Ответственный за обработку ПДн: назначение, роль и документы

Ответственный за обработку ПДн: назначение, роль и документы

![Схема роли ответственного по 152‑ФЗ и потоков документов]

Кто такой «ответственный по 152‑ФЗ»

«Ответственный за организацию обработки персональных данных» — это назначенное оператором лицо, которое организует и контролирует соответствие обработки ПДн требованиям закона. Требование назначить такого специалиста прямо прописано в ст. 18.1 Федерального закона № 152‑ФЗ (см. Статья 18.1, Обязанности оператора). В деловой практике его называют кратко: «152 ФЗ ответственный», «ответственный 152‑ФЗ за организацию обработки».

Главная миссия — обеспечить законность, прозрачность и безопасность обработки персональных данных во всех процессах компании: от кадров и маркетинга до ИТ‑систем и сайта.

Правовая основа: 152‑ФЗ и смежные нормы

• 152‑ФЗ «О персональных данных»: базовые понятия и требования (О законе, Текст — последняя редакция, Структура и статьи).
• Ст. 18.1 — организационные требования к оператору (назначение ответственного, политика, обучение). См. также Статья 19 о мерах безопасности ПДн.
• Отраслевые и технические нормы: при использовании ИСПДн применяются требования ФСТЭК/ФСБ (уровни защищенности, модель угроз, криптография). Подробности — Требования ФСТЭК и ФСБ, Уровни защищенности ИСПДн, Криптография, ИСПДн: определение и требования.
• Актуальные изменения: следите за нововведениями (Изменения 2025).

Назначение ответственного: когда, кого и как

Назначение ответственного 152‑ФЗ обязательно для каждого оператора персональных данных: ООО, АО, ИП, государственные и муниципальные структуры. Исключений по размеру нет: даже если вы обрабатываете ПДн только сотрудников, назначить нужно.

Кого назначить:

• штатного сотрудника (часто — юриста, ИБ‑специалиста, HR‑ или compliance‑менеджера),
• руководителя (допустимо в микро‑ и малых компаниях),
• совмещение функций возможно, если нет конфликта интересов.

Можно ли передать функцию внешнему подрядчику? Формально закон требует назначить «лицо, ответственное…» у оператора. Практика допускает помощь внешних консультантов по договору, но внутренний приказ о назначении конкретного ответственного внутри организации обязателен. Для ИП — это часто сам предприниматель (см. Документы для ИП).

Совет: предусмотреть заместителя на период отпусков/больничных, чтобы обеспечить непрерывность процессов и коммуникаций с Роскомнадзором.

Приказ о назначении (внутренний): структура и примеры

В быту фразу «приказ 152 ФЗ» используют для обозначения внутреннего распорядительного документа о назначении ответственного за ПДн. Такой приказ утверждает руководитель организации. Его базовая структура:

• шапка (оператор, дата, номер);
• ссылка на правовые основания (152‑ФЗ, локальные акты оператора);
• формулировка: назначить ФИО, должность ответственным за организацию обработки ПДн;
• перечень задач и полномочий (контроль соблюдения, разработка/актуализация политики, обучение, взаимодействие с РКН, ведение реестров);
• закрепление права запрашивать информацию у подразделений;
• назначение замещающего лица (при наличии);
• порядок вступления в силу;
• подпись руководителя, ознакомление под подпись.

Где взять шаблон: смотрите наши готовые формы и пакеты документов (Шаблоны и формы, Пакет документов по 152‑ФЗ).

О «приказ 21 фз 152»: в поиске так часто называют «Приказ № 21 ФСТЭК» о мерах защиты ПДн. Он имеет отношение к технической защите и ИСПДн, а не к внутреннему приказу о назначении. Текущую применимость и актуальные нормы смотрите в разделе Требования ФСТЭК и ФСБ.

Обязанности и зона ответственности

Ответственный по 152‑ФЗ — не «формальная должность». Это процессный владелец контура ПДн.

Ключевые функции:

• контроль соблюдения требований закона и локальных актов;
• ведение и актуализация реестров ПДн и ИСПДн;
• разработка/актуализация политики и положений (Политика обработки ПДн);
• построение внутреннего контроля и регулярного обучения сотрудников (Внутренний контроль и обучение);
• организация получения согласий, управления правами субъектов (Права субъектов ПДн, Заявления и отзыв согласия);
• участие в моделировании угроз, выборе мер защиты, контроле их выполнения (Модель угроз, Меры безопасности);
• готовность к инцидентам (процедуры уведомления, расследования, журналирование) (Инциденты и утечки ПДн);
• взаимодействие с Роскомнадзором, подготовка ответов, ведение переписки (Проверки Роскомнадзора).

Таблица соответствия задач и «артефактов»:

Задача ответственного	Что делаем	Доказательства/документы
Инвентаризация обработки	Опрашиваем подразделения, составляем реестр процессов	Реестр операций и категорий ПДн, карта данных
Правовые основания	Оцениваем необходимость согласий/договоров	Формы согласий, договоры поручения (Поручение обработки)
Политика и положения	Разрабатываем/актуализируем	Политика, Положение о ПДн, Privacy Policy (Шаблон политики конфиденциальности)
Безопасность ПДн	Определяем уровень защиты, меры	Модель угроз, план мер, акты внедрения
Обучение	Проводим вводный и ежегодный курс	Программа, протоколы, журналы обучения
Права субъектов	Настраиваем приём запросов, SLA	Журнал запросов субъектов, шаблоны ответов
Инциденты	Вводим процесс реагирования	Журнал инцидентов, планы уведомления РКН

Ключевые документы и реестры, которые ведёт ответственный

• Политика оператора по ПДн (для сайта и для сотрудников) — Политика обработки ПДн, Требования к сайту.
• Реестр процессов/категорий ПДн, реестр ИСПДн, реестр получателей и поручений (Передача третьим лицам).
• Модель угроз и перечень мер, уровни защищенности ИСПДн (Уровни защищенности).
• Журналы: обращений субъектов, согласий, инцидентов, доступа к ПДн, обучения.
• Перечни сроков хранения и процедуры уничтожения (Сроки хранения ПДн, Уничтожение и блокировка).
• Уведомление в реестр операторов (при необходимости) и переписка с РКН (Уведомление в Роскомнадзор, Реестр операторов).

Коммуникации с Роскомнадзором и проверки

Ответственный — точка входа для регулятора: он готовит уведомления, пояснения и документы при проверках. Важные моменты:

• При начале новых процессов может потребоваться подача/актуализация уведомления в РКН.
• На информационные запросы РКН отвечаем в установленный срок, с приложением подтверждающих документов.
• При нарушениях или утечках действует процедура уведомления РКН и субъектов (по ситуации) — см. Инциденты и утечки ПДн.
• Ответственность за нарушения — административная (КоАП) и иная, штрафы возрастают (см. КоАП 13.11: ПДн, Ответственность и штрафы, Судебная практика).

Требования ИБ, ФСТЭК/ФСБ и «приказ 21»

Многие ищут «приказ 21 фз 152». Как правило, речь о Приказе ФСТЭК № 21, исторически регулировавшем состав организационных и технических мер по защите ПДн в ИСПДн. Сейчас следует опираться на действующие требования ФСТЭК/ФСБ и методики определения уровней защищенности. Подробно: Требования ФСТЭК и ФСБ, ИСПДн: определение и требования, Криптография и шифрование.

Роль ответственного 152‑ФЗ — координировать организационную часть и взаимодействовать с ИБ‑специалистами/провайдерами, чтобы фактические меры безопасности соответствовали выбранному уровню и модели угроз.

План на 30 дней для нового ответственного

Неделя 1

• Получите приказ о назначении и полномочия. Назначьте заместителя.
• Сформируйте перечень процессов и источников ПДн: HR, CRM, сайт, видеонаблюдение, сервис‑провайдеры.

Неделя 2

• Определите правовые основания по каждому процессу: согласие, договор, закон (см. Принципы и цели обработки, Обработка без согласия).
• Актуализируйте формы согласий и тексты на сайте (Формы на сайте и согласие, Cookie и баннеры, SSL/HTTPS).

Неделя 3

• Составьте модель угроз/уровни защищенности ИСПДн, согласуйте план мер с ИТ/ИБ.
• Обновите локальные акты: Политика, Положение о ПДн, регламенты прав субъектов.

Неделя 4

• Запустите обучение для сотрудников (Обучение и курсы).
• Проведите внутренний аудит готовности к проверке (Подготовка к проверке, Чек‑лист 152‑ФЗ).
• При необходимости подайте/обновите уведомление в РКН.

Частые ошибки и как их избежать

• Ограничение только кадровыми процессами и игнорирование сайта/маркетинга. Проверьте метрики и формы: Яндекс.Метрика и 152‑ФЗ, Яндекс‑формы, Аудит сайта, Онлайн‑проверка сайта.
• Неактуальные шаблоны и отсылки к утратившим силу нормам. Используйте актуальные Шаблоны и формы и следите за изменениями.
• Формальный приказ без реальных полномочий/ресурсов. Закрепляйте право запрашивать данные у подразделений и план работ.
• Отсутствие журналов и следов деятельности. Ведите реестры и журналы системно.
• Реактивная, а не проактивная модель. Настройте регулярный внутренний контроль и учтите каналы инцидентов: e‑mail, мессенджеры (Мессенджеры и 152‑ФЗ).

DPO по GDPR vs ответственный по 152‑ФЗ

Это не одно и то же, но функции пересекаются. Российский «ответственный 152‑ФЗ за организацию обработки» обеспечивает соответствие национальному праву, DPO — требованиям GDPR. Если вы работаете и с ЕС‑рынком, выстраивайте гибридный контур: сопоставьте обязанности и документы с учетом GDPR и 152‑ФЗ.

Вывод и следующий шаг

Назначение ответственного по 152‑ФЗ — обязательное и практико‑ориентированное требование. Грамотно оформленный приказ, понятные регламенты, работающие журналы, корректная ИБ‑архитектура и готовность к коммуникациям с РКН — вот база устойчивого контура ПДн.

Нужна помощь с «приказом 152‑ФЗ», пакетами документов или аудитом? Воспользуйтесь нашим сервисом: Консалтинг и документы под ключ, Генератор политики и согласий, Аудит соответствия 152‑ФЗ. Запустим соответствие быстро и без лишней бюрократии.