Когда в компании происходит утечка данных, отключается сервис, приходит проверка или появляется жалоба клиента, в повестке резко возникает вопрос: «Кто был за это ответственен?». Если все настроено правильно, ответ известен. Если нет, то начинается поиск крайних.

Вопрос информационной безопасности уже давно перестал быть технической темой. Это управленческий вопрос. И от того, кто и как в компании несет ответственность за защиту информации, зависит не только соответствие закону, но и устойчивость бизнеса.

Что требуется по закону

Любая компания, обрабатывающая персональные данные (а это почти все: CRM, email, сайт, СБИС, 1С), обязана:

• назначить лицо, ответственное за организацию обработки и защиту персональных данных;
• оформить это назначение официально (приказ, должностные инструкции);
• обеспечить этому лицу полномочия, ресурсы и доступ к управленческим решениям.

Это прямая и многоуровневая нормативная обязанность, игнорировать которую означает нарушать закон.

Минимальный набор правовых требований к операторам персональных данных закреплен сразу в нескольких ключевых источниках:

• Часть 2 статьи 18.1 закона № 152‑ФЗ обязывает каждого оператора обеспечить «неограниченный доступ к политике в отношении обработки персональных данных». Это означает не просто публикацию шаблонного документа, а наличие актуального, конкретного и прозрачного описания того, какие данные собираются, зачем, на каком основании, кто их обрабатывает и как субъект может реализовать свои права. Отсутствие такой политики — уже формальное нарушение, даже если остальные меры соблюдены.
• Приказ ФСТЭК России № 21 определяет перечень организационных и технических мер, необходимых для защиты ПДн, если они обрабатываются в информационных системах. Он обязателен для любой организации, у которой есть ИСПДн, и распространяется на четыре уровня защищенности. Выполнение этих требований невозможно без системной оценки угроз, внедрения СЗИ, контроля доступа и управления инцидентами. Это не рекомендация, это технический минимум, за который отвечает бизнес.
• Постановление Правительства РФ № 1272 от 15.07.2022 распространяется на стратегические предприятия, госкорпорации, инфраструктурные объекты и других крупных операторов. Оно требует наличия утвержденной политики обеспечения безопасности ПДн, перечня мер защиты, плана реагирования на инциденты, регулярной оценки эффективности применяемых мер, а также назначения ответственных лиц. Более того, согласно этому постановлению, информация об исполнении мер может запрашиваться регулятором, и ее отсутствие при проверке трактуется как прямое нарушение.

Таким образом, даже для компаний, не работающих с государственными заказами и не относящихся к критической инфраструктуре, существует юридически закрепленный базис, который необходимо соблюдать. А для крупных и стратегически значимых организаций к этому добавляются специальные акты с расширенным перечнем обязанностей и контролей.

Неисполнение этих норм становится четко определенным составом правонарушения. Речь идет не только о штрафах (которые в 2025 году выросли до десятков миллионов рублей), но и о блокировке сайтов, включении в реестр нарушителей, невозможности участвовать в тендерах, расторжении контрактов с контрагентами и возбуждении уголовных дел в случае утечек.

Поэтому, когда мы говорим о документах, политиках и приказах, мы говорим не о бумажной бюрократии, а о регуляторной защите бизнеса от реальных угроз.

Почему IT не должны быть по умолчанию ответственными за персональные данные

В большинстве компаний именно IT-специалисты первыми попадают в зону ответственности за персональные данные, и это кажется логичным. В их ведении находятся серверы, базы данных, система доступа, бэкапы, шифрование, антивирусы и другие элементы ИТ-инфраструктуры. Они те, кто «держит систему в руках». Поэтому нередко считается, что именно IT должны «обеспечить соответствие 152‑ФЗ». Однако такая логика является ошибкой управленческого уровня, которая на практике приводит к уязвимостям и ответственности компании.

Да, IT действительно обеспечивает техническую сторону обработки данных. Но их зона ответственности — это доступность, отказоустойчивость, работоспособность систем и выполнение установленных требований, а не правовая оценка данных и бизнес-решения. IT не обязаны (и не должны) принимать на себя функции, которые относятся к юридическому, комплаенс- и управленческому уровням.

Что точно не входит в задачи IT-отдела:

• Определение, какие категории данных являются персональными, специальными, биометрическими или конфиденциальными.
• Разработка политики безопасности, положения о конфиденциальности, порядка доступа к данным, т.к. это функция CISO, DPO или юридической службы.
• Решения о том, кому в компании можно предоставлять доступ к данным, кто является оператором, кто обработчиком, кто субподрядчиком.
• Взаимодействие с Роскомнадзором, ФСТЭК, подача уведомлений, подготовка правовых обоснований, согласий, договоров.
• Ответы на запросы субъектов персональных данных, в том числе требования об удалении, разъяснении, блокировке данных.
• Обработка инцидентов с правовыми последствиями: например, при утечке данных, неправомерной передаче или жалобе в надзорный орган.

IT могут реализовать технические меры, но не могут и не должны самостоятельно определять содержание правовых и организационных процедур.

И если в компании не делегированы соответствующие функции профильным специалистам (будь то CISO, DPO, директор по комплаенсу или хотя бы юрист), то в случае нарушения весь риск ложится на бизнес в целом, и, прежде всего, на генерального директора как законного представителя организации.

Кроме того, возложение обязанностей по защите персональных данных исключительно на IT может привести к формальному подходу: всё вроде бы настроено (доступы, бэкапы, серверы в РФ), но ни целей, ни оснований, ни уведомлений нет. И это создаёт ситуацию, в которой техническая безопасность есть, а юридическая отсутствует, что и фиксирует Роскомнадзор в большинстве проверок.

Как должна быть выстроена система: архитектура ответственности и управления

Организация обработки персональных данных — это цельная система управления рисками и ответственностью, которая функционирует в повседневной деятельности компании. Законный интерес, смягчающие обстоятельства и добросовестность — всё это можно эффективно применять только тогда, когда у компании есть устойчивая, формализованная модель, определяющая: кто, как и за что отвечает. И эта модель должна быть не теоретической, а действующей и проверяемой, подкреплённой документами и понятной как внутри организации, так и для внешних проверяющих.

Ключевой элемент такой модели — чёткое распределение ролей и подотчётности. В организации должно быть назначено ответственное лицо или подразделение, которое обладает не только титулом, но и реальными полномочиями: инициировать изменения, запрашивать информацию, участвовать в проектировании новых процессов, давать обязательные для исполнения рекомендации. Это может быть DPO, compliance officer, начальник службы ИБ, юридический департамент, в зависимости от масштаба и структуры бизнеса. Главное — не «назначить» на бумаге, а встроить эту роль в операционные процессы.

Полномочия должны быть формализованы. Недостаточно просто поручить кому-то следить за политикой — необходимо прописать, кто утверждает документы, кто отвечает за мониторинг исполнения, кто участвует в проектировании ИТ-систем, а кто принимает решения о применении того или иного правового основания (например, законного интереса). Это должно быть зафиксировано в должностных инструкциях, регламентах, локальных актах.

Подотчётность — ещё один краеугольный камень. В системе должно быть понятно: кто принимает решения, кто даёт заключения, а кто реализует конкретные меры. На практике это означает наличие «цепочки командования»: от разработчика или менеджера проекта до юридического отдела и высшего руководства. При отсутствии этой связности ответственность размывается, а управление становится невозможным.

Важно, чтобы все эти элементы были неформальными, а задокументированными. В ситуации проверки или судебного разбирательства фраза «мы всегда так делали» или «мы договорились устно» не будет иметь доказательной силы. Поэтому структура управления должна быть отражена в конкретных документах:

• Приказ о назначении ответственного лица.
• Положение о подразделении или рабочей группе.
• Регламент или матрица распределения полномочий.
• Встроенные процессы PIA (оценки воздействия) или правовой экспертизы в новых проектах.

И наконец, ключевой элемент зрелой системы — это готовность к инциденту. Даже при самом чёткого соблюдении требований, организация может столкнуться с нарушением или претензией. И здесь важно, чтобы у компании был сценарий реагирования: кто фиксирует факт, кто уведомляет руководство и РКН, кто собирает документы, кто анализирует ситуацию и принимает корректирующие меры. Отсутствие паники и понятная последовательность шагов в критической ситуации — признак зрелости, который суд и регулятор оценивают очень высоко.

Таким образом, правильно выстроенная система — это не разовая мера, а механизм управления правовыми рисками и доверием. Она позволяет не просто реагировать на нарушения, а предотвращать их, минимизировать ущерб и демонстрировать зрелый уровень комплаенса. В условиях усиления требований и росте судебной практики именно такая модель становится главным инструментом защиты и бизнеса, и прав субъектов персональных данных.

Что входит в зону ответственности

Назначение ответственного за обработку персональных данных или создание профильного подразделения считается ключевым элементом устойчивой архитектуры управления информационными рисками. Такая роль становится центральной точкой принятия решений, координации процессов и защиты интересов компании: от репутации до финансовой устойчивости.

Ответственное лицо — это интегратор нескольких критически важных направлений:

Прежде всего, на нём лежит разработка и реализация стратегии в области защиты персональных данных и информационной безопасности. Это означает не только наличие политики или программы комплаенса, но и выстраивание долгосрочной модели: как организация управляет данными, по каким принципам принимает решения, и как адаптируется к изменениям в законодательстве и технологиях.

Значимая часть работы — мониторинг нормативных требований и контроль за их соблюдением. Законодательство в сфере ПДн быстро развивается, и задача ответственного — быть первым, кто узнаёт об изменениях и адаптирует под них процессы. Это требует постоянной связи с юридическим отделом, ИТ, HR и бизнесом.

На уровне операционного управления в зону ответственности входит разработка, внедрение и актуализация регламентов, процедур, инструкций и шаблонов. Речь идёт не о бюрократии ради отчётности, а о документах, которые упорядочивают действия сотрудников, исключают субъективные трактовки и снижают вероятность ошибок, ведущих к нарушениям.

Ключевая практическая функция — контроль доступа к данным и разграничение прав пользователей. Ответственный должен понимать, кто, когда и зачем получает доступ к персональным данным, и как это технически обеспечивается. Он взаимодействует с ИТ-подразделением, чтобы реализовать технические меры защиты и следить за их соответствием требованиям закона.

Немаловажно и то, что ответственный проводит внутренние аудиты и расследования при выявлении потенциальных или реальных инцидентов. Это самостоятельная функция: оценить, что произошло, зафиксировать факты, определить причины и предложить меры реагирования до вмешательства внешних регуляторов.

Важной частью становится взаимодействие с подрядчиками, клиентами и контролирующими органами. Ответственный должен уметь проверять договоры, выстраивать отношения с контрагентами в части обработки ПДн, проводить оценку рисков, готовить ответы на запросы РКН, а также координировать поведение компании при проверке или в судебном процессе.

И, наконец, не менее значимой задачей является управление инцидентами и реагирование на них. Это не только технический response, но и выработка сценариев действий, организация работы антикризисной группы, документирование и представление доказательств добросовестности в случае последующего разбирательства.

Ежедневно ответственное лицо также обеспечивает контроль за соблюдением принципов конфиденциальности и дисциплины обработки данных внутри компании. Это включает обучение сотрудников, регулярные напоминания о правилах, контроль за тем, как данные используются в реальных бизнес-сценариях.

Чем это грозит, если система не выстроена

Отсутствие назначенного ответственного за обработку персональных данных, неформализованные регламенты и размытые зоны ответственности могут стать фундаментальной уязвимостью, которая делает бизнес неуправляемым в условиях кризиса.

Когда возникает утечка, приходит проверка от Роскомнадзора или поступает жалоба от клиента, организация должна действовать быстро, слаженно и юридически грамотно. Но если нет человека, который несёт ответственность, нет документа, где зафиксированы процессы, никто не знает, что делать, и начинаются хаос и паника. Каждая минута промедления, каждое несогласованное действие, каждое «мы не знали, кто отвечает» превращаются в доказательства некомпетентности в глазах суда и регулятора.

В такой ситуации последствия масштабируются сразу в нескольких плоскостях:

• Юридические риски: без утверждённых процессов и зафиксированных ответственных лиц компания не может продемонстрировать соблюдение требований законодательства. Это означает, что даже в случае формального исправления ошибки вы не докажете добросовестность. В результате — административные штрафы, предписания, блокировки, а при повторных нарушениях и уголовные последствия.
• Управленческий коллапс: отсутствие структуры приводит к параличу действий. Кто принимает решение? Кто готовит материалы для Роскомнадзора? Кто отвечает на запрос СМИ? Кто информирует клиентов? Пока бизнес ищет ответы на эти вопросы, время работает против него.
• Репутационные потери: если инцидент становится публичным, а компания выглядит растерянной и некомпетентной, уровень доверия резко падает. Это касается и клиентов, и партнёров, и регуляторов. Последствия: от потери контрактов до ухудшения инвестиционной привлекательности.
• Финансовые убытки: простой систем, вынужденные юридические расходы, затраты на аудит, внедрение срочных мер безопасности задним числом — всё это в разы превышает стоимость заблаговременного построения работающей системы управления.

В сегодняшней реальности эти риски больше не теоретические, ведь они уже стали стандартами судебной практики; кейсами, которые разбираются в арбитражах; предписаниями, которые РКН выносит каждый месяц. Бизнес, в котором нет структуры управления в области ПДн и ИБ, сегодня воспринимается как заранее нарушающий.

Как бизнесу обеспечить управляемость и зрелость в области ИБ и ПДн

Единственный способ защититься — построить систему до инцидента, а не после. И начать стоит с простых, но системных шагов:

Во-первых, необходимо назначить ответственного — не «по остаточному принципу», а из числа компетентных специалистов, способных ориентироваться в правовых, технических и управленческих аспектах. Это должен быть человек, которому можно доверить не только документооборот, но и решение в критической ситуации.

Во-вторых, это назначение должно быть юридически оформлено — приказом, с приложением должностной инструкции, где чётко зафиксированы полномочия, зона ответственности, уровень подотчётности и взаимодействия с другими подразделениями. Это не просто защита сотрудника, а юридический щит для всей компании.

Третий шаг — обеспечение ресурсов. Ответственный не сможет управлять рисками, если у него нет доступа к проектам, информации и бюджетам. Управление ИБ невозможно без включённости в процессы: от найма подрядчиков до согласования архитектуры ИТ-систем.

Четвёртый элемент — аудит текущего состояния. Прежде чем управлять, нужно понимать, где вы находитесь. Какие данные собираются? Какие договоры заключены? Какие регламенты есть, а какие «живут» в Excel-файле юриста? Без этого невозможно выстроить реалистичную стратегию комплаенса.

И, наконец, принципиально важно, чтобы информационная безопасность и защита персональных данных были не приложением к ИТ, а самостоятельной функцией. Это не технический отдел, а управленческое направление, влияющее на устойчивость бизнеса. Когда ИБ встроена в структуру как «дополнение», решения принимаются без оценки рисков, а инциденты становятся вопросом времени.

Финальное слово

В условиях цифровой экономики, правовых рисков и растущих требований государства информационная безопасность перестаёт быть внутренним делом ИТ-службы или пунктом в должностной инструкции юриста. Это становится критически важной частью устойчивости бизнеса, особенно в моменты, когда происходит сбой, поступает жалоба, приходит проверка или случается утечка.

Если вы собственник, директор или топ-менеджер, спросите себя:

⟶ Кто в вашей компании сегодня несёт реальную ответственность за безопасность данных?
⟶ Кто может принять решение в первые минуты инцидента?
⟶ Кто знает, где находятся политики, согласия, договоры и уведомления — и готов предъявить их проверяющему без страха?

Если на эти вопросы нет уверенного ответа, это уже уязвимость. Но хорошая новость в том, что она устранима.

Мы помогаем компаниям выстроить систему защиты персональных данных и информационной безопасности «под ключ»: от назначения ответственных и составления регламентов до обучения сотрудников, аудита, сопровождения проверок и защиты в суде. Не перекладываем риски, а создаём культуру управления ими. Чтобы в момент, когда случится непредвиденное, ваша компания не потеряла время, деньги и репутацию, а действовала быстро, грамотно и уверенно.