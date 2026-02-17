Регистрация в реестре операторов — одно из главных требований Роскомнадзора
Требование: оператор до начала обработки персональных данных (ПДн) обязан подать уведомление в Роскомнадзор и зарегистрироваться в реестре операторов (ст. 22 ФЗ № 152-ФЗ). Есть исключения, когда это не нужно делать, но они не касаются большей части представителей бизнеса.
Решение: подайте уведомление через специальный сервис на официальном сайте Роскомнадзора до того, как приступите к сбору ПДн.
Штраф за нарушение: для юрлиц и ИП — от 100 000 до 300 000 рублей (ч.10 ст.13.11 КоАП).
Трансграничная передача персональных данных
Требование: если вы передаете персональные данные граждан РФ за границу, необходимо уведомить Роскомнадзор (ст. 12 ФЗ № 152-ФЗ).
Решение: отправьте в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу. Что для этого нужно сделать:
Проверить, входит ли страна-получатель в перечень государств, обеспечивающих адекватную защиту прав субъектов ПДн (приказ Роскомнадзора от 5 августа 2022 г. № 128).
Если страна в перечне — подайте уведомление и можно начинать передачу.
Если страна не входит в перечень — после подачи уведомления необходимо выждать 10 рабочих дней. В этот срок Роскомнадзор может запретить или ограничить передачу.
Штраф за нарушение: прямого штрафа за отсутствие уведомления о трансграничной передаче в КоАП нет. Но это почти гарантированно повлечет внеплановую проверку и предписание об устранении нарушения.
Локализация обработки
Требование: при сборе ПДн через интернет базы данных, где происходит запись, хранение, систематизация и другие операции с данными россиян, должны находиться на территории РФ (ч.5 ст. 18 ФЗ № 152-ФЗ). Это одно из самых критичных новых требований Роскомнадзора по персональным данным.
Решение: перенесите серверы и базы данных, содержащие ПДн граждан РФ, в российские дата-центры. Это касается не только ваших собственных систем (CRM, 1C), но и сторонних сервисов (например, почтовых рассылок, облачных хранилищ), если через них происходит обработка. Проверьте договоры с хостинг-провайдерами и SaaS-платформами.
Штраф за нарушение: для ИП и организаций — от 1 до 6 млн рублей при первом нарушении, от 6 до 18 млн рублей — при повторном (ч. 8, ч. 9 ст. 13.11 КоАП).
Публикация Политики обработки персональных данных
Требование: оператор обязан разработать, издать и опубликовать документ, определяющий его политику в отношении обработки ПДн (п. 2 ч. 1 ст. 18.1 ФЗ № 152-ФЗ). Доступ к нему должен быть неограниченным.
Решение: разработайте подробную Политику. Она должна содержать конкретику: цели обработки, перечень данных, категории субъектов, сроки, порядок уничтожения и иные сведения. Разместите этот документ на своем сайте в свободном доступе: например, в футере.
Штраф за нарушение: для ИП — от 10 000 до 20 000 рублей, для организаций — от 30 000 до 60 000 рублей (ч.3 ст.13.11 КоАП).
Подготовка документов для работы с персональными данными 2026 для организаций
Отдельное согласие на обработку
Требование: согласие на обработку ПДн должно быть оформлено отдельно от иных документов и информации. С 01.09.2025 года его нельзя включать в договор, оферту или регистрационную форму «галочкой» по умолчанию.
Решение: пересмотрите все процессы сбора согласий: на сайте, в мобильном приложении, в бумажном виде. Согласие должно быть самостоятельным документом (отдельная веб-страница, поп-ап, бумажный бланк). Субъект должен подтвердить его осознанно и однозначно.
Штраф за нарушение: для ИП — от 100 000 до 300 000 рублей, для юрлиц — от 300 000 до 700 000 рублей.
Предоставление субъекту информации об обработке его ПДн
Требование: по запросу субъекта ПДн оператор обязан в течение 10 рабочих дней (срок может быть продлен еще на 5 дней) предоставить информацию об обработке его персональных данных: какие данные обрабатываются, с какой целью, кому передаются (ст. 14 ФЗ № 152-ФЗ).
Решение: назначьте ответственного за прием и обработку таких запросов. Разработайте внутренний регламент и шаблон ответа. Запрос может прийти по электронной почте, через форму на сайте или заказным письмом. Пропуск срока или отказ без законных оснований — нарушение.
Штраф за нарушение: для ИП — от 20 000 до 30 000 рублей, для организаций — от 40 000 до 80 000 рублей (ч.4 ст.13.11 КоАП).
Уведомление об утечке ПДн
Требование: в случае выявления утечки (неправомерной передачи) персональных данных оператор обязан уведомить об этом Роскомнадзор (ч. 3.1 ст. 21 ФЗ № 152-ФЗ).
Решение: создайте внутренний регламент реагирования на инциденты. Уведомление в Роскомнадзор необходимо направить в течение 24 часов с момента обнаружения утечки. В течение 72 часов нужно предоставить отчет с результатами внутреннего расследования и принятыми мерами.
Штраф за нарушение: штраф за неуведомление или нарушение срока подачи уведомления для ИП и юрлиц — от 1 до 3 млн рублей (ч.11 ст.13.11 КоАП).
Защита персональных данных
Требование: оператор обязан принимать необходимые организационные и технические меры для защиты данных от неправомерного доступа (ст. 19 закона № 152-ФЗ). Конкретные требования зависят от типа данных и уровня угроз и устанавливаются Правительством.
Решение: защита — это комплекс мер: от издания приказа о назначении ответственного до внедрения средств криптографии. Минимум для бизнеса:
Издать все необходимые локальные акты (Политика, регламенты и т.д.).
Обеспечить техническую защиту ИСПДн: установить антивирусное ПО, настроить резервное копирование и т.д.
Регулярно проводить оценку эффективности мер.
Штраф за нарушение: применяется, если будет установлено, что причиной утечки стало непринятие оператором мер защиты.
Размер штрафа от масштаба инцидента и категорий утекших ПДн:
Вид правонарушения
Размер штрафа (рублей) для ИП и юрлиц
Утечка данных 1 000 — 10 000 субъектов ПДн и/или 10 000 — 100 000 идентификаторов (ч. 12)
3–5 млн
Утечка данных 10 000 — 100 000 субъектов ПДн и/или 100 000 — 1 000 000 идентификаторов (ч. 13)
5–10 млн
Утечка данных более 100 000 субъектов ПДн и/или более 1 000 000 идентификаторов (ч. 14)
10–15 млн
Утечка специальных категорий ПДн (о здоровье, расовой принадлежности и т.д.) (ч. 16)
10–15 млн
Утечка биометрических ПДн (отпечатки, образцы лица и т.д.) (ч. 17)
15–20 млн
От 1% до 3% годовой выручки, но не менее 20–25 млн и не более 500 млн рублей
Как Роскомнадзор может узнать о нарушении требований
Регулятор использует комплексный подход. Во-первых, это автоматизированный мониторинг интернета. Специализированные системы и технологии ИИ сканируют сайты на предмет отсутствия Политики, незаконных форм сбора данных, следов передачи данных на зарубежные ресурсы. Во-вторых, триггером для проверки служат жалобы граждан, обращения конкурентов, публикации в СМИ о произошедших утечках или данные, полученные от других госорганов. Часто проверка начинается не с внезапного штрафа, а с предписания об устранении нарушений.
Подготовка документов для работы с персональными данными 2026 для организаций
Как бизнесу обезопасить себя: советы юристов
Системный подход — единственный способ минимизировать риски. Мы подготовили оптимальный план действий:
Начните с аудита. Проведите полную инвентаризацию всех процессов, где вы касаетесь персональных данных: от HR до маркетинга. Определите, что, где, как и на каком основании обрабатывается.
Разработайте пакет документов. Это основа: Политика обработки, формы согласий, регламенты по запросам субъектов, приказы и т.д. Документы должны быть рабочими, а не формальными.
Исполняйте технические требования. Обеспечьте локализацию баз данных на территории РФ. Внедрите необходимые организационные (регламенты доступа) и технические (шифрование, антивирусы, средства контроля) меры защиты согласно уровню угроз.
Подайте уведомление. Если вы не подпадаете под исключения — зарегистрируйтесь в реестре Роскомнадзора.
Обучите сотрудников. Персональные данные обрабатывают люди. Проведите инструктаж для HR-менеджеров, маркетологов, IT-специалистов о базовых правилах работы с ПДн.
Будьте готовы к диалогу с субъектами и регулятором. Настройте каналы для приема запросов от граждан и оперативного взаимодействия с Роскомнадзором в случае инцидента.
Выполнение требований Роскомнадзора по защите персональных данных — это не разовая акция, а непрерывный процесс. Инвестиции в его построение несопоставимо меньше, чем многомиллионные штрафы и репутационные потери от утечки данных клиентов.
