справочник 28 февраля 2027 По состоянию на 28 февраля 2027

Уполномоченный по ПДн по ст. 22.1 vs DPO в GDPR

Уполномоченный по ПДн по ст. 22.1 ФЗ-152 — это лицо, назначаемое оператором-юрлицом для организации обработки персональных данных внутри компании. DPO (Data Protection Officer) по GDPR — независимый эксперт с публичным статусом, обязательный при определённых условиях обработки.

Институты внешне похожи, но различаются по правовому статусу, требованиям к квалификации, ответственности и роли в проверках регулятора. Путаница между ними создаёт пробелы в документах и риски по ст. 13.11 КоАП.

→ Если вы юрист и выстраиваете систему защиты ПДн — разграничение этих ролей напрямую влияет на объём ОРД и позицию компании при проверке РКН.

С 30.05.2025 ст. 13.11 КоАП насчитывает 18 частей, оборотный штраф по ч. 15 достигает 500 млн ₽. В этом контексте правильное назначение ответственного лица — не формальность, а элемент защитной стратегии. Ниже — разбор двух институтов по ключевым параметрам.

Что такое уполномоченный по ПДн по ст. 22.1 ФЗ-152?

Статья 22.1 ФЗ-152 обязывает каждого оператора (по ст. 3 ФЗ-152 — лицо, организующее или осуществляющее обработку персональных данных) назначить лицо, ответственное за организацию обработки ПДн. Это касается только юридических лиц и индивидуальных предпринимателей; физические лица, обрабатывающие ПДн в личных целях, под норму не подпадают.

Ключевые требования ч. 4 ст. 22.1:

Лицо назначается приказом руководителя.
Получает инструктаж по 152-ФЗ и локальным актам оператора.
Взаимодействует с РКН при проверках и запросах.
Отвечает субъектам на запросы по ст. 14–20 ФЗ-152 (срок — 10 рабочих дней с возможностью продления на 5).

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн. Требования к назначению и полномочиям — ч. 3 и ч. 4 той же статьи.»

Уполномоченный — это штатный сотрудник или аутсорсер; закон не запрещает аутсорсинг функции. Ответственность перед РКН при этом остаётся за оператором ПДн, а не за конкретным физическим лицом.

Что такое DPO по GDPR и чем он отличается?

DPO (ст. 37–39 GDPR) — институт ЕС. Он обязателен при трёх условиях: обработка публичным органом, систематический мониторинг физлиц в крупном масштабе или специальные категории ПДн в крупном масштабе. В остальных случаях назначение добровольное. Принципиальные отличия от российского уполномоченного:

Независимость. DPO не может получать указания по вопросам своей задачи (ст. 38 GDPR). Уволить его за исполнение обязанностей нельзя. Российский уполномоченный — штатная роль без гарантий независимости.
Публичность. Контактные данные DPO публикуются и передаются регулятору (надзорному органу). Уполномоченный по ст. 22.1 не обязан раскрываться публично.
Квалификационные требования. GDPR требует «экспертных знаний в области права и практики защиты данных» (ст. 37 ч. 5). ФЗ-152 требует лишь инструктажа — без формальных квалификационных барьеров.
Роль при расследованиях. DPO — первая точка контакта с надзорным органом; он участвует в оценке воздействия (DPIA). Российский уполномоченный взаимодействует с РКН, но DPIA в ФЗ-152 прямо не закреплена как обязанность (хотя РКН рекомендует её проводить).
Личная ответственность. По 152-ФЗ административная ответственность — на операторе-юрлице (ст. 13.11 КоАП). Уголовная ответственность по ст. 272.1 УК (с 11.12.2024) — на конкретном физическом лице, виновном в незаконных действиях с ПДн, независимо от должности.

«Ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024) — незаконные сбор, хранение, передача, использование компьютерной информации с ПДн. Максимальная санкция по ч. 5 — лишение свободы до 10 лет.»

Юрист проверяет систему ПДн — с чего начать?

Назначение уполномоченного — первый шаг. Но без комплекта ОРД (политика, согласия, приказы, журналы) одна подпись в приказе не закрывает риски по ст. 13.11 КоАП. Аудит DATUM выявит пробелы по 38 контрольным точкам и выдаст приоритизированный план устранения. Срок включения оператора в реестр РКН после уведомления — 30 дней; задержка создаёт риск по ч. 10 ст. 13.11 (100–300 тыс. ₽).

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Как соотносятся принципы обработки ПДн в 152-ФЗ и GDPR?

Оба режима строятся на схожих принципах обработки — законность, целевое ограничение, минимизация данных — но формулируют их по-разному. Ст. 5 ФЗ-152 закрепляет 7 принципов, GDPR (ст. 5) — 6. Расхождения практически значимы для юриста:

Правовые основания (правовые основания обработки). Ст. 6 ФЗ-152 — 11 оснований; GDPR ст. 6 — 6. В ФЗ-152 согласие субъекта (субъект ПДн) по ст. 9 — одно из оснований, не приоритетное. В GDPR согласие технически равно другим основаниям, но на практике регуляторы ЕС требуют его там, где есть иное подходящее основание.
Специальные категории. Ст. 10 ФЗ-152 и ст. 9 GDPR во многом совпадают по составу (здоровье, биометрия, религия, политика). Но GDPR добавляет генетические данные отдельно; ФЗ-152 включает их в биометрические по ст. 11.
Категории ПДн в российском праве. ФЗ-152 делит ПДн на: общедоступные, специальные (ст. 10), биометрические (ст. 11) и «иные». GDPR не использует деление «иные» — все данные по умолчанию под защитой; специальные — с усиленным режимом.

Для компании, работающей одновременно под 152-ФЗ и GDPR (трансграничная передача, европейские пользователи), уполномоченный и DPO могут совмещаться в одном лице — но только при соблюдении требований независимости GDPR.

Типовые ситуации: когда различие между институтами создаёт риск

Ситуация 1. Уполномоченный назначен, но не проинструктирован. Оператор подаёт уведомление в РКН по ст. 22 ФЗ-152, указывает ответственное лицо. При проверке инспектор запрашивает приказ и журнал инструктажа. Журнала нет. Результат — нарушение ч. 4 ст. 22.1 фиксируется как основание для предписания; при повторном нарушении — штраф по ч. 1.1 ст. 13.11 (300–500 тыс. ₽).

Ситуация 2. Компания совмещает роли в одном лице — и нарушает GDPR. Юрист назначен уполномоченным по ст. 22.1 и одновременно выполняет роль DPO для европейских пользователей. Директор даёт ему указания по вопросам обработки ПДн в ЕС. Надзорный орган ЕС фиксирует нарушение независимости DPO (ст. 38 ч. 3 GDPR). Штраф — до 10 млн евро или 2% оборота.

Ситуация 3. DPO-аутсорсинг без поручения на обработку. Компания передаёт функцию ответственного внешнему консультанту, но не оформляет договор-поручение по ст. 6 ч. 3 ФЗ-152. Консультант получает доступ к базам ПДн. Это квалифицируется как передача ПДн третьему лицу без правового основания — риск по ч. 1 ст. 13.11 (150–300 тыс. ₽) и потенциально по ч. 2 (300–700 тыс. ₽) при отсутствии согласия субъектов.

Если в компании уполномоченный совмещает роли или функция передана аутсорсеру без поручения — риски реальны. DATUM собирает пакет ОРД под ключ и оформляет аутсорсинг функции ответственного в соответствии с ч. 3 ст. 6 ФЗ-152.

Собрать ОРД под ключ

Что проверить при назначении уполномоченного по ст. 22.1

Приказ о назначении с указанием полномочий подписан руководителем.
Журнал инструктажа по 152-ФЗ и внутренним регламентам заполнен и подписан назначенным лицом.
Уведомление в РКН по ст. 22 содержит актуальные данные ответственного лица.
Если функция передана аутсорсеру — договор-поручение оформлен по ч. 3 ст. 6 ФЗ-152 с закреплением обязанностей обработчика.
При параллельном действии GDPR — проверена независимость DPO и отсутствие конфликта интересов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка 38 контрольных точек, включая назначение и полномочия уполномоченного
Комплект ОРД под ключ — политика, приказы, согласия, журналы, договор-поручение
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Автоматизированная или частично автоматизированная обработка — не принципиально; неавтоматизированная также подпадает под закон при включении данных в картотеки и базы.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 закрепляет 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), выполнение оператором обязанностей по законодательству (п. 2). Согласие — не единственное и не приоритетное основание; при наличии иного достаточного основания собирать согласие не обязательно.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность — по ст. 13.11 КоАП (18 частей в редакции с 30.05.2025). Штрафы для юрлиц — от 30 тыс. ₽ за отсутствие политики обработки (ч. 3) до 10–15 млн ₽ за утечку более 100 000 субъектов (ч. 14). При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽, не более 500 млн ₽. Уголовная ответственность — по ст. 272.1 УК (с 11.12.2024), до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 — да, любой оператор обязан уведомить РКН до начала обработки. Исключения перечислены в ч. 2 ст. 22: обработка исключительно в рамках трудовых отношений, для исполнения договора с субъектом, обработка без использования средств автоматизации ряда категорий. Размер бизнеса значения не имеет. Отсутствие уведомления при отсутствии оснований для исключения — нарушение по ч. 10 ст. 13.11 (100–300 тыс. ₽ для юрлица).

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 прямо не устанавливает возрастной порог дееспособности для согласия на обработку ПДн. По общей норме ГК РФ полная дееспособность — с 18 лет; в возрасте 14–18 лет ряд действий требует согласия родителей. На практике для обработки ПДн несовершеннолетних до 14 лет согласие дают законные представители. GDPR закрепляет порог прямо (13–16 лет в зависимости от страны ЕС); в ФЗ-152 аналогичной нормы нет — применяются общие положения ГК.

Итог

Уполномоченный по ст. 22.1 ФЗ-152 и DPO по GDPR — разные институты по правовой природе, требованиям к независимости и публичному статусу. Совмещение ролей возможно, но требует аккуратного разграничения обязанностей и соблюдения требований независимости GDPR. Ошибки в оформлении аутсорсинга функции создают риски по ст. 13.11 КоАП и ст. 272.1 УК.

DATUM сопровождает назначение уполномоченного и выстраивание системы ОРД для операторов, работающих под 152-ФЗ и GDPR одновременно.

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM по защите персональных данных в HR. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), обработка через КЭДО, биометрия в СКУД, передача в зарплатных проектах. Сопровождение проверок РКН в HR-департаментах.

28 февраля 2027 года