Как назначить ответственного за ПДн: приказ и обязанности
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». Каждый месяц вижу одно и то же: компания обрабатывает данные клиентов, но не назначила ответственного за персональные данные.
Результат — штраф от 15 до 75 тысяч рублей.
В этой статье — только практика: как правильно назначить ответственного, оформить приказ и избежать проверки.
Обязательно ли назначать ответственного за ПДн?
Да, обязательно — если вы обрабатываете персональные данные. Согласно части 1 статьи 18.1 Федерального закона № 152-ФЗ, оператор обязан назначить должностное лицо, ответственное за организацию обработки ПДн.
Это требование не зависит от размера компании. Даже ИП или ООО с одним сотрудником должно назначить такого человека.
Моё мнение: не ждите проверки. Я видел, как компании платили штрафы за то, что «считали, что это не нужно». Это как ездить без прав — закон нарушается, даже если никто не видит.
Кого можно назначить ответственным за ПДн?
Любого сотрудника, который:
• Знает основы 152-ФЗ,
• Понимает, что такое обработка ПДн,
• Может вести журнал инцидентов,
• Готов нести внутреннюю ответственность.
Чаще всего — это:
• юрист,
• HR,
• администратор,
• ИТ-специалист,
• или директор (в малых компаниях).
Важно: его ФИО должно быть указано в политике обработки ПДн. Без этого назначение не считается оформленным.
Совет от меня: не назначайте «для галочки». Нужен человек, который будет реально следить за безопасностью. В «ЛЕГАС» мы обучаем таких сотрудников — и это снижает риски в 10 раз.
Как оформить приказ о назначении?
Приказ — основной документ, подтверждающий назначение. Без него — нет доказательств.
Структура приказа:
• Номер и дата
• Наименование организации
• Формулировка: «Назначить [ФИО] ответственным за организацию обработки персональных данных»
• Перечень обязанностей (можно приложить отдельно)
• Подпись директора
• Ознакомление сотрудника под подпись
Пример формулировки:
«Приказываю: назначить Петрову Анну Сергеевну, специалиста по кадрам, ответственной за организацию обработки персональных данных в ООО «Лидер» с 01.04.2026.»
Моё мнение: храните приказ в двух экземплярах — бумажном и электронном. При проверке Роскомнадзор запросит копию.
Какие обязанности возложить на ответственного?
По закону и рекомендациям Роскомнадзора, обязанности включают:
• Контроль за соблюдением 152-ФЗ
• Ведение журнала учёта инцидентов с ПДн
• Организация ознакомления сотрудников с политикой ПДн
• Подготовка документов для проверок
• Уведомление субъектов ПДн при утечках
• Взаимодействие с Роскомнадзором
Совет от меня: включите эти обязанности в должностную инструкцию или приложение к приказу. Так будет проще доказать, что сотрудник знал свои функции.
Нужно ли обучать ответственного за ПДн?
Формально — не обязательно, но на практике — критично.
Роскомнадзор при проверке может запросить документы об обучении: сертификаты, протоколы, журналы.
Решение: пройдите курс по 152-ФЗ. Мы в «ЛЕГАС» проводим онлайн-обучение с выдачей сертификата. Это стоит дешевле штрафа.
Заключение
Ответственный за ПДн — это не формальность, а щит от штрафов.
Проверьте:
• Есть ли приказ?
• Подписан ли сотрудник?
• Указано ли ФИО в политике ПДн?
• Прошёл ли обучение?
Если нет — оформите сегодня. Даже если вы директор и сами будете этим заниматься — приказ нужен.
Скачайте образец приказа о назначении ответственного за ПДн (Word/PDF) — с правильной формулировкой и полями.
Поделитесь статьёй с HR или юристом — это может спасти компанию от штрафа.
Подпишитесь на legascom.ru — разбираем сложное просто.
