Как часто нужно проводить обучение работников по 152-ФЗ?

Плановое обучение проводится не реже одного раза в год. Вводный инструктаж для новых работников — в течение 10 рабочих дней с даты приёма. Внеплановое обучение проводится при изменении законодательства (как ФЗ-156 с 01.09.2025), смене категорий обрабатываемых ПДн, смене IT-систем или по итогам проверки РКН с предписаниями. Периодичность закрепляется в самой программе обучения и в регламенте ответственного по ст. 22.1 ФЗ-152.

инструкция 14 февраля 2027 По состоянию на 14 февраля 2027

Программа обучения работников по 152-ФЗ

Обучение работников по 152-ФЗ — обязательная организационная мера по ст. 18.1 ФЗ-152. Отсутствие программы фиксируется Роскомнадзором при проверке и влечёт штраф по ч. 3 ст. 13.11 КоАП.

С 01.09.2025 согласия работников оформляются отдельными документами (ФЗ-156 от 24.06.2025). Если сотрудники не знают этого требования — каждый ошибочный документ даёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

→ Если вы юрист и формируете ОРД оператора: ниже — пошаговая инструкция по программе обучения с чек-листом документов и разбором нормативных требований.

Роскомнадзор при плановой и внеплановой проверке запрашивает не только политику обработки персональных данных и согласия, но и доказательства того, что работники ознакомлены с требованиями 152-ФЗ. Отсутствие программы обучения или журнала ознакомления — самостоятельное основание для предписания. Эта инструкция разбирает шесть шагов: от определения состава обязанных лиц до актуализации программы после законодательных изменений 2025 года.

Шаг 1. Кого обязать и почему это закреплено в ст. 22.1 ФЗ-152?

Ст. 22.1 ФЗ-152 обязывает оператора-юридическое лицо назначить лицо, ответственное за организацию обработки персональных данных. Это лицо должно обладать знаниями законодательства в сфере ПДн — требование к квалификации прямо указано в ч. 4 ст. 22.1. Дополнительно ст. 18.1 ФЗ-152 закрепляет обязанность оператора ознакомить работников, непосредственно осуществляющих обработку, с положениями законодательства и локальными актами.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать меры, в том числе ознакомлять работников с требованиями к защите персональных данных, которые необходимо соблюдать при обработке.»

Для целей программы обучения к обязанным относятся три категории: ответственный по ст. 22.1 (проходит углублённое обучение), работники, имеющие доступ к базам ПДн (CRM, 1С, кадровые системы), и руководители структурных подразделений, которые принимают решения об обработке. IT-сотрудники, администрирующие ИСПДн, обучаются по отдельному блоку технических мер — ПП РФ №1119, Приказ ФСТЭК №21.

Шаг 2. Какие документы формируют правовую основу программы?

Программа обучения должна опираться на действующую нормативную базу. По состоянию на 2025–2026 год перечень включает следующие документы, которые необходимо включить в список изучаемых источников.

ФЗ-152 «О персональных данных» — базовый закон: ст. 3 (понятия), ст. 5 (принципы), ст. 6 (основания обработки), ст. 9 (согласие), ст. 10 (спецкатегории), ст. 18.1 (меры обеспечения), ст. 19 (защита), ст. 20 (обязанности при обращении субъекта), ст. 21 (устранение нарушений), ст. 22 (уведомление РКН), ст. 22.1 (ответственный).
ФЗ-156 от 24.06.2025 — поправки к ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может объединяться с договором, офертой, политикой или трудовым договором.
Ст. 13.11 КоАП в редакции ФЗ-420 от 30.11.2024 — 18 составов административных правонарушений с санкциями от 30 000 ₽ до оборотного штрафа 1–3% годовой выручки.
Приказ РКН №180 от 28.10.2022 — форма уведомления о намерении обрабатывать ПДн, порядок подачи через pd.rkn.gov.ru.
Приказ РКН №187 от 14.11.2022 — порядок уведомления РКН об инцидентах: 24 часа на первичное уведомление, 72 часа на отчёт о расследовании.
ПП РФ №1119 от 01.11.2012 — уровни защищённости УЗ-1..4; изучается IT-блоком и ответственным.

Перечень не статичен. Каждое изменение законодательства — основание для обновления программы. Ответственный по ст. 22.1 должен отслеживать поправки и инициировать актуализацию материалов не реже одного раза в год или немедленно после вступления в силу существенных изменений.

Готовите ОРД для оператора или формируете программу обучения?

Если юрист выстраивает комплаенс по 152-ФЗ с нуля — типовой набор из 38 документов ОРД включает приказ о назначении ответственного, программу обучения, журнал ознакомления, инструкции для работников и шаблоны согласий в редакции с 01.09.2025. Пропущенный документ при проверке РКН — самостоятельный штраф. Сроки подготовки к плановой проверке не восстанавливаются после уведомления.

Собрать ОРД под ключ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 3. Какова структура программы обучения и что обязательно включить?

Программа обучения — локальный нормативный акт оператора. Она утверждается приказом руководителя и является частью пакета ОРД, требуемого ст. 18.1 ФЗ-152. Типовая структура включает следующие разделы.

Цели и область применения. Указывается, кого охватывает программа: новые работники (вводный инструктаж в течение 10 рабочих дней с даты приёма), действующие работники (плановое обучение раз в год), лица с доступом к спецкатегориям (внеплановое при изменении категорий обрабатываемых ПДн).
Тематические блоки. Не менее трёх: базовый (что такое ПДн, основания обработки, права субъекта), операционный (как применять в конкретном подразделении: кадры, маркетинг, продажи, IT), инцидентный (что делать при утечке: кому звонить, что фиксировать, 24 часа по ст. 21 ФЗ-152).
Форма проведения. Очная, дистанционная или смешанная. При дистанционной форме фиксируется факт прохождения в системе (LMS или иной платформе) с сохранением лога.
Проверка знаний. Тестирование по итогам каждого блока. Минимальный порог — не ниже 70% правильных ответов. При несдаче — повторное обучение и повторный тест.
Документирование. Журнал ознакомления с программой (подпись работника или электронная отметка) и ведомость результатов тестирования. Хранятся не менее 3 лет.

Что подготовить для программы обучения

Приказ об утверждении программы обучения и назначении ответственного по ст. 22.1 ФЗ-152
Текст программы с тематическими блоками, формами проведения и критериями проверки знаний
Инструкция работника по обработке ПДн (отдельно для HR, маркетинга, IT, продаж)
Журнал ознакомления с программой и локальными актами по ПДн
Ведомость результатов тестирования за последние 12 месяцев

Шаг 4. Как изменились требования к согласиям работников с 01.09.2025?

ФЗ-156 от 24.06.2025 внёс поправки в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом. Его нельзя встраивать в трудовой договор, коллективное соглашение, оферту или политику конфиденциальности. Каждое согласие содержит обязательные реквизиты: ФИО субъекта, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий, срок согласия, способ отзыва.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 — согласие субъекта персональных данных оформляется отдельным документом и не может быть совмещено с иными документами.»

Программа обучения должна включать отдельный модуль с практическим разбором: чем новое согласие отличается от прежнего, какие форматы допустимы (бумага, УКЭП, действие на сайте при надлежащей технической фиксации), когда требуется отдельное согласие на передачу третьим лицам. Ранее полученные согласия, встроенные в трудовые договоры, действительны для тех оснований, по которым получены, — обратной силы закон не имеет. Но для новых работников и для новых целей обработки нужны согласия в новом формате.

Отдельно программа должна разбирать согласие на распространение ПДн по ст. 10.1 ФЗ-152 — оно всегда было отдельным документом и содержит расширенный перечень реквизитов. Путаница между ст. 9 и ст. 10.1 — типовая ошибка HR-функции, которую РКН фиксирует при проверке.

Если юрист проверяет пакет согласий работников и политику конфиденциальности компании — шаблоны в свободном доступе не учитывают редакцию ст. 9 ФЗ-152 с 01.09.2025 и отраслевую специфику. Ошибка в одном согласии при проверке РКН — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Шаг 5. Как задокументировать прохождение обучения для проверки РКН?

Роскомнадзор при проверке запрашивает не программу как таковую, а доказательства её исполнения. Требуемые документы делятся на три группы.

Журнал ознакомления с локальными актами. Содержит: ФИО работника, должность, наименование документа (политика, инструкция, программа обучения), дату ознакомления, подпись. При КЭДО — отметка в системе с временной меткой.
Ведомость тестирования. Дата, ФИО, наименование блока программы, количество вопросов, результат (%), отметка о сдаче или несдаче. Повторное тестирование — отдельная строка с датой.
Приказ о прохождении обучения. Перечень работников, период обучения, форма, ответственный за проведение. Издаётся по итогам каждого цикла.

При дистанционном обучении через LMS дополнительно предоставляется выгрузка из системы с логами входа, временем прохождения и результатами. Если платформа сторонняя — необходимо проверить, предусмотрен ли в договоре с ней соответствующий порядок хранения и предоставления данных: сама платформа является обработчиком ПДн работников по поручению оператора.

Шаг 6. Как обновлять программу после законодательных изменений?

Программа обучения — живой документ. Порядок обновления закрепляется в самой программе или в регламенте работы ответственного по ст. 22.1. Типовые основания для внеплановой актуализации: вступление в силу изменений в ФЗ-152 или КоАП, новые приказы РКН (как Приказ №180 — форма уведомления), изменение категорий обрабатываемых ПДн, смена IT-систем, в которых обрабатываются ПДн, результаты проверки РКН с предписаниями.

Плановое обновление — не реже одного раза в год. После обновления — повторный инструктаж для затронутых категорий работников с записью в журнале. Ответственный по ст. 22.1 формирует реестр изменений: дата изменения, норма, суть поправки, раздел программы, который скорректирован.

Как применяется программа обучения на практике: три типовые ситуации

Ситуация 1. Юрист производственной компании (Уральский ФО, начало 2026 года) обнаружил при внутреннем аудите, что работники HR-отдела берут согласия по форме, встроенной в трудовой договор, — с октября 2025 года (после 01.09.2025). Программа обучения в компании устарела: последнее обновление датировалось 2023 годом. Была срочно разработана новая редакция программы, проведён внеплановый инструктаж с ведомостью тестирования, замена форм согласий. При последующей проверке РКН наличие актуальной программы и журнала ознакомления позволило квалифицировать нарушение как устранённое.

Ситуация 2. Медицинская организация (Центральный ФО, осень 2025 года) получила предписание Роскомнадзора по итогам плановой проверки. Одно из оснований предписания — отсутствие доказательств ознакомления работников с локальными актами по обработке ПДн пациентов. Штраф по ч. 3 ст. 13.11 КоАП составил десятки тысяч рублей; предписание выдано с 30-дневным сроком устранения. Программа обучения была создана и внедрена в течение двух недель, журнал ознакомления сформирован задним числом в пределах устранения — это позволило исполнить предписание в срок.

Ситуация 3. Ритейлер (Сибирский ФО, 2026 год) с численностью 400 человек прошёл аудит соответствия 152-ФЗ. Юрист компании выявил: программа обучения есть, но охватывает только HR-отдел. Маркетологи, работающие с CRM и персонализированными рассылками, не были включены. После расширения состава обучаемых и проведения дополнительного блока по cookies как ПДн и согласиям на рассылки — компания привела ОРД в соответствие с полным перечнем подразделений, обрабатывающих ПДн.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет из 38 документов с программой обучения, журналами и шаблонами согласий
Аудит соответствия 152-ФЗ — проверка ОРД, согласий и практики обработки по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный обязательный комплект включает: политику обработки ПДн (ст. 18.1 ФЗ-152), уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22), приказ о назначении ответственного (ст. 22.1), согласия субъектов в новом формате (ст. 9 в редакции с 01.09.2025), инструкции для работников, программу обучения с журналом ознакомления, регламент реагирования на инциденты (ст. 21 ч. 3.1). Всего типовой пакет ОРД — около 38 документов; конкретный состав зависит от категорий обрабатываемых ПДн и структуры оператора.

2. Как составить политику обработки ПДн?

Политика обработки ПДн должна соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152. Обязательные разделы: цели обработки, правовые основания по ст. 6, перечень обрабатываемых ПДн, категории субъектов, сроки обработки и хранения, порядок уничтожения, меры защиты, порядок обращения субъектов. Политика публикуется в открытом доступе — на сайте или на информационном стенде. Отсутствие публикации или неполный состав — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юридическое лицо назначить лицо, ответственное за организацию обработки ПДн. Требований к должности нет — это может быть штатный юрист, специалист по ИБ или отдельный сотрудник. Ч. 4 ст. 22.1 устанавливает требование к квалификации: лицо должно обладать знаниями законодательства в сфере ПДн. На практике квалификация подтверждается прохождением профильного обучения и документируется. Функцию ответственного можно передать на аутсорсинг — это законная конструкция.

4. Можно ли использовать шаблон политики из интернета?

Использование типового шаблона без адаптации создаёт риски: шаблоны в открытом доступе, как правило, не учитывают редакцию ст. 9 ФЗ-152 с 01.09.2025, отраслевые особенности (медицина, финансы, HR), конкретный перечень систем и третьих лиц, которым передаются ПДн. При проверке РКН политика оценивается на соответствие реальной практике оператора. Расхождение между декларируемыми и фактическими целями обработки — нарушение ст. 5 ФЗ-152 и основание для штрафа по ч. 1 ст. 13.11 КоАП до 300 000 ₽.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 любое согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом. Обязательные реквизиты: ФИО и контактные данные субъекта, наименование оператора, цель обработки, перечень ПДн и действий с ними, срок согласия, способ отзыва. Согласие на распространение (ст. 10.1 ФЗ-152) всегда было отдельным документом и содержит расширенный перечень реквизитов. Согласие на обработку биометрических ПДн (ст. 11) требует письменной формы. Ранее полученные согласия, включённые в трудовые договоры, сохраняют силу для ранее заявленных целей — переоформлять их не требуется.

Итог

Программа обучения работников по 152-ФЗ — не факультативный документ, а обязательная часть системы организационных мер по ст. 18.1 ФЗ-152. Её отсутствие или устаревшее содержание фиксируется при проверке РКН как самостоятельное нарушение. После принятия ФЗ-156 от 24.06.2025 и вступления в силу с 01.09.2025 новых требований к согласиям программа должна быть обновлена до конца 2025 года — для всех операторов, у которых в обработке участвуют работники, берущие согласия субъектов.

Практика DATUM по разработке ОРД и обучению работников охватывает операторов разных отраслей: ритейл, медицина, HR, IT, финансовый сектор. Ключевое требование одно: документация должна отражать реальную практику, а не воспроизводить типовые шаблоны.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025, обработка через КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 февраля 2027 года