документа.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 не содержит требований к должности или квалификации. На практике подходит юрист, специалист по информационной безопасности или отдельный сотрудник с достаточным знанием 152-ФЗ. Важнее — наличие реального времени для выполнения функций: ответов на запросы субъектов в 10-рабочедневный срок, взаимодействия с РКН при проверках и инцидентах. Если штатного кандидата нет — рассмотрите DPO-аутсорсинг по договору.

4. Можно ли использовать шаблон политики из интернета?

Технически — можно взять за основу, но не «скопировать и подписать». РКН при проверке сопоставляет политику с фактической деятельностью: если цели, категории ПДн или сроки не соответствуют реальной обработке — это нарушение ст. 5 и ст. 18.1 ФЗ-152. Кроме того, шаблоны из открытых источников часто не учитывают изменения ФЗ-156 от 24.06.2025 в части формата согласий.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется только как отдельный документ — не как пункт договора, трудового соглашения или оферты. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий с ними, срок действия, способ отзыва. Ранее выданные согласия не теряют силу автоматически — но при обновлении форм старый формат использовать нельзя.

6. Что происходит, если ответственный уволился, а приказ не обновили?

Это самостоятельное нарушение: обработка ПДн фактически ведётся без ответственного лица по ст. 22.1 ФЗ-152. Дополнительно возникает нарушение ст. 22 — оператор не уведомил РКН об изменении сведений. При проверке РКН фиксирует оба состава. Рекомендация: немедленно издать новый приказ и подать уведомление об изменении через pd.rkn.gov.ru по форме Приказа РКН №180.

Итог

Приказ о назначении ответственного по ст. 22.1 ФЗ-152 — базовый документ ОРД-пакета, без которого остальные документы теряют правовую опору: некому координировать соблюдение закона, отвечать на запросы субъектов и взаимодействовать с РКН при проверках. После 01.09.2025 функции ответственного расширились: контроль за форматом согласий по ФЗ-156, отслеживание обновлений в реестре и своевременное уведомление РКН об изменениях.

DATUM сопровождает операторов ПДн при формировании ОРД, актуализации документов и подготовке к проверкам РКН. Практика по 152-ФЗ с 2014 года.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), защита от оборотных штрафов, подсудность после ФЗ-508 от 28.12.2025.

19 февраля 2027 года