услуга 27 февраля 2027 По состоянию на 27 февраля 2027

Зарплата ответственного по 22.1: рынок 2026

Ответственный за организацию обработки ПДн по ст. 22.1 ФЗ-152 — обязательная должность в штате или на аутсорсинге. Без неё оператор нарушает закон.

В 2026 году рынок зарплат по этой позиции расширился: от 80 000 ₽ для совмещающего юриста до 250 000 ₽ для выделенного DPO в крупном бизнесе. Разрыв объясняется объёмом задач и ответственностью по ст. 13.11 КоАП.

Если вы юрист, которому поручили функцию ответственного, — проверьте, оформлен ли приказ по ст. 22.1, есть ли политика по ст. 18.1 и согласия по ст. 9 в редакции с 01.09.2025. Иначе ответственность ляжет на вас.

Ст. 22.1 ФЗ-152 обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки персональных данных. Рынок 2026 года показывает: компании либо нагружают этим действующего юриста, либо нанимают отдельного специалиста, либо передают функцию на аутсорс. У каждого варианта — своя стоимость, свой объём задач и свои риски при проверке Роскомнадзора.

Кому подходит функция ответственного по ст. 22.1 и что она включает?

Закон не требует отдельной штатной единицы — ответственным может быть назначен действующий сотрудник. На практике чаще всего это юрист, HR-директор или руководитель ИБ. Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации: лицо должно понимать требования закона и иметь полномочия для их реализации.

Функция включает: контроль соответствия обработки ПДн требованиям ФЗ-152, поддержание политики конфиденциальности в актуальном состоянии по ч. 2 ст. 18.1, организацию ознакомления работников с локальными актами, взаимодействие с Роскомнадзором при проверках и уведомлениях по ст. 22, ведение реестра обращений субъектов по ст. 20. С 01.09.2025 добавилась обязанность контролировать, что согласия на обработку оформляются отдельным документом по требованиям ФЗ-156 от 24.06.2025.

«Ст. 22.1 ФЗ-152 — оператор, являющийся юридическим лицом, назначает лицо, ответственное за организацию обработки персональных данных. Ч. 4 устанавливает требования к квалификации такого лица.»

Нужен ответственный по ст. 22.1 без штатной единицы?

Если юрист совмещает функцию ответственного с основными обязанностями — задачи по 152-ФЗ накапливаются и не выполняются в срок. При проверке РКН это фиксируется как нарушение. Юристы DATUM возьмут функцию DPO на абонентское обслуживание: ответы на запросы субъектов, поддержание ОРД, взаимодействие с регулятором.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что делаем: состав работ DATUM по функции ответственного

DATUM берёт на себя весь комплекс задач ответственного по ст. 22.1 в рамках DPO-аутсорсинга. Работы выполняются по фиксированному регламенту с ежемесячной отчётностью.

Шаг 1. Аудит текущего состояния. Проверяем наличие и актуальность уведомления в реестре РКН по ст. 22, состав ОРД, соответствие согласий требованиям ФЗ-156 от 24.06.2025.
Шаг 2. Оформление назначения. Готовим приказ о назначении ответственного по ст. 22.1, должностную инструкцию, положение об обработке ПДн.
Шаг 3. Поддержание политики. Актуализируем политику конфиденциальности по ч. 2 ст. 18.1, политику обработки ПДн работников, перечень обрабатываемых ПДн.
Шаг 4. Работа с субъектами. Принимаем и обрабатываем запросы субъектов в срок 10 рабочих дней по ст. 20 ФЗ-152, ведём журнал обращений.
Шаг 5. Сопровождение РКН. Взаимодействуем с Роскомнадзором при плановых и внеплановых проверках, обновляем уведомление при изменении состава обработки по Приказу РКН №180.

Типовые ситуации: когда без ответственного по 22.1 возникают проблемы

Ситуация 1. Проверка РКН — нет приказа о назначении. Инспектор запрашивает приказ о назначении ответственного и политику обработки ПДн. Документов нет или они датированы 2019 годом. РКН составляет протокол по ч. 3 ст. 13.11 КоАП (штраф 30 000–60 000 ₽ за отсутствие политики) и направляет предписание. Стратегия: подготовить весь пакет ОРД до проверки, не после.

Ситуация 2. Запрос субъекта — ответа нет 15 рабочих дней. Работник запросил информацию об обработке своих ПДн. Ответственный не назначен, запрос проигнорирован. По ст. 20 ФЗ-152 срок — 10 рабочих дней с возможностью продления на 5. Превышение срока — нарушение ч. 4 ст. 13.11 (штраф 40 000–80 000 ₽). Исход: жалоба в РКН, внеплановая проверка.

Ситуация 3. Согласия работников в трудовом договоре после 01.09.2025. С 01.09.2025 согласие на обработку ПДн не может быть частью другого документа — только отдельный документ (ФЗ-156 от 24.06.2025). Юрист компании не отследил изменение. При проверке — нарушение ч. 2 ст. 13.11 (штраф 300 000–700 000 ₽). Стратегия: ввести отдельные формы согласий до даты проверки.

Если вы юрист и ведёте функцию ответственного самостоятельно — проверьте, актуализированы ли согласия после 01.09.2025 и соответствует ли политика требованиям ч. 2 ст. 18.1 ФЗ-152. Иначе при проверке вопросы будут к вам лично.

Подключить DPO-аутсорс

Рынок 2026: сколько стоит ответственный по ст. 22.1?

Ниже — диапазоны рынка труда и аутсорса по состоянию на 2026 год. Стоимость зависит от размера компании, объёма обрабатываемых ПДн и наличия специальных категорий по ст. 10 ФЗ-152.

Три формата и их стоимость

Совмещение (действующий сотрудник): доплата 10 000–30 000 ₽/мес к окладу; применимо для малого и среднего бизнеса без сложных категорий ПДн; риск — задачи выполняются по остаточному принципу.
Штатный специалист: оклад 120 000–250 000 ₽/мес в Москве, 80 000–160 000 ₽/мес в регионах; обоснован при объёме >50 000 субъектов или наличии спецкатегорий; требует отдельного бюджета на обучение и сертификацию.
DPO-аутсорсинг (DATUM): от 30 000 ₽/мес; включает функцию ответственного по ст. 22.1, поддержание ОРД, ответы субъектам, взаимодействие с РКН; выгоднее штатной единицы при объёме до 100 000 субъектов.

Экономика вопроса: стоимость DPO-аутсорсинга за год — 360 000–600 000 ₽. Штраф за одно нарушение ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽. Повторное нарушение по ч. 2.1 — 1 000 000–1 500 000 ₽. Арифметика не в пользу экономии на функции.

Кейс. Производственная компания Сибирского ФО (середина 2025 года) доверила функцию ответственного по ст. 22.1 главному юристу без доплаты и без передачи полномочий. При внеплановой проверке РКН инспектор зафиксировал: политика не опубликована, согласия работников — вкладыш в трудовой договор, реестр уведомлений устарел. Компания получила три протокола по ст. 13.11. Суммарная нагрузка по штрафам составила несколько сотен тысяч рублей. После подключения DATUM DPO-аутсорсинга пакет ОРД был восстановлен за 3 недели, предписание исполнено в срок.

Услуги DATUM по теме

DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании от 30 000 ₽/мес.
Комплект ОРД под ключ — политика, согласия, приказы, журналы по актуальным требованиям ФЗ-152.
Аудит соответствия 152-ФЗ — проверка 38 пунктов, отчёт с планом устранения нарушений от 100 000 ₽.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Минимальный пакет включает: уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн с разделами по ч. 2 ст. 18.1, приказ о назначении ответственного по ст. 22.1, согласия субъектов по ст. 9 (с 01.09.2025 — отдельный документ), приказ об установлении уровня защищённости по ПП РФ №1119, журнал учёта обращений субъектов. Полный пакет ОРД насчитывает около 38 документов.

2. Как составить политику обработки ПДн?

Политика должна содержать обязательные разделы по ч. 2 ст. 18.1 ФЗ-152: цели обработки, правовые основания по ст. 6 и ст. 9, категории обрабатываемых ПДн, порядок и условия обработки, сроки хранения, меры защиты, порядок реализации прав субъектов. Политика публикуется в открытом доступе — на сайте или на информационном стенде. Использовать шаблон из интернета без адаптации под реальные процессы компании — риск: при проверке РКН содержание политики сверяется с фактической обработкой.

3. Кого назначить ответственным по ст. 22.1?

Закон не ограничивает выбор должности. Требования ч. 4 ст. 22.1 ФЗ-152 — квалификация, достаточная для реализации требований закона. На практике: юрист, HR-директор, руководитель ИБ или внешний аутсорсер. Ключевое условие — наличие приказа о назначении с перечнем полномочий и фактическое выполнение функции, а не только формальное оформление.

4. Можно ли использовать шаблон политики из интернета?

Можно как основу, но нельзя без адаптации. РКН при проверке сопоставляет содержание политики с фактическими системами обработки, перечнем третьих лиц, которым передаются ПДн, и составом согласий. Шаблон, не отражающий реальные процессы компании, фиксируется как формальное нарушение ч. 2 ст. 18.1 ФЗ-152 даже при наличии документа.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется только отдельным документом — не вкладышем в трудовой договор, оферту или иной документ (ФЗ-156 от 24.06.2025, изменения в ч. 1 ст. 9 ФЗ-152). Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Ранее подписанные согласия переоформлять не требуется — обратной силы поправки не имеют, но новые согласия с 01.09.2025 — только по новым требованиям.

Итог

Назначение ответственного по ст. 22.1 ФЗ-152 — не формальность, а точка входа для РКН при любой проверке. Отсутствие приказа, устаревшая политика или согласия в трудовом договоре после 01.09.2025 превращаются в протоколы по ст. 13.11 КоАП с штрафами от 30 000 до 700 000 ₽ за каждое нарушение.

DATUM ведёт функцию ответственного в формате DPO-аутсорсинга с 2014 года: поддержание ОРД, работа с субъектами, взаимодействие с РКН. Стоимость — от 30 000 ₽/мес, что дешевле одного штрафа по ч. 2 ст. 13.11.

ИБ

Игорь Беляев

Партнёр · РКН и арбитраж

Партнёр практики DATUM. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025, подсудность по ФЗ-508.