Назначение ответственного за обработку персональных данных: обязанности и требования по закону № 152-ФЗ

Почему каждая компания должна назначить ответственного за обработку персональных данных

Если ваша компания собирает, хранит или использует хоть какие-то данные о людях - фамилии, телефоны, адреса, паспортные данные - вы обязаны назначить ответственного за обработку персональных данных. Это не рекомендация, а требование закона. Согласно Федеральному закону № 152-ФЗ от 27 июля 2006 года, каждый оператор персональных данных, за исключением отдельных случаев, должен иметь такого сотрудника. Это не просто формальность. Нарушение этого правила может привести к штрафам, проверкам Роскомнадзора и даже приостановке обработки данных.

Ответственный за обработку персональных данных - это человек, который стоит между компанией и законом. Он не просто «отвечает» за документы. Он обеспечивает, чтобы всё, что делается с личной информацией, соответствовало требованиям закона. Без него компания рискует стать уязвимой для утечек, жалоб клиентов и проверок. В 2025 году Роскомнадзор провёл более 12 000 проверок по вопросам защиты персональных данных - и почти в каждом случае, где не было назначенного ответственного, выносился штраф.

Кто может стать ответственным за обработку персональных данных

Закон не требует, чтобы это был юрист, бухгалтер или IT-специалист. Но на практике выбор падает на тех, кто уже работает с данными, документами или безопасностью. Чаще всего эту роль получают:

• Начальник отдела кадров - потому что он знает, какие данные о сотрудниках хранятся и где;
• Главный бухгалтер - если в компании нет отдельного отдела ИБ, а данные сотрудников обрабатываются в бухгалтерских системах;
• Руководитель службы информационной безопасности - особенно в компаниях с цифровыми системами, базами данных, облачными сервисами;
• Штатный юрист - но только если он специализируется на защите данных, а не просто оформляет договоры.

Нельзя назначить ответственным человека, который не понимает, что такое персональные данные, как их защищать и какие последствия могут быть при утечке. Важно, чтобы он имел доступ к руководству, мог принимать решения и не зависел от других отделов. Именно поэтому закон требует, чтобы ответственный подчинялся непосредственно директору.

Как правильно назначить ответственного

Назначение происходит в три шага.

1. Издание приказа. Руководитель издаёт внутренний приказ, в котором чётко указаны ФИО назначаемого, его должность, дата начала полномочий и ссылка на статью 22.1 закона № 152-ФЗ. Без этого документа ответственный не имеет юридической силы.
2. Подписание инструкции и обязательства. Сотрудник должен ознакомиться с должностной инструкцией и подписать документ о неразглашении конфиденциальной информации. Это не просто формальность - это доказательство, что он осознаёт свою ответственность.
3. Уведомление Роскомнадзора. В течение 10 рабочих дней после назначения компания обязана отправить в Роскомнадзор обновлённое уведомление о обработке персональных данных. В нём нужно указать ФИО, должность, телефон и email ответственного. Если этого не сделать - компания автоматически попадает в список нарушителей.

Важно: если ответственный увольняется или меняет должность, нужно издать новый приказ и снова уведомить Роскомнадзор. Это не «когда-нибудь», а обязательное действие в течение 10 дней.

Основные обязанности ответственного: три ключевых направления

Федеральный закон № 152-ФЗ чётко прописывает обязанности ответственного. Их можно свести к трём группам.

1. Контроль внутри компании

Ответственный следит за тем, чтобы все сотрудники, работающие с персональными данными, соблюдали правила. Он проводит внутренние проверки: смотрит, как хранятся списки клиентов, проверяет, есть ли пароли на базы данных, контролирует, кто и куда передаёт информацию. Он должен выявлять нарушения - например, если сотрудник отправляет базу данных через WhatsApp или хранит файлы с паспортами на личном компьютере.

Результаты проверок фиксируются в актах. Если кто-то нарушает правила - ответственный готовит предложения о дисциплинарной ответственности. Он не наказывает сам, но именно он даёт руководству основания для дисциплинарного взыскания.

2. Обучение сотрудников

Невозможно защитить данные, если сотрудники не знают, как с ними обращаться. Ответственный проводит инструктажи - минимум раз в год, а лучше чаще. Он объясняет:

• Что такое персональные данные (включая биометрию, местоположение, IP-адреса);
• Запреты: нельзя передавать данные через мессенджеры, нельзя хранить их на флешках;
• Как запрашивать согласие на обработку данных;
• Что делать, если пришёл запрос от человека - «удалите мои данные».

Он разрабатывает памятки, проводит тесты, ведёт журналы прохождения инструктажей. Это не «всё равно», а обязательная часть работы. Без обучения компания не пройдёт проверку.

3. Работа с запросами и жалобами

Люди имеют право требовать:

• Получить копию своих данных;
• Исправить ошибки;
• Удалить данные;
• Ограничить обработку;
• Передать данные другой компании.

Ответственный должен отвечать на эти запросы в течение 30 дней. Если человек подал жалобу в Роскомнадзор - ответственный готовит официальный ответ, прикладывает документы, объясняет, почему действия компании законны. Он - лицо, с которым работает регулятор.

Дополнительные функции, которые часто возлагаются на ответственного

Помимо основных обязанностей, ответственный может заниматься:

• Разработкой политики обработки персональных данных - документа, который описывает, как именно компания работает с данными;
• Созданием форм согласия на обработку - чтобы они соответствовали требованиям закона;
• Ведением реестра носителей данных - где хранятся файлы, на каких серверах, кто имеет доступ;
• Контролем сроков хранения - например, данные о сотрудниках после увольнения должны храниться не более 5 лет, а о клиентах - в зависимости от договора;
• Организацией уничтожения данных - бумажные документы - на специальном оборудовании, электронные - с использованием программного удаления;
• Взаимодействием с Роскомнадзором при проверках - подготовка документов, ответы на запросы, участие в беседах.

Чем сложнее система обработки данных - тем больше функций ложится на ответственного. В крупных компаниях эта роль превращается в полноценную должность, а не в дополнительную нагрузку.

Что происходит при утечке данных

Если кто-то получил доступ к базе с паспортами, телефонами или медицинскими данными - это инцидент. Ответственный обязан действовать немедленно.

Его действия:

1. Определить масштаб утечки - сколько данных было скомпрометировано, кому они были переданы;
2. Уведомить Роскомнадзор - в течение 72 часов с момента обнаружения;
3. Уведомить пострадавших - если утечка может повредить их правам или интересам;
4. Провести анализ причины - почему произошло, как можно было предотвратить;
5. Принять меры - изменить пароли, заблокировать доступ, пересмотреть политику безопасности;
6. Подготовить отчёт - который может потребовать Роскомнадзор.

Задержка даже на один день может привести к штрафу в 100 000 рублей и выше. Ответственный - это первая линия обороны.

Требования к квалификации и обучению

Закон не требует специального диплома. Но он требует знаний. Согласно части 1 статьи 18.1 закона № 152-ФЗ, ответственный должен пройти обучение по защите персональных данных. Это значит:

• Не достаточно прочитать статью на сайте Роскомнадзора - нужно пройти официальный курс;
• Обучение должно быть подтверждено документом - сертификатом, удостоверением;
• Курсы должны обновляться - закон меняется, и ответственный должен следить за новыми постановлениями, например, Постановлением Правительства № 1119 о требованиях к защите данных;
• Он должен уметь читать правовые акты, понимать, что значит «цель обработки», «согласие», «перечень категорий данных».

Лучшие ответственные - это те, кто проходят курсы не раз в год, а раз в полгода. Они следят за изменениями в судебной практике, за новыми разъяснениями Роскомнадзора, за тем, как суды трактуют те или иные ситуации.

Что будет, если ответственного не назначить

Нарушение требований закона - это не «предупреждение». Это штрафы:

• Для физлиц - от 1 000 до 5 000 рублей;
• Для должностных лиц - от 10 000 до 50 000 рублей;
• Для организаций - от 50 000 до 200 000 рублей.

Повторное нарушение - штраф до 750 000 рублей и приостановление обработки данных. Это значит, что компания не сможет работать с клиентами, отправлять уведомления, вести учёт сотрудников - всё остановится.

Проверки Роскомнадзора становятся всё чаще. В 2025 году было зафиксировано 8 000 случаев, когда компании не имели назначенного ответственного. В 90% из них вынесены штрафы. Это не случайность - это системная работа контролирующего органа.

Как выбрать правильного человека

Не назначайте ответственного просто потому, что «кто-то должен». Выбирайте того, кто:

• Имеет опыт работы с документами и данными;
• Понимает, что такое конфиденциальность и безопасность;
• Готов учиться - закон меняется, и он должен быть в курсе;
• Не боится говорить «нет» - например, если руководитель хочет передать данные третьему лицу без согласия;
• Имеет доступ к руководству - чтобы его рекомендации имели вес.

Если в компании нет такого человека - лучше нанять внешнего консультанта, но оставить внутреннего ответственного. Такой подход работает: внешний эксперт решает сложные вопросы, а внутренний сотрудник обеспечивает выполнение требований в повседневной работе.

Что делать, если вы только начинаете

Если вы только сейчас задумались о назначении ответственного - начните с простого:

1. Определите, какие персональные данные вы обрабатываете - сотрудников, клиентов, поставщиков;
2. Выберите кандидата - лучше всего из отдела кадров или ИБ;
3. Издайте приказ и назначьте дату начала;
4. Ознакомьте кандидата с законом № 152-ФЗ и Постановлением № 1119;
5. Запишите его на курс по защите персональных данных;
6. Подайте уведомление в Роскомнадзор;
7. Разработайте должностную инструкцию и начните проводить инструктажи.

Это не займёт больше двух недель. Но оно спасёт вас от штрафов, проверок и потери доверия клиентов.