Ответственный за обработку персональных данных: назначение, приказ и обязанности

Каждая организация, обрабатывающая персональные данные, обязана назначить лицо, ответственное за организацию обработки персональных данных. Это прямое требование части 1 статьи 22.1 Федерального закона № 152-ФЗ «О персональных данных». Без такого назначения оператор нарушает закон, даже если все остальные документы оформлены безупречно.

Ответственный за ПДн — это не формальная должность для галочки. Это сотрудник, который выстраивает и контролирует весь процесс работы с персональными данными внутри организации: от получения согласий до реагирования на запросы субъектов и проверки Роскомнадзора. Именно к этому человеку обращается РКН в первую очередь при проведении проверки, и именно он несёт персональную ответственность за выявленные нарушения.

Назначение ответственного — одно из первых действий, которые должен выполнить оператор персональных данных. Без приказа о назначении невозможно корректно заполнить уведомление в Роскомнадзор, так как ФИО и контакты ответственного лица указываются в уведомлении в обязательном порядке.

Требование распространяется на все категории операторов: юридические лица любых организационно-правовых форм, индивидуальных предпринимателей, государственные и муниципальные органы. Размер организации не имеет значения — даже ИП с одним сотрудником обязан назначить ответственного (и вправе назначить самого себя). Срок для назначения — до начала обработки персональных данных, то есть фактически с момента создания организации и найма первого работника.

Закон 152-ФЗ не устанавливает жёстких требований к должности или квалификации ответственного за организацию обработки ПДн. Однако из анализа статьи 22.1 152-ФЗ, Постановления Правительства РФ № 687 и практики проверок Роскомнадзора можно выделить ряд ключевых критериев.

Основные требования:

• Ответственный должен быть сотрудником организации — нанять внешнего подрядчика на эту роль нельзя (в отличие от DPO по GDPR)
• Должностное положение должно обеспечивать реальное влияние на процессы обработки ПДн — рядовой сотрудник без полномочий не подходит
• Ответственный должен подчиняться непосредственно руководителю организации (ч. 2 ст. 22.1 152-ФЗ)
• Необходимы знания законодательства в области персональных данных и информационной безопасности

Кого чаще всего назначают на практике:

• Юрист / начальник юридического отдела — наиболее частый выбор, особенно в малом и среднем бизнесе. Понимает правовые основания обработки, умеет работать с согласиями и договорами
• Специалист по информационной безопасности / CISO — оптимальный выбор для компаний с развитой ИТ-инфраструктурой и высокими требованиями к защите данных
• Руководитель организации (директор) — допустимый вариант для микропредприятий и ИП с небольшим штатом
• Руководитель HR-отдела — иногда назначается, поскольку кадровая служба обрабатывает наибольший объём ПДн сотрудников
• Заместитель директора — удобный вариант для средних компаний, обеспечивает требуемое подчинение руководителю

Можно ли совмещать? Да, ответственный за ПДн может совмещать эту функцию с основной должностью. На практике выделенная позиция «Data Protection Officer» встречается только в крупных организациях (банки, телеком, госкорпорации). В большинстве компаний это совмещение — юрист или безопасник выполняет функции ответственного за ПДн в дополнение к основным обязанностям.

Кого нельзя назначать:

• Внешнего консультанта или аутсорсера — только штатный сотрудник
• Сотрудника, не имеющего доступа к процессам обработки ПДн (например, уборщика — формально приказ будет, но при проверке РКН это вызовет вопросы)
• Сотрудника, подчинённого не напрямую руководителю, а через несколько уровней иерархии

Перечень обязанностей ответственного лица определён в частях 4 и 5 статьи 22.1 152-ФЗ. Это не рекомендации, а императивные нормы — их невыполнение фиксируется при проверках РКН.

Обязательные функции по закону:

• Осуществление внутреннего контроля за соблюдением оператором и его работниками законодательства о персональных данных, в том числе требований к защите ПДн
• Доведение до сведения работников оператора положений законодательства о персональных данных, локальных актов по вопросам обработки ПДн, требований к защите ПДн
• Организация приёма и обработки обращений и запросов субъектов персональных данных или их представителей, контроль за приёмом и обработкой таких обращений

Дополнительные обязанности на практике:

• Разработка и актуализация Положения об обработке ПДн, политик, инструкций по обработке ПДн и иных локальных актов
• Контроль за получением согласий субъектов на обработку ПДн в установленной форме
• Взаимодействие с Роскомнадзором: подача уведомлений, ответы на запросы, сопровождение проверок
• Проведение аудита процессов обработки ПДн не реже одного раза в год
• Реагирование на инциденты (утечки): уведомление РКН в течение 24 часов, проведение внутреннего расследования в течение 72 часов
• Обучение сотрудников правилам работы с ПДн, проведение инструктажей
• Ведение реестра обработки ПДн: учёт категорий данных, целей, правовых оснований, сроков хранения
• Контроль за уничтожением ПДн по истечении сроков хранения или при отзыве согласия
• Оценка вреда, который может быть причинён субъектам ПДн в случае нарушения законодательства, и принятие мер по его минимизации
• Ведение журнала учёта обращений субъектов ПДн и обеспечение соблюдения 10-рабочих-дневного срока ответа на запросы (с 01.09.2025 — сокращённый срок)

На практике ответственный за ПДн ежедневно решает вопросы, связанные с обработкой данных: проверяет корректность форм согласий, консультирует подразделения, готовит ответы на запросы субъектов. Это системная работа, а не разовое действие. Одна из ключевых обязанностей — проведение регулярного аудита на соответствие 152-ФЗ, включая проверку процессов обработки ПДн без автоматизации (бумажные носители).

Пример из практики проверки: Роскомнадзор при плановой проверке запрашивает у ответственного лица журнал учёта обращений субъектов ПДн, протоколы проведённых инструктажей работников, акты внутренних проверок. Если ответственный не может предъявить эти документы — фиксируется нарушение, даже если приказ о назначении формально в наличии. Именно поэтому важна не только бумага, но и реальная систематическая деятельность.

Назначение ответственного оформляется приказом руководителя организации. Это обязательный документ, который запрашивает Роскомнадзор при проверке в первую очередь. Отсутствие приказа — самостоятельное нарушение, за которое предусмотрен штраф.

Что должен содержать приказ:

• Основание издания — ссылка на ст. 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»
• ФИО и должность назначаемого ответственного лица
• Перечень обязанностей ответственного (рекомендуется выносить в приложение к приказу)
• Дата вступления в силу — как правило, с момента подписания
• Ознакомительная подпись назначенного сотрудника
• Подпись руководителя организации

Типовая структура приказа:

1. Преамбула: «В целях выполнения требований Федерального закона от 27.07.2006 № 152-ФЗ...»
2. Пункт 1: «Назначить [ФИО, должность] ответственным за организацию обработки персональных данных в [наименование организации]»
3. Пункт 2: «Утвердить обязанности ответственного за организацию обработки ПДн (Приложение № 1)»
4. Пункт 3: «Контроль за исполнением настоящего приказа оставляю за собой»

Приказ регистрируется в журнале приказов по основной деятельности. При смене ответственного лица (увольнение, перевод) необходимо издать новый приказ и в течение 10 рабочих дней направить информационное письмо об изменениях в Роскомнадзор.

Сформировать готовый приказ с учётом реквизитов вашей организации можно в конструкторе документов. Также доступен образец приказа для скачивания.

Распространённые ошибки при оформлении приказа:

• Отсутствие конкретного перечня обязанностей — приказ «назначить ответственным» без указания функций выглядит формально и вызывает вопросы у проверяющего
• Отсутствие подписи назначенного лица об ознакомлении — сотрудник должен подтвердить, что принял обязанности
• Ссылка на устаревшую редакцию 152-ФЗ — убедитесь, что в преамбуле указана актуальная норма
• Не издан новый приказ при смене ответственного — старый приказ на уволенного сотрудника не имеет юридической силы

Отсутствие назначенного ответственного за организацию обработки ПДн квалифицируется как нарушение статьи 13.11 КоАП РФ. Конкретные санкции зависят от того, как Роскомнадзор классифицирует выявленное нарушение.

Актуальные штрафы (2025–2026):

• Невыполнение обязанностей оператора по обеспечению мер, предусмотренных ст. 18.1 и 22.1 152-ФЗ (включая назначение ответственного) — штраф для юрлиц от 60 000 до 100 000 рублей, за повторное нарушение — от 100 000 до 300 000 рублей (ч. 1, 1.1 ст. 13.11 КоАП)
• Для должностных лиц — штраф от 10 000 до 20 000 рублей
• Для ИП — от 20 000 до 40 000 рублей

На практике Роскомнадзор при проверке запрашивает полный комплект документов по 152-ФЗ, и отсутствие приказа о назначении ответственного фиксируется как первое и самое очевидное нарушение. Это «низковисящий фрукт» для проверяющего: документ либо есть, либо нет — никакой правовой неоднозначности.

Персональная ответственность ответственного за ПДн может наступить в следующих случаях:

• Дисциплинарная — за ненадлежащее исполнение возложенных обязанностей (замечание, выговор, увольнение)
• Административная — как должностное лицо оператора при нарушениях, выявленных Роскомнадзором
• Уголовная — по ст. 137 УК РФ (нарушение неприкосновенности частной жизни) или ст. 272 УК РФ (неправомерный доступ к компьютерной информации), если действия ответственного лица повлекли тяжкие последствия

С учётом ужесточения законодательства (оборотные штрафы за утечки, введённые ФЗ-420 от 30.11.2024) роль ответственного за ПДн становится критически важной. Компаниям, обрабатывающим данные более 100 000 субъектов, стоит рассмотреть выделение полноценной штатной единицы.

Ответственность за утечку данных: если в организации произошёл инцидент с неправомерным распространением ПДн более 1 000 субъектов, размер штрафа составляет от 3 000 000 до 5 000 000 рублей, а при утечке данных более 100 000 субъектов — до 15 000 000 рублей. С 30 мая 2025 года вступают в силу оборотные штрафы: за повторную утечку — от 1% до 3% выручки, но не менее 20 000 000 и не более 500 000 000 рублей. Ответственный за ПДн должен выстроить систему, которая такие инциденты предотвращает.

На практике часто путают три разные роли: ответственный за организацию обработки ПДн по 152-ФЗ, Data Protection Officer (DPO) по GDPR и ответственный за информационную безопасность. Это разные функции с разными требованиями.

Ключевые отличия:

• По 152-ФЗ ответственный обязателен для всех операторов без исключения, тогда как DPO по GDPR назначается только в определённых случаях
• DPO по GDPR имеет гарантию независимости: его нельзя уволить за выполнение обязанностей DPO. У ответственного по 152-ФЗ такой защиты нет
• DPO может быть внешним (на аутсорсе), ответственный по 152-ФЗ — только штатный сотрудник
• Ответственный за ИБ — это технический специалист, который настраивает средства защиты информации по Приказу ФСТЭК № 21. Ответственный за ПДн — организационно-правовая роль

В крупных организациях все три роли обычно разделены между разными сотрудниками. В малом бизнесе функции ответственного за ПДн и за ИБ часто совмещает один человек — закон это допускает.

Когда совмещение недопустимо: если организация работает одновременно по 152-ФЗ и GDPR (например, обрабатывает данные граждан ЕС), рекомендуется разделить роли. DPO по GDPR должен быть независим и не получать указаний относительно выполнения своих задач (ст. 38.3 GDPR), тогда как ответственный по 152-ФЗ подчинён руководителю организации. Совмещение создаёт конфликт интересов, который европейские регуляторы могут оценить как нарушение.

На основе анализа проверок Роскомнадзора и судебной практики можно сформулировать набор рекомендаций, которые снижают риски при проверке.

1. Не назначайте формально. Ответственный должен реально понимать процессы обработки ПДн в организации. При проверке РКН проводит беседу с ответственным лицом — если сотрудник не может ответить на базовые вопросы (какие данные обрабатываете, на каком основании, где хранятся), это усугубляет ситуацию.

2. Обеспечьте обучение. Направьте ответственного на курсы повышения квалификации по 152-ФЗ. Сертификат не обязателен по закону, но при проверке демонстрирует добросовестный подход оператора.

3. Включите обязанности в должностную инструкцию. Помимо приказа о назначении, внесите функции ответственного за ПДн в должностную инструкцию сотрудника и в его трудовой договор (дополнительным соглашением). Это защитит работодателя при трудовых спорах.

4. Обеспечьте ресурсы. Ответственному нужны: доступ к руководителю, время для выполнения обязанностей (если совмещение — не менее 20% рабочего времени), доступ ко всем информационным системам с ПДн, бюджет на подписку юридических баз и обучение.

5. Документируйте деятельность. Ведите журнал проверок, реестр обращений субъектов, протоколы инструктажей. При проверке РКН это доказательство реальной работы ответственного.

6. Оформите полный комплект документов. Приказ о назначении — лишь один из документов, необходимых по 152-ФЗ. Параллельно с назначением ответственного подготовьте Положение об обработке ПДн, Инструкцию по обработке ПДн и остальные локальные акты. В каталоге документов можно скачать образцы всех необходимых документов.

7. При смене — оперативно переназначайте. Если ответственный увольняется или переводится, новый приказ должен быть издан до прекращения полномочий предыдущего. Перерыв недопустим: организация не должна оставаться без ответственного ни одного дня.

8. Проводите ежегодный аудит. Раз в год проверяйте соответствие фактических процессов обработки ПДн тем, что указаны в уведомлении Роскомнадзора. Появились новые информационные системы, изменились подрядчики, добавились категории субъектов — всё это требует актуализации документов. Ответственный за ПДн должен инициировать такой аудит и фиксировать его результаты актом.

Резюме: назначение ответственного за обработку ПДн — обязательная и практически значимая мера. Это не просто документ для проверки, а реальный инструмент управления рисками организации. Сформировать приказ о назначении с учётом реквизитов вашей организации можно в конструкторе документов Кибероснова, а образец — скачать в каталоге документов.