Требования к ответственному по 152-ФЗ
С 01.09.2025 требования к оформлению согласий изменились: по ФЗ-156 от 24.06.2025 согласие на обработку персональных данных оформляется отдельным документом и не может быть частью трудового договора, оферты или политики конфиденциальности. Ответственный по ст. 22.1 обязан отслеживать такие изменения и своевременно обновлять пакет ОРД. В этом материале — что закон требует от ответственного, какие документы он обязан обеспечить и как DATUM помогает выстроить эту функцию.
Кому подходит сопровождение и кто такой ответственный по ст. 22.1 ФЗ-152?
Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Это не должность в штатном расписании, а функция: обеспечить соблюдение закона, организовать обучение сотрудников и взаимодействие с Роскомнадзором.
Закон не устанавливает обязательного профессионального стандарта или уровня образования для ответственного. Однако ч. 4 ст. 22.1 требует, чтобы лицо имело достаточные знания в области защиты персональных данных. На практике РКН проверяет факт назначения приказом, наличие должностной инструкции и реальную осведомлённость назначенного лица о требованиях закона.
Услуга DATUM — DPO-аутсорсинг — позволяет передать функцию ответственного по ст. 22.1 внешнему юристу. Это актуально для компаний, у которых нет штатного специалиста нужной квалификации, или когда юрист хочет обеспечить независимость функции от операционного менеджмента.
Нужно назначить ответственного или передать функцию на аутсорсинг?
Если у компании нет назначенного ответственного по ст. 22.1 или действующий сотрудник не обеспечивает актуальность ОРД — каждая проверка РКН превращается в риск штрафа по нескольким частям ст. 13.11 КоАП. Юристы DATUM возьмут функцию ответственного на абонентское обслуживание: ответы на запросы субъектов, актуализация политики и согласий, взаимодействие с РКН.
Подключить DPO-аутсорс+7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие обязанности возлагает закон на ответственного по ст. 22.1?
Ответственный организует исполнение требований ФЗ-152 внутри компании. Закон выделяет несколько направлений его работы.
Первое — обеспечение политики обработки персональных данных. По ст. 18.1 ФЗ-152 оператор обязан опубликовать политику и предоставить её субъектам по запросу. Ответственный отвечает за её содержание, актуальность и доступность. Политика должна включать сведения о целях, правовых основаниях, категориях ПДн, сроках хранения и порядке уничтожения.
Второе — работа с согласиями субъектов. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом. Ответственный обязан обеспечить, чтобы все новые согласия соответствовали требованиям ст. 9 ФЗ-152: содержали ФИО субъекта, цель, перечень ПДн и действий, срок, способ отзыва.
Третье — уведомление РКН. По ст. 22 ФЗ-152 оператор уведомляет регулятора о намерении обрабатывать ПДн через форму по Приказу РКН №180 от 28.10.2022. Ответственный отслеживает актуальность сведений в реестре и подаёт уведомления об изменениях.
Что входит в пакет ОРД и какие типовые ситуации приводят к нарушениям?
Полный пакет организационно-распорядительной документации включает около 38 документов. Ответственный по ст. 22.1 должен обеспечить их наличие, актуальность и соответствие реальной обработке.
Ключевые документы, которые проверяет РКН
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
- Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1
- Согласия субъектов в формате отдельного документа по ст. 9 ФЗ-152 (в ред. ФЗ-156 с 01.09.2025)
- Уведомление в реестре РКН по ст. 22 ФЗ-152 с актуальными сведениями
- Регламент реагирования на запросы субъектов и инциденты с ПДн
Типовые нарушения разбираются на трёх ситуациях.
Ситуация 1. Политика конфиденциальности скопирована из интернета и не отражает реальную обработку. РКН при проверке сравнивает декларируемые цели с фактической инфраструктурой. Если в политике указаны три цели, а в CRM обрабатываются данные для ещё пяти — это ч. 1 ст. 13.11 КоАП (обработка несовместимая с заявленными целями, штраф 150 000–300 000 ₽). Стратегия: проводить аудит до проверки, актуализировать политику и уведомление в реестре.
Ситуация 2. Согласия работников включены в текст трудового договора — практика, которая до 01.09.2025 была распространена. После вступления в силу ФЗ-156 такой формат не соответствует ст. 9 ФЗ-152. Ответственный по ст. 22.1 обязан организовать переоформление для новых работников. Стратегия: разработать отдельную форму согласия, включить её в процедуру онбординга.
Ситуация 3. Уведомление в реестре РКН подано три года назад и не обновлялось, хотя компания запустила новый продукт, добавила новые категории ПДн и подключила облачного подрядчика. Неактуальность уведомления — нарушение ст. 22 ФЗ-152, штраф по ч. 10 ст. 13.11 КоАП 100 000–300 000 ₽. Стратегия: ответственный ведёт реестр изменений обработки и подаёт уведомления об изменениях через pd.rkn.gov.ru.
Если вы юрист и проверяете ОРД компании — 10 рабочих дней остаётся на ответ субъекту по ст. 20 ФЗ-152, а при отсутствии политики РКН вправе возбудить дело по ч. 3 ст. 13.11 немедленно после проверки сайта. Юристы DATUM проведут аудит ОРД и закроют пробелы.
Заказать аудит 152-ФЗКак DATUM организует функцию ответственного по ст. 22.1?
Работа строится в пять этапов.
Шаг 1. Диагностика. Юрист DATUM проверяет текущее состояние ОРД по чек-листу из 38 пунктов: наличие приказа о назначении, актуальность уведомления в реестре РКН, соответствие политики реальной обработке, формат согласий.
Шаг 2. Разработка документов. Подготавливаются недостающие и актуализируются устаревшие документы: политика обработки ПДн, согласия по ст. 9 в новом формате, приказы, регламенты, журналы учёта.
Шаг 3. Уведомление РКН. При необходимости подаётся первичное уведомление или уведомление об изменении сведений по Приказу РКН №180 через pd.rkn.gov.ru.
Шаг 4. Абонентское сопровождение. Юрист DATUM в роли ответственного по ст. 22.1 отвечает на запросы субъектов в сроки, установленные ст. 20 ФЗ-152 (10 рабочих дней), отслеживает изменения законодательства и обновляет ОРД.
Шаг 5. Поддержка при проверках. При плановой или внеплановой проверке РКН юрист сопровождает процедуру, готовит ответы на запросы инспектора, при необходимости обжалует предписание.
Стоимость. DPO-аутсорсинг — от 30 000 ₽ в месяц. Разовый аудит ОРД с подготовкой документов — от 45 000 ₽ (комплект ОРД) или от 100 000 ₽ (полный аудит соответствия 152-ФЗ).
Услуги DATUM по теме
- DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании
- Комплект ОРД под ключ — 38 документов для оператора ПДн с нуля
- Аудит соответствия 152-ФЗ — проверка и приоритизированный план устранения нарушений
Частые вопросы
1. Какие документы должны быть у оператора ПДн?
Минимальный пакет включает: приказ о назначении ответственного по ст. 22.1 ФЗ-152, политику обработки персональных данных по ст. 18.1, согласия субъектов по ст. 9 (с 01.09.2025 — отдельный документ по ФЗ-156), уведомление в реестре РКН по ст. 22, регламент обработки обращений субъектов, договоры с подрядчиками-обработчиками (поручение по п. 3 ст. 6 ФЗ-152) и журнал учёта инцидентов. Полный перечень — около 38 документов.
2. Как составить политику обработки ПДн?
Политика должна содержать разделы, предусмотренные ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6, категории субъектов и ПДн, порядок и сроки хранения, порядок уничтожения, сведения о трансграничной передаче при её наличии, перечень лиц, осуществляющих обработку по поручению. Использовать шаблоны из интернета без адаптации нельзя: при проверке РКН сравнивает содержание политики с реальной инфраструктурой. Несоответствие — состав ч. 1 ст. 13.11 КоАП.
3. Кого назначить ответственным по ст. 22.1?
Закон не требует специального образования, но назначенное лицо должно знать требования ФЗ-152 на уровне, достаточном для организации обработки (ч. 4 ст. 22.1). На практике назначают юриста, сотрудника ИБ или DPO. Альтернатива — передать функцию внешнему юристу по договору аутсорсинга: такой формат допускается законом и снимает нагрузку с внутреннего персонала.
4. Можно ли использовать шаблон политики из интернета?
Шаблон можно использовать как основу, но не как готовый документ. Политика должна отражать реальную обработку конкретного оператора: фактические цели, используемые системы, категории субъектов. Типовой шаблон не учитывает отраслевую специфику и нередко содержит устаревшие нормы. РКН проверяет соответствие политики фактической деятельности, а не наличие документа как такового.
5. Какие согласия нужны после 01.09.2025?
С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие на обработку ПДн оформляется отдельным документом — не включается в трудовой договор, оферту или политику. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок согласия, способ отзыва. Ранее полученные согласия переоформлять не обязательно — обратной силы у ФЗ-156 нет. Новые — только по новым требованиям.
Итог
Ответственный по ст. 22.1 ФЗ-152 — не формальная должность, а работающая функция: актуальная ОРД, корректные согласия, своевременные уведомления РКН. Без неё любая проверка Роскомнадзора превращается в протокол по нескольким частям ст. 13.11 КоАП.
DATUM сопровождает операторов по 152-ФЗ с 2014 года в рамках практики «Ветров и партнёры»: от разработки ОРД до аутсорсинга функции DPO и защиты в арбитраже при штрафах.
13 января 2027 года