услуга 8 апреля 2027 По состоянию на 8 апреля 2027

Стандарт ISO/IEC 27701 как референс

ISO/IEC 27701 — международное расширение к ISMS, которое описывает систему управления конфиденциальностью (PIMS). Российский оператор ПДн вправе использовать его как структурный референс при построении ОРД под 152-ФЗ.

Стандарт не заменяет требования ст. 18.1, 22, 22.1 ФЗ-152 и Приказа РКН №180, но закрывает пробелы в документировании: роли, реестры обработки, оценка рисков, управление инцидентами. Отсутствие хотя бы одного обязательного документа — основание для штрафа по ст. 13.11 КоАП в редакции с 30.05.2025.

→ Если вы юрист компании и строите документационную базу под 152-ФЗ — ISO/IEC 27701 сократит трудозатраты и снизит риски проверки РКН.

С 30.05.2025 ст. 13.11 КоАП действует в редакции ФЗ-420: 18 частей, оборотный штраф до 500 млн ₽ при повторной утечке. Для юриста, отвечающего за комплаенс оператора, вопрос не «нужен ли пакет ОРД», а «какой стандарт выбрать в качестве скелета». ISO/IEC 27701 даёт готовую таксономию контроля конфиденциальности — её можно наложить на требования ФЗ-152 и получить проверяемый документооборот.

Что такое ISO/IEC 27701 и зачем он нужен оператору ПДн?

ISO/IEC 27701:2019 — расширение к ISO/IEC 27001 и 27002, специально разработанное для управления персональными данными. Стандарт структурирует требования к системе управления конфиденциальностью (PIMS) и вводит роли: контроллер (оператор по терминологии ФЗ-152) и процессор (лицо, осуществляющее обработку по поручению, ст. 6 ФЗ-152).

Для российского оператора стандарт интересен не как сертификационная цель, а как методологическая рамка. Он описывает, какие политики, реестры и процедуры должны существовать — и это пересекается с перечнем из ст. 18.1 ФЗ-152 более чем на 80%. Разделы стандарта, посвящённые оценке рисков конфиденциальности, напрямую применимы при подготовке DPIA.

«Ст. 18.1 ФЗ-152 обязывает оператора принять документы, определяющие политику обработки ПДн, назначить ответственного, проводить внутренний контроль соответствия. ISO/IEC 27701 содержит детальные требования к каждому из этих элементов.»

Какие документы обязан иметь оператор по российскому праву?

Минимальный пакет ОРД формируется из трёх источников: ФЗ-152, Приказ РКН №180 от 28.10.2022 (уведомление) и Приказ ФСТЭК №21 (технические меры). В совокупности получается перечень из порядка 38 документов для типового оператора.

Базовый состав ОРД оператора ПДн

Политика обработки ПДн — опубликована в открытом доступе (ст. 18.1 ФЗ-152, ч. 2); отсутствие — штраф по ч. 3 ст. 13.11 до 60 000 ₽.
Согласие субъекта — отдельный документ с 01.09.2025 (ФЗ-156 от 24.06.2025, ст. 9 ФЗ-152); нарушение состава — штраф по ч. 2 ст. 13.11 до 700 000 ₽.
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152); отсутствие фиксирует РКН при первом запросе.
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152, форма Приказ №180); неподача — штраф по ч. 10 ст. 13.11 до 300 000 ₽.
Регламент реагирования на инциденты с ПДн — основа для уведомления в 24 часа по ч. 3.1 ст. 21 ФЗ-152.

Пакет ОРД ещё не собран или требует актуализации под 2025 год?

Если юрист компании работает с разрозненными шаблонами из открытых источников — риск пропустить обязательный документ или не учесть изменения ФЗ-156 от 24.06.2025 и ФЗ-420 от 30.11.2024 остаётся высоким. Юристы DATUM соберут полный пакет ОРД под ключ и встроят в него структуру контролей ISO/IEC 27701.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как ISO/IEC 27701 соотносится с требованиями ст. 18.1 и 22.1 ФЗ-152?

Стандарт организован вокруг жизненного цикла данных: сбор → обработка → хранение → уничтожение. Ст. 18.1 ФЗ-152 требует того же — документировать каждый этап и назначить ответственного по ст. 22.1. ISO/IEC 27701 добавляет к этому требования к реестрам обработки (аналог внутреннего перечня ИСПДн), к оценке законных оснований обработки (ст. 6 ФЗ-152) и к управлению поручениями третьим лицам.

Ключевое расхождение: стандарт не требует уведомления регулятора в специфической форме — это сугубо национальная процедура по ст. 22 ФЗ-152 и Приказу РКН №180. Поэтому использование ISO/IEC 27701 как референса требует надстройки национальных требований поверх международной рамки, а не замены одного другим.

Для назначения ответственного по ст. 22.1 стандарт предлагает описание компетенций роли DPO (Data Protection Officer) — это полезно при формировании должностной инструкции или при переходе на DPO-аутсорсинг.

Какие согласия нужны после 01.09.2025 и как это влияет на ОРД?

С 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом: оно не может быть частью трудового договора, оферты, политики конфиденциальности или иного смешанного документа (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Ранее полученные согласия, включённые в другие документы, не требуют принудительного переоформления — обратной силы норма не имеет.

Для юриста это означает ревизию всех форм на сайте, в мобильном приложении, в HR-документации. ISO/IEC 27701 описывает процедуру управления согласиями (consent management) как отдельный контрол — с фиксацией момента получения, возможностью отзыва и хранением доказательств.

Если юрист компании получил запрос РКН или готовится к плановой проверке — набор документов ОРД и актуальность согласий будут первыми предметами проверки. DATUM подключается на любой стадии: от аудита существующих документов до сопровождения инспектора.

Подключить DPO-аутсорс

Как применяется ISO/IEC 27701 на практике: два сценария

Сценарий 1. Производственная компания, Сибирский ФО, осень 2025. Юрист выявил, что политика конфиденциальности на сайте последний раз обновлялась в 2020 году и не отражает обработку данных через новый CRM. При аудите по структуре ISO/IEC 27701 были выявлены: отсутствие реестра обработок, не актуализированный приказ по ст. 22 ФЗ-152, согласия работников — в приложении к трудовому договору. Комплект ОРД пересобран за четыре недели; уведомление в РКН обновлено через pd.rkn.gov.ru. Проверка РКН, инициированная по жалобе субъекта через два месяца, завершилась без штрафных санкций.

Сценарий 2. IT-компания, Центральный ФО, начало 2026. Компания передаёт данные аналитики зарубежному SaaS-провайдеру. Юрист на основе раздела ISO/IEC 27701 о трансграничных передачах установил обязательность уведомления РКН по ст. 12 ФЗ-152. Уведомление не было подано с момента начала передачи. После консультации с DATUM подготовлено ретроактивное уведомление, заключено соглашение с обработчиком. Административное производство, возбуждённое РКН, прекращено с учётом добровольного устранения нарушения.

Услуги DATUM по теме

Комплект ОРД под ключ — полный пакет документов оператора ПДн под 152-ФЗ
Аудит соответствия 152-ФЗ — проверка документации и процессов по чек-листу из 38 пунктов
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный состав определяется ст. 18.1 ФЗ-152 и включает: политику обработки ПДн (опубликованную), приказ о назначении ответственного по ст. 22.1, согласия субъектов, уведомление РКН по Приказу №180, регламент реагирования на инциденты. Для операторов с ИСПДн добавляются документы по ПП РФ №1119 и Приказу ФСТЭК №21. Полный перечень для типового оператора — порядка 38 позиций.

2. Как составить политику обработки ПДн?

Содержание политики закреплено в ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания, перечень обрабатываемых категорий, сроки хранения, порядок уничтожения, права субъектов. Использование шаблона без адаптации к реальным процессам компании создаёт риск: политика, не соответствующая фактической обработке, — самостоятельное нарушение по ч. 3 ст. 13.11 КоАП.

3. Кого назначить ответственным по ст. 22.1?

Ст. 22.1 ФЗ-152 требует назначить физическое лицо, ответственное за организацию обработки ПДн. Требований к должности нет — это может быть штатный юрист, сотрудник ИБ или внешний DPO-аутсорсер. Ключевое — зафиксировать назначение приказом и обеспечить фактическое исполнение функций: ответы на запросы субъектов, внутренний контроль, взаимодействие с РКН.

4. Можно ли использовать шаблон политики из интернета?

Шаблон — только отправная точка. Политика должна отражать реальные цели и способы обработки конкретного оператора. РКН при проверке сравнивает текст политики с фактическими данными в ИСПДн и уведомлением по Приказу №180: расхождение фиксируется как нарушение ч. 2 ст. 18.1 ФЗ-152.

5. Какие согласия нужны после 01.09.2025?

После вступления в силу ФЗ-156 от 24.06.2025 согласие по ст. 9 ФЗ-152 — самостоятельный документ. Оно не может быть частью договора, оферты или политики. Обязательные реквизиты: наименование оператора, цель обработки, перечень ПДн, перечень действий, срок и способ отзыва. Нарушение состава согласия — штраф по ч. 2 ст. 13.11 до 700 000 ₽.

Итог

ISO/IEC 27701 — практичный референс для построения документационной системы оператора ПДн: он структурирует контроли там, где российский закон формулирует лишь общие требования. Стандарт не заменяет ФЗ-152, Приказы РКН или ФСТЭК, но позволяет юристу выстроить проверяемую и воспроизводимую систему ОРД.

Практика DATUM по 152-ФЗ включает сборку полного пакета ОРД, аудит соответствия и DPO-аутсорсинг для операторов любого масштаба — от розничных сетей до промышленных холдингов.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП (ред. ФЗ-420), защита от оборотных штрафов с 30.05.2025, подсудность мировым судьям после ФЗ-508.

8 апреля 2027 года