Приказ о назначении ответственного лица по работе с ПД

1. Что это за документ и почему о нем вообще нужно говорить

Если говорить строго юридическим языком, правильное название документа — приказ о назначении лица, ответственного за организацию обработки персональных данных. Именно так формулирует закон. Это не разговорная формальность и не «бумага для Роскомнадзора на всякий случай», а один из базовых внутренних документов оператора персональных данных. Для юридического лица обязанность назначить такое лицо прямо закреплена в части 1 статьи 22.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных». Кроме того, пункт 1 части 1 статьи 18.1 того же закона называет назначение ответственного одной из мер, которые оператор обязан принять для соблюдения требований законодательства о персональных данных.

На практике смысл приказа очень простой. Руководитель организации не просто объявляет, кто «будет заниматься персональными данными», а официально закрепляет конкретного человека, который отвечает за организацию этой работы: за внутренний контроль, за доведение правил до сотрудников, за координацию ответов на обращения субъектов персональных данных. Именно поэтому такой документ нужен не только крупной компании, но и обычному работодателю, у которого есть кадровые документы, база клиентов, анкеты соискателей или формы обратной связи на сайте.

В 2026 году этот вопрос особенно важен. Причина не в какой-то новой «специальной статье про приказ», а в том, что требования к документальному подтверждению соблюдения закона о персональных данных стали практическим предметом проверок и споров заметно острее, а административные санкции в сфере персональных данных с 30 мая 2025 года были существенно усилены. Поэтому приказ о назначении ответственного — это уже давно не факультативная формальность, а часть реальной системы комплаенса.

Для юридического лица назначение ответственного за организацию обработки персональных данных — это не право и не рекомендация, а прямая обязанность, вытекающая из статьи 22.1 Закона № 152-ФЗ.

2. Кто обязан издать такой приказ, а кто нет

Главное правило здесь такое: обязанность по статье 22.1 Закона № 152-ФЗ прямо сформулирована для оператора, являющегося юридическим лицом. Поэтому для ООО, АО, НКО, частных учреждений, автономных организаций, образовательных и медицинских организаций вопрос обычно решается однозначно: если организация обрабатывает персональные данные, приказ нужен.

При этом важно не путать общий статус оператора и обязанность именно по статье 22.1. По пункту 2 статьи 3 Закона № 152-ФЗ оператором может быть государственный орган, муниципальный орган, юридическое или физическое лицо. Эту же позицию повторяет Роскомнадзор в официальных разъяснениях: оператором может быть и физическое лицо, если именно оно организует и осуществляет обработку и определяет ее цели. Но прямая формулировка о назначении ответственного адресована юридическим лицам. Поэтому безопаснее говорить так: для юридических лиц это обязательная мера; для физических лиц и индивидуальных предпринимателей такой прямой обязанности статья 22.1 не устанавливает.

Отдельно стоит сказать о государственных и муниципальных органах. Для них действует часть 3 статьи 18.1 Закона № 152-ФЗ и Постановление Правительства РФ от 21.03.2012 № 211. Этот акт утверждает перечень мер для государственных и муниципальных органов, и среди них прямо названо назначение ответственного за организацию обработки персональных данных. То есть для органов власти обязанность также существует, но через специальный набор мер, установленный Правительством.

Отсюда практический вывод: если вы представляете коммерческую организацию, образовательное учреждение, медицинский центр, управляющую компанию, онлайн-сервис, кадровое агентство или любую иную организацию, которая собирает данные работников, клиентов, посетителей сайта или контрагентов-физлиц, разумный рабочий ответ почти всегда один — приказ нужен.

3. Когда приказ надо издать: до начала обработки или можно потом

Юридически верный и практически безопасный подход такой: приказ должен быть издан до начала системной обработки персональных данных или одновременно с запуском соответствующих процессов внутри организации. Логика закона здесь довольно прямолинейна. Часть 1 статьи 22 Закона № 152-ФЗ говорит, что оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о намерении осуществлять обработку, если не действует исключение из части 2 этой статьи. А пункт 7.1 части 3 статьи 22 требует указывать в уведомлении сведения о лице, ответственном за организацию обработки персональных данных.

Иначе говоря, законодатель исходит из того, что ответственное лицо должно быть определено не «когда-нибудь потом», а к моменту, когда у оператора уже строится законная модель обработки персональных данных. Более того, часть 7 статьи 22 обязывает сообщать в Роскомнадзор об изменении сведений, указанных в части 3 этой статьи, не позднее 15-го числа месяца, следующего за месяцем изменений. Следовательно, если ответственное лицо сменилось, внутренний приказ и внешнее уведомление должны идти согласованно.

На практике самая частая ошибка выглядит так: организация уже давно ведет кадровый учет, принимает заявки с сайта, хранит анкеты клиентов, а приказа о назначении ответственного нет вовсе. Формально работа идет, но базовый организационный элемент системы отсутствует. Это именно тот случай, когда искать в интернете образец, шаблон, типовой текст или онлайн-конструктор лучше не после требования проверяющего, а до него.

4. Это не договор и не документ между кем-то

Многие пользователи по привычке относятся к любому юридическому документу как к договору. Здесь это ошибка. Приказ о назначении ответственного лица по работе с ПД не заключается между физическими лицами, не оформляется между юридическими лицами и вообще не относится к гражданско-правовым соглашениям. Это внутренний распорядительный акт оператора.

Поэтому не надо пытаться составить его как договор: с предметом, ценой, сроками исполнения обязательств, порядком расчетов и прочими гражданско-правовыми условиями. Если организация поручает обработку персональных данных подрядчику, аутсорсеру, облачному сервису или кадровому провайдеру, это уже другой документ — договор или поручение на обработку персональных данных по части 3 статьи 6 Закона № 152-ФЗ. В таком договоре действительно нужно прописывать перечень операций, цели обработки, обязанности соблюдать конфиденциальность и требования к защите данных. Но приказ о назначении ответственного — это не он.

Из этого следует и практический совет. Когда человек ищет «приказ по ПД между физическими лицами» или «типовой документ между юридическими лицами», он ищет не тот жанр. Такой приказ нужен внутри одной организации. Он фиксирует управленческое решение руководителя и внутреннее распределение функций, а не внешние договоренности сторон.

5. Кого можно назначить ответственным и какие требования есть к этому человеку

Закон не требует, чтобы ответственным обязательно был юрист, айтишник, кадровик или сотрудник со специальным сертификатом. В статье 22.1 нет закрытого перечня допустимых должностей. Но закон прямо устанавливает важные функциональные требования. По части 2 статьи 22.1 ответственное лицо получает указания непосредственно от исполнительного органа организации и подотчетно ему. А часть 4 той же статьи перечисляет ключевые обязанности такого лица.

Эти обязанности трижды важно проговорить, потому что именно они определяют, кого реально стоит назначать. Ответственный должен:

осуществлять внутренний контроль за соблюдением оператором и его работниками законодательства о персональных данных;
доводить до сведения работников положения законодательства, локальных актов и требований к защите данных;
организовывать прием и обработку обращений и запросов субъектов персональных данных либо контролировать эту работу.

Из этого видно, что ответственным должен быть не просто «любой сотрудник, которому поручили еще одну папку». Нужен человек, у которого есть достаточный организационный ресурс, доступ к руководителю и реальная возможность влиять на процессы. В малом бизнесе им часто становится директор, начальник отдела кадров, юрист или администратор, совмещающий несколько функций. В средней и крупной организации это нередко руководитель кадрового блока, юрист, комплаенс-менеджер, руководитель службы информационной безопасности или иной сотрудник, который может координировать работу нескольких подразделений. Это уже практический вывод из закона, а не жесткий список допустимых должностей.

Именно поэтому хороший образец приказа, хороший шаблон или даже удобный конструктор не должны подталкивать к механическому назначению первого попавшегося сотрудника. Сначала надо выбрать лицо, которое реально сможет исполнять функции по статье 22.1, и только потом создать текст приказа.

6. Что обязательно должно быть в приказе

Унифицированной государственной формы такого приказа нет. Никакой обязательный «госбланк» для коммерческих организаций не утвержден. Значит, документ можно составить в свободной форме, но при этом в нем должны быть все юридически значимые элементы, без которых приказ превращается в пустую формальность.

Практически безопасная структура включает:

• наименование организации;
• дату, номер и место издания приказа;
• правильный заголовок документа;
• указание ФИО и должности назначаемого лица;
• формулировку о назначении ответственным за организацию обработки персональных данных;
• дату, с которой лицо приступает к исполнению обязанностей;
• указание на подотчетность исполнительному органу организации;
• перечень основных обязанностей, вытекающих из статьи 22.1 Закона № 152-ФЗ;
• при необходимости — поручения другим подразделениям ознакомить работника, внести изменения в локальные акты, обновить сведения для Роскомнадзора;
• подпись руководителя и отметку об ознакомлении назначенного лица.

В самом тексте приказа полезно писать не общую фразу «назначить ответственного по ПД», а формулировку, максимально близкую к закону: «назначить Иванова Ивана Ивановича, начальника отдела кадров, лицом, ответственным за организацию обработки персональных данных». Такая конструкция лучше соотносится со статьей 22.1 и снижает риск спора о том, кого именно и на какую функцию назначили.

Нередко пользователи хотят скачать типовой файл и сразу пустить его в работу. Это допустимо как стартовая точка, но только если типовой образец затем адаптируется под вашу структуру. Иначе типовой текст будет выглядеть правильно, а фактически не решит ни одного практического вопроса.

7. Что не стоит включать в приказ, чтобы не испортить документ

Есть и противоположная ошибка — сделать приказ чрезмерно тяжелым. Иногда в него пытаются поместить всю систему регулирования персональных данных: цели обработки, категории субъектов, сроки хранения, перечни информационных систем, механизмы уничтожения, порядок трансграничной передачи, формы согласий, маршруты обращений и даже таблицы угроз. Так делать не стоит.

Пункт 2 части 1 статьи 18.1 Закона № 152-ФЗ говорит, что оператор должен издать документы, определяющие политику в отношении обработки персональных данных, локальные акты по вопросам обработки персональных данных, документы по целям, категориям, срокам обработки и хранения, а также процедуры предотвращения и выявления нарушений. Это значит, что законодатель сам разделяет пакет документов по функциям. Приказ о назначении ответственного — один документ. Политика и локальные акты — другие документы. Порядок уничтожения данных, правила доступа, журналы учета, положения по защите информации — еще одна группа документов.

Не нужно и подменять приказом правовое основание обработки. Даже самый красивый приказ не заменяет основания обработки из статьи 6 Закона № 152-ФЗ, не подменяет режим конфиденциальности из статьи 7 и не отменяет мер защиты, предусмотренных статьей 19. Он отвечает только на вопрос «кто внутри организации организует соблюдение правил», но не отвечает за саму законность каждой конкретной операции с персональными данными.

Приказ о назначении ответственного — это каркас управления, а не замена политике, согласию, локальным актам и основаниям обработки.

8. Какие документы должны существовать рядом с приказом

Если смотреть на систему работы с ПД не формально, а по-деловому, один приказ почти никогда не бывает достаточным. Он должен существовать в связке с другими документами, которые прямо или косвенно предусмотрены законом.

Минимальный комплект для большинства организаций обычно включает:

• политику оператора в отношении обработки персональных данных;
• локальные акты по вопросам обработки персональных данных;
• документы, определяющие для каждой цели обработки категории и перечни персональных данных и субъектов, сроки обработки и хранения, порядок уничтожения;
• процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
• документы о доступе работников к персональным данным и о соблюдении конфиденциальности;
• при необходимости — формы согласий, журналы, регламенты работы с запросами субъектов, акты об уничтожении данных.

Если оператор является работодателем, нельзя забывать о трудовом законодательстве. Пункт 8 статьи 86 Трудового кодекса РФ требует, чтобы работники и их представители были ознакомлены под роспись с документами работодателя, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. Дополнительно пункт 6 части 1 статьи 18.1 Закона № 152-ФЗ требует знакомить работников, непосредственно осуществляющих обработку персональных данных, с законодательством, политикой, локальными актами и требованиями к защите данных и (или) обучать их.

Поэтому, если вы хотите не просто скачать шаблон приказа, а действительно собрать рабочий пакет документов, нужно смотреть шире. Образец приказа полезен, но сам по себе он проблему не решает. В этом смысле даже самый продвинутый онлайн-конструктор хорош только тогда, когда он помогает создать не один файл, а логичную систему.

9. Нужно ли согласие работника, доплата и изменение должностной инструкции

Сам Закон № 152-ФЗ не требует отдельного «согласия на назначение ответственным». Руководитель издает приказ как внутренний распорядительный акт. Но на практике вопрос упирается не только в персональные данные, а и в трудовую функцию конкретного сотрудника.

Если назначаемый работник уже по должности отвечает за кадровое делопроизводство, юридическое сопровождение, комплаенс или защиту информации, приказ часто просто фиксирует и конкретизирует уже существующий функционал. Но если на сотрудника фактически возлагают новый объем обязанностей, который раньше в его работу не входил, лучше привести в порядок трудовые документы: должностную инструкцию, положение о подразделении, при необходимости условия оплаты труда. Общая правовая рамка для принятия работодателем локальных нормативных актов содержится в статье 8 ТК РФ.

Иными словами, по линии персональных данных сам приказ может быть достаточен для назначения, но по линии трудового права безопаснее, чтобы обязанности были встроены в кадровую документацию. Иначе в спорной ситуации работник может ссылаться уже не на Закон № 152-ФЗ, а на то, что ему без надлежащего оформления фактически изменили трудовую функцию. Это практический, а не прямо текстуальный вывод из сочетания статьи 22.1 Закона № 152-ФЗ и статьи 8 ТК РФ.

Здесь особенно вреден слишком упрощенный типовой шаблон из интернета. Такой шаблон может помочь быстро составить документ, но не подскажет, нужно ли параллельно изменить должностную инструкцию, кто будет отвечать за внутренний контроль, а кто — за техническую защиту данных. Поэтому любой образец надо соотносить с реальной кадровой ситуацией.

10. Как оформить приказ и кого с ним знакомить

С формальной точки зрения приказ подписывает руководитель организации либо иное лицо, уполномоченное на издание распорядительных актов. Но после подписания начинается более важная часть — внедрение.

Минимально стоит сделать следующее:

• ознакомить с приказом назначенное ответственное лицо под подпись;
• при необходимости ознакомить руководителей подразделений, которые будут взаимодействовать с ответственным;
• актуализировать локальные акты, если в них указано иное ответственное лицо;
• проверить, не нужно ли обновить сведения, ранее направленные в Роскомнадзор;
• организовать ознакомление работников, обрабатывающих персональные данные, с правилами, политикой и локальными актами. Это уже вывод из совокупности обязанностей оператора, прямо перечисленных в законе.

Последний пункт особенно важен для работодателя. Пункт 8 статьи 86 ТК РФ требует ознакомления работников под роспись с документами работодателя, которые устанавливают порядок обработки персональных данных работников. А пункт 6 части 1 статьи 18.1 Закона № 152-ФЗ требует ознакомления или обучения тех работников, которые непосредственно осуществляют обработку персональных данных. Поэтому хороший приказ — это не только текст, но и след в процедуре: лист ознакомления, отметки, реестр, доказательства фактического доведения правил до сотрудников.

Если просто скачать файл, распечатать и положить его в папку, а сотрудники о нем ничего не знают, с точки зрения реальной проверки это слабая позиция.

11. Что делать, если ответственное лицо увольняется или меняется

Смена ответственного лица — обычная ситуация. Человек увольняется, уходит в отпуск по уходу за ребенком, переводится в другое подразделение, у организации меняется структура, происходит слияние функций. В этом случае приказ нельзя оставлять в старом виде только потому, что «в архиве уже что-то лежит».

Если ответственное лицо изменилось, нужно:

• издать новый приказ о назначении другого лица либо приказ о внесении изменений;
• прекратить полномочия прежнего ответственного во внутренних документах;
• проверить, совпадают ли актуальные данные во внутренних актах и в сведениях, представленных в Роскомнадзор;
• при необходимости направить в Роскомнадзор уведомление об изменении сведений.

Основание для последнего действия — часть 7 статьи 22 Закона № 152-ФЗ: оператор обязан уведомлять Роскомнадзор об изменении сведений, указанных в части 3 статьи 22, не позднее 15-го числа месяца, следующего за месяцем, в котором возникли изменения. А пункт 7.1 части 3 статьи 22 как раз относит к таким сведениям данные о лице, ответственном за организацию обработки персональных данных.

На практике это означает следующее: если вы сменили ответственного, но забыли обновить сведения в уведомлении, у вас возникает не только внутренний, но и внешний разрыв в документах. Именно здесь помогает не просто типовой образец приказа, а нормальный конструктор внутренней процедуры: кто издает приказ, кто обновляет реестр документов, кто готовит корректировку сведений для Роскомнадзора, кто проверяет публикации на сайте.

12. Что показывает судебная практика по таким нарушениям

Судебная практика показывает, что отсутствие назначенного ответственного и иные базовые организационные пробелы в сфере ПД воспринимаются судами как реальные нарушения, а не как «оформительские мелочи». Это важно, потому что в бизнес-среде до сих пор встречается миф, будто приказ нужен только для вида.

Так, в постановлении мирового судьи по делу № 5-146/2017 от 19.06.2017 суд указал, что у ООО «Мечта» документальное подтверждение назначения лица, ответственного за организацию обработки персональных данных, отсутствует, внутренний контроль не осуществляется, а положения статей 22 и 22.1 Закона № 152-ФЗ не соблюдены. При этом суд признал наличие состава административного правонарушения по статье 13.11 КоАП РФ. В этом деле особенно полезен практический вывод: суд не ограничился общими рассуждениями, а прямо отметил отсутствие документального подтверждения назначения ответственного.

Есть и другая линия практики: суды рассматривают нарушение не только как отсутствие приказа, но и как отсутствие всей обязательной инфраструктуры. Например, в постановлении по делу № 5-40/2017 от 19.04.2017 мировой судья указал на нарушение статьи 18.1 Закона № 152-ФЗ из-за отсутствия на сайте документов, определяющих политику в отношении обработки персональных данных, и сведений о реализуемых требованиях к защите данных. Это полезно для понимания общей логики: один приказ не спасает, если остальная обязательная документация отсутствует.

Наконец, практика по статье 19.7 КоАП РФ показывает, что проблемы возникают и на стадии взаимодействия с Роскомнадзором. В постановлении по делу № 5-331/2017 от 04.07.2017 суд подтвердил ответственность за непредставление по запросу Роскомнадзора сведений, которые закон требует представить, в том числе сведений, связанных с пунктом 7.1 части 3 статьи 22 Закона № 152-ФЗ о лице, ответственном за организацию обработки персональных данных. Для практики это значит простую вещь: важно не только назначить ответственное лицо, но и корректно отражать и подтверждать эти сведения при взаимодействии с уполномоченным органом.

С учетом изменений КоАП РФ, внесенных Федеральным законом от 30.11.2024 № 420-ФЗ и вступивших в силу с 30.05.2025, общий риск в сфере персональных данных в 2026 году стал заметно выше. Поэтому отсутствие приказа редко рассматривается изолированно. Чаще оно идет в связке с отсутствием политики, дефектами уведомления, нарушениями порядка ознакомления работников, проблемами с согласиями или с ответами на запросы субъектов.

13. Можно ли взять готовый образец, скачать шаблон или использовать конструктор

Да, использовать готовый образец можно. Да, скачать шаблон тоже можно. Да, онлайн-конструктор — это нормальный рабочий инструмент, если его использовать с головой. Но нужно понимать пределы таких решений.

Образец полезен как ориентир по структуре. Шаблон удобен, чтобы быстрее составить черновик. Конструктор помогает создать первичную версию документа без потери обязательных реквизитов. Типовой текст ускоряет работу, если вы уже понимаете, кто именно будет назначен, какие функции он получит и как этот приказ будет встроен в остальной пакет документов. Но ни один образец, ни один шаблон, ни один типовой файл и ни один конструктор не знают вашей организационной схемы, ваших целей обработки и ваших внутренних маршрутов работы с персональными данными.

Поэтому правильный порядок действий выглядит так:

• сначала определить, какие именно персональные данные вы обрабатываете и в каких процессах;
• затем выбрать человека, который реально сможет исполнять функции по статье 22.1;
• потом составить проект приказа;
• после этого проверить связку приказа с политикой, локальными актами, уведомлением в Роскомнадзор и кадровыми документами;
• и только в конце скачать финальную версию, подписать и внедрить ее в работу.

Именно в этом месте становится понятна реальная роль готовых решений. Если вы берете образец — используйте его как каркас. Если берете шаблон — адаптируйте под фактическую структуру. Если хотите скачать типовой файл — сначала проверьте, что он не устарел и отражает редакцию закона, актуальную на 2026 год. Если пользуетесь сервисом-конструктором — перепроверьте, не упрощает ли он ваш документ до опасной формальности.

И последний важный вывод. Приказ о назначении ответственного лица по работе с ПД — это внутренний организационный документ, а не соглашение между физическими лицами и не сделка между юридическими лицами. Его задача — не «украсить папку», а помочь оператору реально соблюдать Закон № 152-ФЗ. Поэтому лучший результат дает не слепое желание скачать первый попавшийся типовой документ, а внимательная работа: понять норму, составить текст под себя, создать связку с остальными локальными актами и поддерживать ее в актуальном состоянии.