По статье 22.1 152-ФЗ каждый оператор, обрабатывающий персональные данные, обязан назначить ответственного за организацию обработки ПДн. Это отдельный документ — приказ о назначении. Разбираем кто может быть ответственным, что должно быть в приказе, какие обязанности и что грозит без такого назначения.

Кому нужен ответственный

Обязательно назначать всем операторам ПДн — от ИП с одной формой на сайте до крупных компаний. Исключения только для физлиц, обрабатывающих ПДн исключительно для личных нужд (не бизнес).

На практике РКН при проверке первым делом запрашивает:

  1. Уведомление в РКН (см. пошаговую инструкцию по уведомлению)
  2. Приказ о назначении ответственного
  3. Политику конфиденциальности
  4. Реестр обработки ПДн

Отсутствие приказа = штраф до 200 000 ₽ для юрлица (ч. 6 ст. 13.11 КоАП).

Кто может быть ответственным

По ст. 22.1 ФЗ-152, ответственный:

  • Штатный сотрудник — руководитель, IT-директор, юрист, бухгалтер. Чаще всего — руководитель организации (директор, гендир).
  • ИП назначает сам себя — можно, приказ на одну страницу.
  • Самозанятый — назначает сам себя. Формально нужен приказ, на практике достаточно фиксации в политике конфиденциальности.

Нельзя назначать по договору ГПХ (только штат). Нельзя аутсорсить целиком — компания-аутсорсер может быть обработчиком, но ответственный внутри вашей организации нужен всё равно.

Что должно быть в приказе

Стандартная структура приказа о назначении:

Реквизиты

  • Название организации, ИНН, ОГРН
  • Номер приказа + дата (регистрируется в журнале приказов)

Основания

«В соответствии со статьёй 22.1 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", в целях организации работы с персональными данными...»

Назначение

  • ФИО назначаемого + должность (например, «Иванов Иван Иванович, генеральный директор»)
  • Дата вступления в силу

Обязанности

Перечень обязанностей — не переписывать из закона, лучше конкретно:

  1. Организовывать соблюдение требований 152-ФЗ в организации
  2. Разрабатывать и утверждать локальные акты по обработке ПДн (политика, положения)
  3. Организовывать приём и обработку запросов субъектов ПДн
  4. Вести реестр обработки ПДн
  5. Обеспечивать конфиденциальность и защиту ПДн
  6. Обучать сотрудников работе с ПДн
  7. Уведомлять РКН и субъектов о инцидентах в течение 24 часов
  8. Проходить обучение по обработке ПДн (рекомендуется раз в 3 года)

Ответственность

«В случае неисполнения обязанностей ответственный несёт дисциплинарную, административную и уголовную ответственность в соответствии с законодательством РФ»

Подписи

  • Руководитель организации
  • Ознакомление под подпись назначаемого

Обязанности ответственного на практике

Что действительно делает ответственный (а не «на бумаге»):

Ежедневно

  • Реагирует на входящие запросы клиентов на удаление/уточнение данных (7 рабочих дней по ст. 21 ч. 1 — подробнее)
  • Проверяет доступы сотрудников к системам с ПДн

Ежемесячно

  • Обновляет реестр обработки (если поменялись цели/категории/сроки)
  • Проверяет резервные копии баз с ПДн (защищены ли)

Ежегодно

При инцидентах

  • В течение 24 часов уведомляет РКН об утечке через pd.rkn.gov.ru/incidents/
  • В течение 72 часов сообщает результаты расследования
  • Уведомляет пострадавших субъектов ПДн

Ошибки при назначении

1. Не оформили приказ вообще. Самое частое. При проверке РКН запросит — не найдёте — штраф.

2. Назначили по договору ГПХ. Не соответствует ст. 22.1. Приравнивается к отсутствию.

3. Указали ФИО, но не должность. Приказ должен явно связывать назначение с должностью в организации.

4. Не ознакомили под подпись. Формально считается что назначение не состоялось.

5. Забыли обновить при смене руководителя/ответственного. При проверке — актуальный приказ должен быть.

Ответственность

За неисполнение обязанностей ответственного:

  • Дисциплинарная — вплоть до увольнения (внутренние санкции работодателя)
  • Административнаяштраф до 100 000 ₽ для физлица, до 500 000 ₽ для юрлица
  • Уголовная — по ст. 137 УК (нарушение неприкосновенности частной жизни) или ст. 272.1 УК (незаконная передача ПДн из ограниченного оборота) — до 10 лет лишения свободы при отягчающих

Ответственный лично отвечает за свои действия/бездействие. Даже если директор компании — при инциденте штраф выпишут ему как ответственному.

Пошаговая подготовка

  1. Определите кто будет ответственным (обычно — директор/руководитель IT).
  2. Оформите приказ на бумаге по образцу выше.
  3. Внесите изменения в должностную инструкцию — добавьте обязанности по 22.1.
  4. Ознакомьте под подпись.
  5. Внесите ФИО и контактный email ответственного в вашу политику конфиденциальности.
  6. Если ещё не подавали уведомление в РКН — укажите ответственного там.

Через ParaDok приказ формируется автоматически при выборе тарифа Расширенный (16 документов).

Связанные материалы