По статье 22.1 152-ФЗ каждый оператор, обрабатывающий персональные данные, обязан назначить ответственного за организацию обработки ПДн. Это отдельный документ — приказ о назначении. Разбираем кто может быть ответственным, что должно быть в приказе, какие обязанности и что грозит без такого назначения.
Кому нужен ответственный
Обязательно назначать всем операторам ПДн — от ИП с одной формой на сайте до крупных компаний. Исключения только для физлиц, обрабатывающих ПДн исключительно для личных нужд (не бизнес).
На практике РКН при проверке первым делом запрашивает:
- Уведомление в РКН (см. пошаговую инструкцию по уведомлению)
- Приказ о назначении ответственного
- Политику конфиденциальности
- Реестр обработки ПДн
Отсутствие приказа = штраф до 200 000 ₽ для юрлица (ч. 6 ст. 13.11 КоАП).
Кто может быть ответственным
По ст. 22.1 ФЗ-152, ответственный:
- Штатный сотрудник — руководитель, IT-директор, юрист, бухгалтер. Чаще всего — руководитель организации (директор, гендир).
- ИП назначает сам себя — можно, приказ на одну страницу.
- Самозанятый — назначает сам себя. Формально нужен приказ, на практике достаточно фиксации в политике конфиденциальности.
Нельзя назначать по договору ГПХ (только штат). Нельзя аутсорсить целиком — компания-аутсорсер может быть обработчиком, но ответственный внутри вашей организации нужен всё равно.
Что должно быть в приказе
Стандартная структура приказа о назначении:
Реквизиты
- Название организации, ИНН, ОГРН
- Номер приказа + дата (регистрируется в журнале приказов)
Основания
«В соответствии со статьёй 22.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в целях организации работы с персональными данными...»
Назначение
- ФИО назначаемого + должность (например, «Иванов Иван Иванович, генеральный директор»)
- Дата вступления в силу
Обязанности
Перечень обязанностей — не переписывать из закона, лучше конкретно:
- Организовывать соблюдение требований 152-ФЗ в организации
- Разрабатывать и утверждать локальные акты по обработке ПДн (политика, положения)
- Организовывать приём и обработку запросов субъектов ПДн
- Вести реестр обработки ПДн
- Обеспечивать конфиденциальность и защиту ПДн
- Обучать сотрудников работе с ПДн
- Уведомлять РКН и субъектов о инцидентах в течение 24 часов
- Проходить обучение по обработке ПДн (рекомендуется раз в 3 года)
Ответственность
«В случае неисполнения обязанностей ответственный несёт дисциплинарную, административную и уголовную ответственность в соответствии с законодательством РФ»
Подписи
- Руководитель организации
- Ознакомление под подпись назначаемого
Обязанности ответственного на практике
Что действительно делает ответственный (а не «на бумаге»):
Ежедневно
- Реагирует на входящие запросы клиентов на удаление/уточнение данных (7 рабочих дней по ст. 21 ч. 1 — подробнее)
- Проверяет доступы сотрудников к системам с ПДн
Ежемесячно
- Обновляет реестр обработки (если поменялись цели/категории/сроки)
- Проверяет резервные копии баз с ПДн (защищены ли)
Ежегодно
- Пересматривает политику конфиденциальности (актуальные штрафы, сроки, изменения закона)
- Проверяет уведомление в РКН — актуально ли (например, если добавили новую цель обработки — надо обновить)
- Проверяет наличие согласий на обработку ПДн у сотрудников
При инцидентах
- В течение 24 часов уведомляет РКН об утечке через pd.rkn.gov.ru/incidents/
- В течение 72 часов сообщает результаты расследования
- Уведомляет пострадавших субъектов ПДн
Ошибки при назначении
1. Не оформили приказ вообще. Самое частое. При проверке РКН запросит — не найдёте — штраф.
2. Назначили по договору ГПХ. Не соответствует ст. 22.1. Приравнивается к отсутствию.
3. Указали ФИО, но не должность. Приказ должен явно связывать назначение с должностью в организации.
4. Не ознакомили под подпись. Формально считается что назначение не состоялось.
5. Забыли обновить при смене руководителя/ответственного. При проверке — актуальный приказ должен быть.
Ответственность
За неисполнение обязанностей ответственного:
- Дисциплинарная — вплоть до увольнения (внутренние санкции работодателя)
- Административная — штраф до 100 000 ₽ для физлица, до 500 000 ₽ для юрлица
- Уголовная — по ст. 137 УК (нарушение неприкосновенности частной жизни) или ст. 272.1 УК (незаконная передача ПДн из ограниченного оборота) — до 10 лет лишения свободы при отягчающих
Ответственный лично отвечает за свои действия/бездействие. Даже если директор компании — при инциденте штраф выпишут ему как ответственному.
Пошаговая подготовка
- Определите кто будет ответственным (обычно — директор/руководитель IT).
- Оформите приказ на бумаге по образцу выше.
- Внесите изменения в должностную инструкцию — добавьте обязанности по 22.1.
- Ознакомьте под подпись.
- Внесите ФИО и контактный email ответственного в вашу политику конфиденциальности.
- Если ещё не подавали уведомление в РКН — укажите ответственного там.
Через ParaDok приказ формируется автоматически при выборе тарифа Расширенный (16 документов).