Find My Articles
Blog

Назначение ответственного за обработку персональных данных: обязанности и требования по закону № 152-ФЗ

Право Posted on March 21 2026
Назначение ответственного за обработку персональных данных: обязанности и требования по закону № 152-ФЗ
Deborah McPeake 0 Comments

Почему каждая компания должна назначить ответственного за обработку персональных данных

Если ваша компания собирает, хранит или использует хоть какие-то данные о людях - фамилии, телефоны, адреса, паспортные данные - вы обязаны назначить ответственного за обработку персональных данных. Это не рекомендация, а требование закона. Согласно Федеральному закону № 152-ФЗ от 27 июля 2006 года, каждый оператор персональных данных, за исключением отдельных случаев, должен иметь такого сотрудника. Это не просто формальность. Нарушение этого правила может привести к штрафам, проверкам Роскомнадзора и даже приостановке обработки данных.

Ответственный за обработку персональных данных - это человек, который стоит между компанией и законом. Он не просто «отвечает» за документы. Он обеспечивает, чтобы всё, что делается с личной информацией, соответствовало требованиям закона. Без него компания рискует стать уязвимой для утечек, жалоб клиентов и проверок. В 2025 году Роскомнадзор провёл более 12 000 проверок по вопросам защиты персональных данных - и почти в каждом случае, где не было назначенного ответственного, выносился штраф.

Кто может стать ответственным за обработку персональных данных

Закон не требует, чтобы это был юрист, бухгалтер или IT-специалист. Но на практике выбор падает на тех, кто уже работает с данными, документами или безопасностью. Чаще всего эту роль получают:

  • Начальник отдела кадров - потому что он знает, какие данные о сотрудниках хранятся и где;
  • Главный бухгалтер - если в компании нет отдельного отдела ИБ, а данные сотрудников обрабатываются в бухгалтерских системах;
  • Руководитель службы информационной безопасности - особенно в компаниях с цифровыми системами, базами данных, облачными сервисами;
  • Штатный юрист - но только если он специализируется на защите данных, а не просто оформляет договоры.

Нельзя назначить ответственным человека, который не понимает, что такое персональные данные, как их защищать и какие последствия могут быть при утечке. Важно, чтобы он имел доступ к руководству, мог принимать решения и не зависел от других отделов. Именно поэтому закон требует, чтобы ответственный подчинялся непосредственно директору.

Как правильно назначить ответственного

Назначение происходит в три шага.

  1. Издание приказа. Руководитель издаёт внутренний приказ, в котором чётко указаны ФИО назначаемого, его должность, дата начала полномочий и ссылка на статью 22.1 закона № 152-ФЗ. Без этого документа ответственный не имеет юридической силы.
  2. Подписание инструкции и обязательства. Сотрудник должен ознакомиться с должностной инструкцией и подписать документ о неразглашении конфиденциальной информации. Это не просто формальность - это доказательство, что он осознаёт свою ответственность.
  3. Уведомление Роскомнадзора. В течение 10 рабочих дней после назначения компания обязана отправить в Роскомнадзор обновлённое уведомление о обработке персональных данных. В нём нужно указать ФИО, должность, телефон и email ответственного. Если этого не сделать - компания автоматически попадает в список нарушителей.

Важно: если ответственный увольняется или меняет должность, нужно издать новый приказ и снова уведомить Роскомнадзор. Это не «когда-нибудь», а обязательное действие в течение 10 дней.

Основные обязанности ответственного: три ключевых направления

Федеральный закон № 152-ФЗ чётко прописывает обязанности ответственного. Их можно свести к трём группам.

1. Контроль внутри компании

Ответственный следит за тем, чтобы все сотрудники, работающие с персональными данными, соблюдали правила. Он проводит внутренние проверки: смотрит, как хранятся списки клиентов, проверяет, есть ли пароли на базы данных, контролирует, кто и куда передаёт информацию. Он должен выявлять нарушения - например, если сотрудник отправляет базу данных через WhatsApp или хранит файлы с паспортами на личном компьютере.

Результаты проверок фиксируются в актах. Если кто-то нарушает правила - ответственный готовит предложения о дисциплинарной ответственности. Он не наказывает сам, но именно он даёт руководству основания для дисциплинарного взыскания.

2. Обучение сотрудников

Невозможно защитить данные, если сотрудники не знают, как с ними обращаться. Ответственный проводит инструктажи - минимум раз в год, а лучше чаще. Он объясняет:

  • Что такое персональные данные (включая биометрию, местоположение, IP-адреса);
  • Запреты: нельзя передавать данные через мессенджеры, нельзя хранить их на флешках;
  • Как запрашивать согласие на обработку данных;
  • Что делать, если пришёл запрос от человека - «удалите мои данные».

Он разрабатывает памятки, проводит тесты, ведёт журналы прохождения инструктажей. Это не «всё равно», а обязательная часть работы. Без обучения компания не пройдёт проверку.

3. Работа с запросами и жалобами

Люди имеют право требовать:

  • Получить копию своих данных;
  • Исправить ошибки;
  • Удалить данные;
  • Ограничить обработку;
  • Передать данные другой компании.

Ответственный должен отвечать на эти запросы в течение 30 дней. Если человек подал жалобу в Роскомнадзор - ответственный готовит официальный ответ, прикладывает документы, объясняет, почему действия компании законны. Он - лицо, с которым работает регулятор.

Сотрудник проводит обучение по защите данных, пока коллеги пытаются отправить информацию через WhatsApp и хранить её на флешке.

Дополнительные функции, которые часто возлагаются на ответственного

Помимо основных обязанностей, ответственный может заниматься:

  • Разработкой политики обработки персональных данных - документа, который описывает, как именно компания работает с данными;
  • Созданием форм согласия на обработку - чтобы они соответствовали требованиям закона;
  • Ведением реестра носителей данных - где хранятся файлы, на каких серверах, кто имеет доступ;
  • Контролем сроков хранения - например, данные о сотрудниках после увольнения должны храниться не более 5 лет, а о клиентах - в зависимости от договора;
  • Организацией уничтожения данных - бумажные документы - на специальном оборудовании, электронные - с использованием программного удаления;
  • Взаимодействием с Роскомнадзором при проверках - подготовка документов, ответы на запросы, участие в беседах.

Чем сложнее система обработки данных - тем больше функций ложится на ответственного. В крупных компаниях эта роль превращается в полноценную должность, а не в дополнительную нагрузку.

Что происходит при утечке данных

Если кто-то получил доступ к базе с паспортами, телефонами или медицинскими данными - это инцидент. Ответственный обязан действовать немедленно.

Его действия:

  1. Определить масштаб утечки - сколько данных было скомпрометировано, кому они были переданы;
  2. Уведомить Роскомнадзор - в течение 72 часов с момента обнаружения;
  3. Уведомить пострадавших - если утечка может повредить их правам или интересам;
  4. Провести анализ причины - почему произошло, как можно было предотвратить;
  5. Принять меры - изменить пароли, заблокировать доступ, пересмотреть политику безопасности;
  6. Подготовить отчёт - который может потребовать Роскомнадзор.

Задержка даже на один день может привести к штрафу в 100 000 рублей и выше. Ответственный - это первая линия обороны.

Требования к квалификации и обучению

Закон не требует специального диплома. Но он требует знаний. Согласно части 1 статьи 18.1 закона № 152-ФЗ, ответственный должен пройти обучение по защите персональных данных. Это значит:

  • Не достаточно прочитать статью на сайте Роскомнадзора - нужно пройти официальный курс;
  • Обучение должно быть подтверждено документом - сертификатом, удостоверением;
  • Курсы должны обновляться - закон меняется, и ответственный должен следить за новыми постановлениями, например, Постановлением Правительства № 1119 о требованиях к защите данных;
  • Он должен уметь читать правовые акты, понимать, что значит «цель обработки», «согласие», «перечень категорий данных».

Лучшие ответственные - это те, кто проходят курсы не раз в год, а раз в полгода. Они следят за изменениями в судебной практике, за новыми разъяснениями Роскомнадзора, за тем, как суды трактуют те или иные ситуации.

Ответственный за ПД предотвращает утечку данных, спеша уведомить Роскомнадзор в течение 72 часов после инцидента.

Что будет, если ответственного не назначить

Нарушение требований закона - это не «предупреждение». Это штрафы:

  • Для физлиц - от 1 000 до 5 000 рублей;
  • Для должностных лиц - от 10 000 до 50 000 рублей;
  • Для организаций - от 50 000 до 200 000 рублей.

Повторное нарушение - штраф до 750 000 рублей и приостановление обработки данных. Это значит, что компания не сможет работать с клиентами, отправлять уведомления, вести учёт сотрудников - всё остановится.

Проверки Роскомнадзора становятся всё чаще. В 2025 году было зафиксировано 8 000 случаев, когда компании не имели назначенного ответственного. В 90% из них вынесены штрафы. Это не случайность - это системная работа контролирующего органа.

Как выбрать правильного человека

Не назначайте ответственного просто потому, что «кто-то должен». Выбирайте того, кто:

  • Имеет опыт работы с документами и данными;
  • Понимает, что такое конфиденциальность и безопасность;
  • Готов учиться - закон меняется, и он должен быть в курсе;
  • Не боится говорить «нет» - например, если руководитель хочет передать данные третьему лицу без согласия;
  • Имеет доступ к руководству - чтобы его рекомендации имели вес.

Если в компании нет такого человека - лучше нанять внешнего консультанта, но оставить внутреннего ответственного. Такой подход работает: внешний эксперт решает сложные вопросы, а внутренний сотрудник обеспечивает выполнение требований в повседневной работе.

Что делать, если вы только начинаете

Если вы только сейчас задумались о назначении ответственного - начните с простого:

  1. Определите, какие персональные данные вы обрабатываете - сотрудников, клиентов, поставщиков;
  2. Выберите кандидата - лучше всего из отдела кадров или ИБ;
  3. Издайте приказ и назначьте дату начала;
  4. Ознакомьте кандидата с законом № 152-ФЗ и Постановлением № 1119;
  5. Запишите его на курс по защите персональных данных;
  6. Подайте уведомление в Роскомнадзор;
  7. Разработайте должностную инструкцию и начните проводить инструктажи.

Это не займёт больше двух недель. Но оно спасёт вас от штрафов, проверок и потери доверия клиентов.

Deborah McPeake
Deborah McPeake

I am a legal writer and policy analyst focusing on civil rights, administrative law, and consumer protection. I turn complex legal issues into clear, practical guides for the public and professionals. I contribute to think tanks and legal blogs and consult on plain-language compliance. My work often bridges U.S. law with comparative perspectives.

Latest Posts
Оборот сельхозземель: новые ограничения на покупку и продажу с 2026 года

Оборот сельхозземель: новые ограничения на покупку и продажу с 2026 года

С 2026 года в России вступают в силу новые законы, регулирующие оборот сельскохозяйственных земель. Узнайте, какие изменения ждут владельцев участков, как избежать штрафов и что нужно сделать уже сейчас.

Posted on February 6 2026
Доля умершего участника ООО: как наследникам получить право на участие или компенсацию

Доля умершего участника ООО: как наследникам получить право на участие или компенсацию

При смерти участника ООО его доля переходит к наследникам, но не всегда автоматически. Устав общества решает, получат ли они участие или только деньги. Разберём, как действовать, чтобы не остаться без доли и не заплатить лишнего.

Posted on March 4 2026

© 2026. All rights reserved.