Работа с персональными данными уже давно перестала быть делом айтишников. Сегодня это зона прямой ответственности бизнеса — с проверками, штрафами и вполне реальными рисками.
В 2026 году требования принципиально не изменились, но контроль стал заметно жестче. Роскомнадзор начал проверять бизнес чаще, при этом формальные ошибки больше не воспринимаются как незначительные.
В этой статье разбираем, кто считается ответственным за обработку персональных данных, какие у него обязанности и как правильно оформить документы, чтобы снизить риски для бизнеса в 2026 году.
Не забудьте нажать «лайк» и подписаться на Чёрную Бухгалтерию в Дзене, чтобы следить за другими полезными публикациями для бизнеса:
Кто отвечает за персональные данные в компании
Согласно закону, ответственность за обработку персональных данных несет не «отдел» или «компания в целом», а конкретный сотрудник.
Речь идет о специалисте, которого работодатель официально утвердил ответственным за организацию обработки персональных данных (ст. 22.1 Федерального закона № 152-ФЗ).
Такой сотрудник:
- Подчиняется напрямую руководителю;
- Взаимодействует с Роскомнадзором;
- Контролирует соблюдение правил внутри компании.
На практике это означает, что при проверке сначала будут разговаривать именно с ним. И если у работника нет понимания процессов или документов — это станет проблемой для всей компании.
Обратите внимание: если ответственный человек не назначен — формально ответственность не несет никто. Соответственно, отвечать придется самой компании и ее руководителю.
Кого можно назначить ответственным за обработку ПД
Закон не устанавливает жестких требований к квалификации ответственного сотрудника. Но на практике, без опыта и понимания процессов справиться с задачами непросто.
Поэтому ответственным лицом часто назначают:
- Руководителя отдела кадров — если основной массив ПД связан с сотрудниками;
- Главного бухгалтера — в небольших компаниях;
- Директора — если бизнес маленький и процессы централизованы;
- Специалиста по информационной безопасности — если много данных и сложная IT-инфраструктура.
Можно назначить и стороннего специалиста, но с нюансом: отвечать за его ошибки в конечном итоге все равно будет компания (ч. 5 ст. 6 № 152-ФЗ).
Правило: несколько компаний — один ответственный
Даже если у компании есть филиалы или обособленные подразделения, по закону она может назначить только одно ответственное лицо (ст. 18.1, 22, 22.1 закона № 152-ФЗ).
Этот сотрудник выстраивает общую систему:
- Контролирует процессы во всех подразделениях;
- Устанавливает единые правила;
- Отвечает за взаимодействие с Роскомнадзором.
При этом на местах можно назначить сотрудников, которые будут ему помогать — например, в филиалах или отделах. Однако юридически они не заменят главного ответственного.
Чтобы избежать ошибок, рекомендуем закрепить распределение ролей во внутренних документах компании — например, в положении о защите персональных данных.
Когда назначать ответственного за обработку персональных данных
Назначение ответственного — уже не внутренний вопрос компании, который можно решить в любой момент.
Есть четкое правило: сначала назначение — потом уведомление в Роскомнадзор.
В уведомлении уже указываются данные ответственного лица. Если его нет — оформить документ корректно просто не получится.
Отдельная ситуация — смена ответственного сотрудника. В этом случае нужно сообщить об изменениях в Роскомнадзор:
- Срок — до 15 числа следующего месяца.
На практике именно здесь предприниматели часто допускают ошибки: забывают уведомить ведомство или делают это с опозданием. А это уже самостоятельное нарушение.
Как правильно оформить назначение ответственного лица
Назначение лица, ответственного за работу с персональными данными, происходит через приказ в свободной форме. В нем указывают:
- Данные компании;
- Дату и номер документа;
- Основание — ст. 22.1 закона № 152-ФЗ;
- ФИО и должность ответственного;
- Сотрудника на замену;
- Обязанность обеспечивать обработку и защиту ПД.
Документ должен быть подписан руководителем, а также самим назначенным сотрудником.
Что на самом деле делает ответственный за ПД
Самая распространенная ошибка — воспринимать работу ответственного как «ведение бумажек». Но на деле это координатор всей системы обработки персональных данных в компании.
Его обязанности (ч. 4 ст. 22.1 закона № 152-ФЗ) включают:
- Контроль соблюдения законодательства и внутренних регламентов;
- Информирование сотрудников о правилах работы с ПД;
- Организацию защиты данных от утечек и неправомерного доступа;
- Прием и обработку запросов от субъектов данных;
- Блокировку незаконной обработки;
- Оценку рисков и возможного вреда при утечках;
- Участие в восстановлении нарушенных прав.
Если компания крупная, такой сотрудник фактически управляет всей системой защиты персональных данных.
Какие процессы и документы должны быть под контролем
Чтобы деятельность не была формальной, ответственному нужно передать полную картину работы с данными. Речь идет о таких вещах, как:
- Цели обработки (зачем вообще собираются данные);
- Категории данных и субъектов (сотрудники, клиенты и т.д.);
- Правовые основания;
- Перечень операций с данными;
- Используемые меры защиты.
Отдельно стоит отметить изменения в оформлении согласий. С 1 сентября согласие на обработку персональных данных нужно получать отдельным документом, а не включать в другие тексты.
Вы можете узнать обо всех особенностях работы с персональными данными в 2026 году, из нашей предыдущей публикации, посвященной этой теме:
Как закрепить обязанности ответственного сотрудника юридически
Назначить сотрудника приказом недостаточно. Чтобы у него появились реальные обязанности, их нужно закрепить:
- Либо в трудовом договоре;
- Либо через дополнительное соглашение (ст. 72 ТК РФ).
Это важный юридический момент без которого:
- Сотрудник может оспорить свои обязанности;
- Будет сложнее привлечь его к ответственности.
Формально это небольшая деталь, но на практике — критически важная.
Персональные данные: штрафы и ответственность в 2026 году
В 2026 году ответственность за нарушения при работе с персональными данными остается комплексной. То есть, наказывают не только саму компанию, но и конкретных сотрудников.
Для ответственного за персональные данные
Если сотрудник допустил нарушение, будучи назначенным официально, возможны разные виды ответственности:
- Дисциплинарная — за нарушение внутренних регламентов
(замечание, выговор, увольнение по ст. 192 ТК РФ); - Административная — например, за обработку данных без согласия
(штраф до 500 000 ₽ по ст. 13.11 КоАП РФ); - Уголовная — за незаконный сбор или распространение сведений о частной жизни (штраф до 3 млн ₽ по ст. 272.1 УК РФ);
- Материальная — если по его вине компания понесла ущерб
(в пределах среднего заработка или в полном размере при умысле — ст. 238, 243 ТК РФ).
Важно, что ответственность наступает только если сотрудник назначен официально и его вина доказана.
Для руководителя и компании
Компания почти всегда несет ответственность параллельно с сотрудником. Среди основных рисков:
- Штрафы по ст. 13.11 КоАП РФ за нарушения обработки ПД;
- Ответственность за действия привлеченных специалистов;
- Штраф 100 000–300 000 ₽ за неподачу уведомления в Роскомнадзор;
- Аналогичный штраф за неподачу изменений (например, при смене ответственного).
Даже если ошибка допущена конкретным сотрудником, проверяющие оценивают систему в целом. И если она не выстроена — штраф получает компания.
Если вы хотите развивать любимое дело, не отвлекаясь на частые нововведения и сложности ведомствами — обратитесь к Чёрной Бухгалтерии!
Наша команда заберет на себя ведение учетов, расчет налогов и взносов, подачу отчетности, коммуникацию с ФНС и другие задачи с учетом всех изменений, чтобы вы работали без ошибок и штрафов.
Узнайте больше о компании, ознакомьтесь с услугами и оставьте заявку уже сейчас — на сайте чёрнаябухгалтерия.рф.
