Перейти к содержанию
инструкция 7 октября 2026 По состоянию на 7 октября 2026

Журнал прохождения инструктажа по 152-ФЗ

Журнал прохождения инструктажа по 152-ФЗ — обязательный элемент организационно-распорядительной документации оператора, подтверждающий выполнение требования об ознакомлении работников с нормами обработки персональных данных.
Отсутствие журнала фиксируется при проверке Роскомнадзора как нарушение ст. 18.1 ФЗ-152 и влечёт штраф до 60 000 ₽ по ч. 3 ст. 13.11 КоАП в редакции с 30.05.2025. Если юрист проверяет комплаенс компании — журнал входит в базовый перечень ОРД из 38 документов.
→ Ниже — пошаговая инструкция по составлению, ведению и хранению журнала: от определения ответственного до подготовки к проверке РКН.

С 01.09.2025 требования к ОРД оператора ужесточились: ФЗ-156 от 24.06.2025 обязал оформлять согласия на обработку персональных данных отдельным документом. Параллельно РКН усилил плановые и внеплановые проверки — по итогам 2025 года зафиксировано 118 инцидентов с ПДн. Журнал прохождения инструктажа — не формальность: это доказательство того, что оператор обеспечил осведомлённость персонала, как того требует ч. 1 ст. 18.1 ФЗ-152. В этой инструкции разобраны все шаги — от правового основания до финальной записи в журнал.

Что такое журнал инструктажа по 152-ФЗ и зачем он нужен юристу?

Журнал прохождения инструктажа по 152-ФЗ — это локальный учётный документ оператора персональных данных, в котором фиксируется факт ознакомления конкретного работника с порядком обработки и защиты ПДн. Он не предусмотрен отдельной статьёй ФЗ-152 как самостоятельный документ, но прямо вытекает из обязанностей, установленных ч. 1 ст. 18.1: оператор обязан принимать меры, необходимые для выполнения обязанностей, предусмотренных законом, в том числе знакомить работников, непосредственно осуществляющих обработку, с требованиями законодательства.

«Ст. 18.1 ФЗ-152 — оператор обязан принимать организационные и технические меры по обеспечению безопасности ПДн, включая ознакомление работников с требованиями закона и локальными актами. Ч. 3 ст. 13.11 КоАП (ред. с 30.05.2025) — за неисполнение обязанности по опубликованию/ознакомлению с политикой обработки ПДн штраф для юрлица составляет 30 000 — 60 000 ₽.»

Для юриста, проводящего комплаенс-проверку, отсутствие журнала означает одно: оператор не может документально подтвердить выполнение требований ст. 18.1. РКН при проверке запрашивает журнал в числе первых документов — наряду с политикой конфиденциальности, приказом о назначении ответственного по ст. 22.1 и реестром согласий. Если журнала нет — это основание для протокола.

Шаг 1. Проверьте наличие ответственного по ст. 22.1 ФЗ-152

Прежде чем вести журнал, оператор обязан назначить лицо, ответственное за организацию обработки персональных данных. Это требование ст. 22.1 ФЗ-152: юридическое лицо назначает такого работника приказом. Именно ответственный организует и фиксирует проведение инструктажа, а в некоторых операторах — сам его проводит.

«Ст. 22.1 ФЗ-152 — оператор-юрлицо обязан назначить лицо, ответственное за организацию обработки ПДн. Ч. 4 ст. 22.1 устанавливает требования к квалификации этого лица.»

Проверьте: существует ли приказ о назначении, актуален ли он (сотрудник не уволен, не переведён), соответствует ли должность требованиям квалификации. Если ответственного нет — журнал вести некому, и РКН зафиксирует нарушение по двум основаниям сразу.

Проверяете комплаенс компании по 152-ФЗ?

Если юрист обнаруживает пробелы в ОРД — журнал без ответственного, политика без обязательных разделов, согласия в трудовом договоре — это комплексная проблема, а не точечная. Каждый пробел даёт РКН отдельное основание для протокола. Юристы DATUM проведут аудит ОРД по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений до проверки.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Шаг 2. Определите круг работников, подлежащих инструктажу

Инструктаж проходят все работники, которые непосредственно осуществляют обработку персональных данных. Это не только сотрудники HR и бухгалтерии: к ним относятся операторы колл-центра, менеджеры по продажам, системные администраторы, IT-специалисты с доступом к базам данных, специалисты по маркетингу, работающие с клиентскими данными.

На практике удобно сформировать матрицу доступа: какие подразделения работают с какими категориями ПДн. Это позволяет определить не только круг инструктируемых, но и дифференцировать программу — сотрудники HR получают инструктаж по ст. 9 ФЗ-152 и согласиям, IT-специалисты — по техническим мерам защиты и уровням защищённости по ПП РФ №1119.

Важно: работники, имеющие доступ к специальным категориям ПДн (медицинские данные, биометрия) по ст. 10 и ст. 11 ФЗ-152, проходят расширенный инструктаж с отдельной отметкой в журнале.

Шаг 3. Разработайте программу инструктажа

Программа инструктажа — это документ, определяющий содержание, порядок и периодичность обучения. Она утверждается приказом руководителя. Минимальное содержание программы определяется требованиями ФЗ-152 и Приказа РКН №180 от 28.10.2022 об уведомлении об обработке ПДн.

Базовые блоки программы:

  • Основные понятия и принципы обработки ПДн по ст. 3 и ст. 5 ФЗ-152.
  • Правовые основания обработки по ст. 6 ФЗ-152 — какие основания применяет оператор.
  • Требования к согласию субъекта по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156 от 24.06.2025): согласие — отдельный документ, не объединяется с договором или политикой.
  • Политика конфиденциальности оператора: структура, обязательные разделы по ч. 2 ст. 18.1.
  • Порядок реагирования на запросы субъектов — срок 10 рабочих дней по ст. 20 ФЗ-152.
  • Действия при инциденте с ПДн: уведомление ответственного, 24 часа на уведомление РКН по ч. 3.1 ст. 21 ФЗ-152.
  • Ответственность: ст. 13.11 КоАП, ст. 272.1 УК РФ (введена с 11.12.2024).

Периодичность: первичный инструктаж — при приёме на работу или при изменении круга обязанностей, повторный — не реже одного раза в год. Внеплановый — при изменении законодательства (например, вступление в силу ФЗ-156 с 01.09.2025 — основание для внепланового инструктажа).

Шаг 4. Оформите журнал: реквизиты и структура

Форма журнала законодательно не утверждена — оператор разрабатывает её самостоятельно. Однако РКН при проверке ожидает наличия определённых реквизитов, подтверждающих юридическую значимость записей.

Обязательные реквизиты журнала:

  • Наименование документа: «Журнал прохождения инструктажа по обработке персональных данных».
  • Наименование организации-оператора и её реквизиты.
  • Дата начала ведения журнала и период, который он охватывает.
  • Для каждой записи: порядковый номер, дата проведения инструктажа, ФИО и должность инструктируемого, подразделение, вид инструктажа (первичный / повторный / внеплановый), тема (краткое наименование программы), ФИО и подпись инструктора, подпись инструктируемого.
  • Подпись ответственного за ведение журнала на титульном листе.

Журнал ведётся на бумажном носителе с нумерацией страниц и прошивкой, либо в электронной форме с обеспечением невозможности несанкционированного изменения записей. Электронный журнал должен поддерживать выгрузку в PDF для предъявления при проверке.

«Ст. 18.1 ч. 2 ФЗ-152 — политика обработки ПДн оператора должна содержать в том числе сведения о принятых мерах по обеспечению безопасности ПДн. Факт проведения инструктажа — одна из таких мер.»

Если журнал инструктажа отсутствует или не отвечает требованиям, а проверка РКН уже назначена — подготовить полный пакет ОРД можно за срок до 10 рабочих дней. Юристы DATUM соберут документы под ключ, включая журнал, программу инструктажа и приказ о назначении ответственного.

Собрать ОРД под ключ

Шаг 5. Настройте порядок внесения записей и хранения журнала

Записи вносятся непосредственно после проведения инструктажа. Исправления в журнале допускаются только по установленному правилу: зачёркивание неверной записи, рядом — верная с датой и подписью ответственного. Белый корректор и иные способы сокрытия записей — недопустимы.

Срок хранения журнала: не менее 3 лет с момента внесения последней записи — по аналогии с иными документами, подтверждающими исполнение требований трудового законодательства. Если журнал содержит сведения о работе со специальными категориями ПДн — срок хранения определяется по более длительному основанию.

При проверке РКН журнал предъявляется по запросу инспектора. Рекомендуется хранить его вместе с программой инструктажа, утверждённой приказом, — это подтверждает системность подхода, а не разовое составление документа «под проверку».

Типовые ситуации: как это выглядит на практике

Ситуация 1. Инструктаж проводился, журнала нет. Ряд компаний фактически обучает сотрудников, но не фиксирует это документально. При проверке РКН оператор не может подтвердить исполнение ст. 18.1. Инспектор квалифицирует ситуацию как неисполнение обязанности — протокол по ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽. Доказательства устного инструктажа без записи в журнале судом во внимание не принимаются.

Ситуация 2. Журнал есть, но не охватывает всех работников с доступом к ПДн. IT-специалисты и системные администраторы нередко выпадают из периметра инструктажа — их считают «техническими», а не «обрабатывающими». Между тем администратор БД фактически обрабатывает ПДн. Если в ходе проверки обнаруживается, что часть сотрудников с доступом к ИСПДн не внесена в журнал — это основание для предписания об устранении нарушения и повторной проверки.

Ситуация 3. Изменилось законодательство — инструктаж не проведён повторно. С 01.09.2025 вступили в силу требования ФЗ-156 от 24.06.2025 об отдельном согласии. Компания провела первичный инструктаж в 2023 году и с тех пор его не обновляла. Сотрудники работают по старым правилам получения согласий, включённых в трудовой договор. При внеплановой проверке, инициированной жалобой субъекта, выявляется нарушение по ч. 2 ст. 13.11 КоАП (обработка без надлежащего согласия, штраф 300 000 — 700 000 ₽), а отсутствие записи о внеплановом инструктаже по ФЗ-156 дополнительно указывает на системный характер нарушений.

Кейс из практики. Торговая компания (Сибирский ФО, весна 2026) прошла плановую проверку РКН. Журнал инструктажа в компании вёлся, но программа инструктажа была утверждена в 2021 году и не обновлялась. Записи за 2025 год содержали ссылку на устаревшую программу без упоминания требований ФЗ-156. Инспектор выдал предписание об устранении нарушения в части ст. 18.1. Компания обратилась в DATUM: в течение 5 рабочих дней были обновлены программа инструктажа, приказ об утверждении и проведён внеплановый инструктаж с записью в журнал. Предписание исполнено в установленный срок, штраф не назначен.

Что подготовить для журнала инструктажа

  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 — актуальный, с подписью руководителя.
  • Программа инструктажа, утверждённая приказом, — с учётом изменений законодательства 2025 года (ФЗ-156, ст. 272.1 УК).
  • Форма журнала с обязательными реквизитами — утверждена локальным актом или приложением к приказу.
  • Заполненный журнал с подписями всех работников, имеющих доступ к ПДн, — за текущий период и не менее чем за 3 предшествующих года.
  • Политика конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — документ, с которым знакомят при инструктаже.

Услуги DATUM по теме

  • Комплект ОРД под ключ — полный пакет из 38 документов, включая журнал инструктажа и программу обучения.
  • Аудит соответствия 152-ФЗ — проверка всей системы обработки ПДн и выявление пробелов в ОРД.
  • DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, ведение журнала и сопровождение проверок.

Частые вопросы

1. Какие документы должны быть у оператора ПДн?

Базовый комплект ОРД включает не менее 38 документов: политику конфиденциальности по ч. 2 ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1, уведомление в РКН по форме Приказа РКН №180, согласия субъектов по ст. 9 ФЗ-152, реестр обработки, договоры поручения по п. 3 ст. 6, журнал инструктажа, программу инструктажа, журнал обращений субъектов и локальные акты по техническим мерам защиты. Отсутствие любого из них — самостоятельное основание для протокола при проверке РКН.

2. Как составить политику обработки ПДн?

Политика должна содержать обязательные сведения по ч. 2 ст. 18.1 ФЗ-152: наименование и контакты оператора, цели и правовые основания обработки, перечень обрабатываемых категорий ПДн, порядок и условия обработки, права субъектов и порядок их реализации, сведения о мерах безопасности. Публикуется в открытом доступе — как правило, на сайте оператора. Использование шаблона из интернета без адаптации под реальные процессы компании — грубая ошибка: РКН проверяет соответствие политики фактической обработке.

3. Кого назначить ответственным по ст. 22.1?

Ответственным назначается штатный работник, соответствующий квалификационным требованиям ч. 4 ст. 22.1 ФЗ-152. На практике это юрист с профильными знаниями в области ПДн, специалист по ИБ или HR-директор — при наличии подтверждённой квалификации. Если штатного специалиста нет — ответственного можно привлечь на аутсорсе по модели DPO-аутсорсинга: функция выполняется, юридическая ответственность оператора сохраняется.

4. Можно ли использовать шаблон политики из интернета?

Использовать шаблон как ориентир можно, но размещать его без доработки — нельзя. РКН при проверке сопоставляет текст политики с фактическими процессами: какие системы используются, в каких странах размещены серверы, кому передаются данные. Политика, не отражающая реальную обработку, квалифицируется как нарушение ч. 2 ст. 18.1 ФЗ-152. Это основание для штрафа по ч. 3 ст. 13.11 КоАП (до 60 000 ₽) и предписания об устранении.

5. Какие согласия нужны после 01.09.2025?

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом — оно не может быть частью трудового договора, оферты, политики или иного документа (ФЗ-156 от 24.06.2025, поправки в ч. 1 ст. 9 ФЗ-152). Реквизиты согласия остались прежними: ФИО субъекта, контакты, наименование оператора, цель, перечень данных и действий, срок, способ отзыва. Согласия, полученные до 01.09.2025 в составе других документов, не требуют обязательного переоформления — закон обратной силы не имеет, но при обновлении форм их следует привести в соответствие.

6. Как часто нужно обновлять журнал инструктажа?

Записи вносятся после каждого проведённого инструктажа: первичного — при приёме нового сотрудника или расширении его доступа к ПДн, повторного — не реже одного раза в год, внепланового — при изменении законодательства или внутренних процессов обработки. Журнал считается актуальным, если последняя запись о повторном инструктаже для каждого сотрудника датирована не позднее 12 месяцев до даты проверки.

Итог

Журнал прохождения инструктажа по 152-ФЗ — это доказательный документ, а не формальность. Без него оператор не может подтвердить выполнение требований ст. 18.1 ФЗ-152 при проверке Роскомнадзора. Правильно выстроенная система инструктажа включает четыре элемента: назначенного ответственного по ст. 22.1, актуальную программу обучения, форму журнала с обязательными реквизитами и регулярные записи о проведённых инструктажах.

Юристы DATUM сопровождают операторов в подготовке полного комплекта ОРД — от журнала инструктажа до уведомления в РКН. Практика по 152-ФЗ с 2014 года: более 300 операторов сопровождено в рамках комплаенс-проектов и проверок Роскомнадзора.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, защита от оборотных штрафов с 30.05.2025.

7 октября 2026 года