Перейти к содержанию
услуга 21 апреля 2027 По состоянию на 21 апреля 2027

Совмещение ответственного по 22.1 с другой должностью

Ответственный по ст. 22.1 ФЗ-152 — это обязательная должность для любого оператора-юрлица. Совмещение с другой должностью законом не запрещено, но требует правильного оформления ОРД и реальной возможности исполнять функцию.
Если ответственный назначен формально — при проверке РКН это квалифицируется как нарушение ч. 1 ст. 13.11 КоАП (штраф до 300 000 ₽). С 01.09.2025 изменились требования к согласиям, что расширяет перечень обязанностей ответственного.
→ Если вы юрист и оформляете назначение ответственного — ниже порядок действий, типовые ошибки и готовое решение через DPO-аутсорсинг.

Ст. 22.1 ФЗ-152 обязывает оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Закон не запрещает совмещать эту функцию с основной должностью — юриста, кадровика, IT-руководителя. Однако совмещение работает только при корректном ОРД и фактическом выполнении обязанностей. Ошибка в оформлении или номинальное назначение создают риск штрафа при первой же проверке Роскомнадзора.

Кому подходит совмещение ответственного по ст. 22.1 с другой должностью?

Закон устанавливает только одно ограничение по субъекту: ответственным не может быть лицо, осуществляющее обработку ПДн без надлежащего контроля. На практике функцию чаще всего совмещают:

  • юрисконсульт или руководитель юридического отдела;
  • начальник отдела кадров или HR-директор;
  • технический директор или руководитель IT-службы;
  • руководитель службы безопасности;
  • секретарь или офис-менеджер — в малых компаниях.

Ч. 4 ст. 22.1 ФЗ-152 требует, чтобы назначенное лицо реально организовывало обработку, а не числилось в приказе. Если при проверке инспектор РКН выясняет, что ответственный не знает состав обрабатываемых ПДн и не может предъявить журнал обращений субъектов — формальное назначение не защищает от протокола.

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки персональных данных. Требования к квалификации и объём обязанностей определяются оператором самостоятельно с учётом ч. 4 той же статьи.»

Нужно оформить совмещение ответственного по 22.1?

Если вы юрист и готовите приказ о назначении или проверяете существующие документы — важно убедиться, что ОРД соответствует требованиям ФЗ-152 в редакции 2025 года. Ошибка в приказе или отсутствие должностной инструкции фиксируется при проверке РКН как нарушение ч. 1 ст. 13.11 КоАП.

Подключить DPO-аутсорсинг

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что должен делать ответственный и как это отражается в ОРД?

Перечень обязанностей ответственного вытекает из ст. 18.1 ФЗ-152. Оператор обязан обеспечить: разработку и актуализацию политики обработки ПДн, организацию внутреннего контроля, ознакомление работников, ведение учёта обращений субъектов и взаимодействие с РКН. Всё это формально закрепляется за ответственным через ОРД.

При совмещении обязанности ответственного вносятся в должностную инструкцию основной должности или оформляются отдельным регламентом. Если должностная инструкция не обновлена — ответственность существует только на бумаге приказа, но не подтверждается содержанием трудовой функции. Это уязвимость при проверке.

Что подготовить при совмещении ответственного по 22.1

  • Приказ о назначении ответственного с указанием конкретных обязанностей по ст. 22.1 и ст. 18.1 ФЗ-152.
  • Актуализированная должностная инструкция с перечнем функций по обработке ПДн.
  • Политика обработки персональных данных по ч. 2 ст. 18.1 ФЗ-152 — подписанная и опубликованная.
  • Журнал учёта обращений субъектов ПДн с отметками о поступивших запросах.
  • Актуальное уведомление в реестре РКН по форме Приказа РКН №180 с данными ответственного лица.

Какие типовые сценарии создают риски при совмещении?

Сценарий 1. Ответственный назначен, но обязанности не описаны. Компания издала приказ: «Назначить юрисконсульта ответственным за обработку ПДн». Должностная инструкция не изменена. При проверке инспектор РКН запрашивает документы, подтверждающие организацию обработки. Юрисконсульт не может предъявить ни журнал обращений, ни доказательства ознакомления работников с политикой. Результат — протокол по ч. 1 ст. 13.11 КоАП, штраф до 300 000 ₽.

Сценарий 2. Ответственный в уведомлении РКН не совпадает с фактическим. Компания уведомила РКН о назначении одного лица, после реорганизации функцию фактически исполняет другой сотрудник, но уведомление не обновлено. По ст. 22 ФЗ-152 оператор обязан сообщать об изменении сведений. Несоответствие — основание для штрафа по ч. 10 ст. 13.11 КоАП (100 000–300 000 ₽).

Сценарий 3. Совмещение с должностью, несовместимой с функцией контроля. Главный бухгалтер назначен ответственным, хотя он же является субъектом контроля в части обработки финансовых ПДн. Конфликт интересов не исключает ответственность оператора, но создаёт риск признания внутреннего контроля неэффективным при DPIA или внешнем аудите.

Если ответственный по 22.1 в компании назначен формально или совмещение не отражено в ОРД — риск штрафа при проверке РКН реален. Юристы DATUM проверят пакет документов и устранят уязвимости.

Подключить DPO-аутсорсинг

Как применяется практика по делам о формальном назначении ответственного?

Кейс 1. Торговая компания (Центральный ФО, начало 2026) при плановой проверке РКН не смогла предъявить актуализированную должностную инструкцию юрисконсульта — ответственного по ст. 22.1. Политика обработки ПДн на сайте не публиковалась. Протоколы составлены по ч. 1 и ч. 3 ст. 13.11 КоАП. Суд назначил штраф в диапазоне нескольких десятков тысяч рублей по каждому составу. После вынесения постановления компания обратилась за формированием ОРД под ключ. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. IT-компания (Северо-Западный ФО, осень 2025) использовала DPO-аутсорсинг как альтернативу внутреннему назначению. Функция ответственного по ст. 22.1 передана по договору аутсорсинга. При внеплановой проверке РКН аутсорсер предъявил полный пакет ОРД, журнал обращений субъектов, актуальное уведомление в реестре. Проверка завершена без протокола. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, ответы на запросы субъектов, взаимодействие с РКН.
  • Комплект ОРД под ключ — приказы, политика, согласия, журналы, должностные инструкции по актуальным требованиям.
  • Аудит соответствия 152-ФЗ — проверка текущего состояния ОРД и назначения ответственного по чек-листу из 38 пунктов.

Частые вопросы

1. Кого назначить ответственным по ст. 22.1?

Закон не устанавливает квалификационных требований — оператор определяет их самостоятельно. На практике назначают юрисконсульта, HR-директора, IT-руководителя или руководителя службы безопасности. Главное условие по ч. 4 ст. 22.1 ФЗ-152 — лицо должно реально организовывать обработку: знать состав ПДн, отвечать на запросы субъектов, контролировать соблюдение политики. Альтернатива — DPO-аутсорсинг: функция передаётся внешнему исполнителю по договору.

2. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление в реестре РКН (Приказ РКН №180), политику обработки ПДн по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного, согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025), договоры-поручения с обработчиками по п. 3 ст. 6 ФЗ-152, журнал учёта обращений субъектов. Отсутствие политики фиксируется по ч. 3 ст. 13.11 КоАП (штраф до 60 000 ₽).

3. Как составить политику обработки ПДн?

Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: категории ПДн, цели обработки, правовые основания, порядок реализации прав субъектов, сведения о трансграничной передаче, сроки хранения, меры защиты. Публикация на сайте обязательна для операторов, собирающих ПДн через интернет. Шаблон из открытых источников, как правило, не учитывает специфику деятельности и актуальные изменения — использование без адаптации создаёт риски.

4. Можно ли использовать шаблон политики из интернета?

Формально закон не запрещает использование шаблонов, но на практике типовой шаблон не учитывает конкретные категории ПДн, цели обработки и правовые основания, характерные для вашей деятельности. РКН при проверке анализирует содержательное соответствие политики фактической обработке. Несоответствие — основание для протокола по ч. 1 ст. 13.11 КоАП (до 300 000 ₽). Политику необходимо адаптировать под конкретного оператора.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн по ст. 9 ФЗ-152 оформляется отдельным документом — не включается в текст договора, оферты или политики. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн и действий, срок, способ отзыва. Ранее полученные согласия, соответствующие требованиям старой редакции, переоформлять не требуется — обратной силы норма не имеет.

Итог

Совмещение функции ответственного по ст. 22.1 ФЗ-152 с другой должностью законно и применяется в большинстве компаний среднего бизнеса. Риск возникает не при самом совмещении, а при формальном назначении без актуализации ОРД и реального исполнения обязанностей. Альтернатива внутреннему назначению — DPO-аутсорсинг: функция передаётся по договору, ответственный в реестре РКН указан корректно, ОРД актуален.

Практика DATUM по назначению ответственных и формированию ОРД охватывает операторов из торговли, IT, медицины и финансового сектора. Юристы сопровождали проверки РКН и помогали устранять нарушения до вынесения протоколов.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ФЗ-420 от 30.11.2024), защита от оборотных штрафов с 30.05.2025.