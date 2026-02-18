Мы расскажем, что изменится в законе о персональных данных (ПДн) в ближайшее время, какие поправки уже вступили в силу и как выстроить работу с ПДн правильно, чтобы снизить риск штрафов.
Кто обязан соблюдать закон о персональных данных
Соблюдать требования закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ №152-ФЗ) обязан любой оператор персональных данных — лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку ПДн, а также определяет цели и содержание обработки.
К операторам относятся:
государственные и муниципальные органы, учреждения;
юридические лица любой организационно-правовой формы (ООО, АО и т.д.);
индивидуальные предприниматели (ИП);
самозанятые граждане, если их деятельность связана с обработкой ПДн;
физические лица, обрабатывающие ПДн в коммерческих целях.
Например, оператором считается как ИП, оказывающий услуги физлицам по договору, так и организация, продающая товары или предоставляющая услуги: турагентства, медицинские учреждения, службы доставки, интернет-магазины и т.д.
Какие изменения в законе о персональных данных планируются в 2026 году
Изменение №1: ужесточение контроля Роскомнадзором
Власти последовательно усиливают надзор за соблюдением законодательства в области ПДн. Яркий сигнал — распоряжение Правительства от 14.08.2025 № 2207-р, утвердившее план мероприятий по противодействию киберпреступлениям. В соответствии с ним регуляторы, включая Роскомнадзор, должны представить предложения об усилении ответственности за нарушения закона №152 «О персональных данных» и увеличении срока давности по таким административным делам.
Хотя сами изменения в КоАП вступят в силу только в III квартале 2027 года, это прямое указание на тренд. Уже в 2026 году бизнесу следует ожидать более пристальных и частых проверок, а также более жесткой позиции регулятора при квалификации нарушений. Готовьтесь к таким изменениям заблаговременно.
Изменение №2: работы над реестром центров обработки данных
С 1 марта 2026 года вступают в силу масштабные изменения в регулировании ЦОД, которые будут закреплены в ФЗ от 07.07.2003 № 126-ФЗ «О связи». Они направлены на структурирование цифровой инфраструктуры и непосредственно затрагивают операторов, размещающих свои серверы или использующих облачные услуги.
Ключевые нововведения:
Формальное определение ЦОД. Дата-центром будут признаваться специализированные здания или помещения с инженерной инфраструктурой для размещения оборудования хранения и обработки данных. Это создаст правовую определенность.
Создание государственного реестра ЦОД. Реестр будет вести Минцифры. В него войдут данные об объектах, их параметрах, уровне надежности и управляющих компаниях.
Требования для включения в реестр. Операторам ЦОД придется подтверждать соответствие требованиям по безопасности, контролю доступа и резервированию систем. Это установит единый минимальный стандарт для «официальных» дата-центров.
Запрет на майнинг. В зарегистрированных ЦОДах будет запрещено размещать майнинговое оборудование, что подчеркивает их ориентацию на бизнес-задачи.
Совет: при выборе хостинг-провайдера или облачного сервиса стоит отдавать предпочтение ЦОД, которые будут соответствовать новым требованиям и войдут в госреестр. Это станет маркером надежности и соблюдения стандартов безопасности, что критически важно при обработке ПДн.
Изменение №3: трансграничная передача
Рассматриваемый законопроект № 951518-8 о внесении изменений в статью 12 закона о персональных данных направлен на упрощение и уточнение процедуры трансграничной передачи (ТП) ПДн. Что конкретно планируется:
Уточнение критерия «адекватной защиты». Из формулировки исключается прямая отсылка к включению государств-сторон Конвенции Совета Европы в перечень «адекватных» по умолчанию. Акцент смещается на соответствие правового регулирования и применяемых мер положениям этой Конвенции. Это более гибкий, но и более предметный подход.
Упрощение процедуры для государств не из «адекватного» перечня. Из частей 5, 10 и 11 статьи 12 исключаются упоминания о том, является ли иностранное государство стороной Конвенции Совета Европы. Это означает, что процедура уведомления Роскомнадзора и временного запрета на передачу (10 рабочих дней) будет единообразно применяться ко всем странам, не включенным в перечень, независимо от их участия в Конвенции.
Для оператора упрощается анализ: если страна получателя в перечне Роскомнадзора — можно передавать после уведомления. Если нет — необходимо направлять уведомление и ждать 10 рабочих дней до начала передачи. Участие страны в Конвенции перестает быть определяющим фактором.
Подготовка документов для работы с персональными данными 2026 для организаций
Какие изменения в законе о персональных данных уже вступили в силу
Отдельное согласие на обработку персональных данных
С 1 сентября 2025 года вступили в силу важнейшие изменения, касающиеся формы получения согласия субъекта ПДн. Раньше оно могло быть включено в текст договора или иного документа. Теперь, согласно обновленной статье 9 закона о персональных данных, в случаях, когда обработка требует согласия субъекта, оно оформляется отдельным документом.
Ключевые моменты:
Согласия, полученные до 01.09.2025 в составе договоров, переоформлять не нужно.
Согласие может быть получено на бумажном носителе с собственноручной подписью или в форме электронного документа, подписанного квалифицированной электронной подписью.
Согласие должно содержать обязательные реквизиты, перечисленные в ч. 4 ст. 9 ФЗ №152-ФЗ, включая ФИО и адреса субъекта и оператора, цель обработки, перечень данных, срок действия согласия и способ его отзыва.
Требования к локализации данных
С 1 июля 2025 года появилась часть 5 статьи 18 ФЗ №152-ФЗ о локализации баз данных с ПДн граждан РФ.
Суть запрета: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами России, не допускаются.
Что это означает на практике:
Серверы (базы данных), на которых физически хранятся ПДн россиян, должны находиться на территории РФ.
Использование иностранного ПО для первичного накопления и хранения (например, CRM, ERP, почтовые сервисы) для работы с такими базами данных, если их серверы расположены за рубежом, считается нарушением закона.
Разрешено использование иностранных сервисов и ПО, если они работают с уже локализованной в РФ базой данных через API или иным способом, не предполагающим первичное накопление и хранение данных за границей.
Исключения из этого правила крайне узки и связаны, например, с исполнением международного договора или осуществлением правосудия.
Компаниям необходимо провести аудит всех информационных систем, использующихся для обработки ПДн россиян, и обеспечить их соответствие этому новым требованиям.
Повышение штрафов за нарушение закона о персональных данных
Штрафы за нарушения закона о персональных данных были значительно увеличены еще с 30 мая 2025 года. Теперь статья 13.11 КоАП предусматривает больше градаций и существенно более высокие санкции, привязанные к масштабу нарушения:
1. Введены специальные составы за массовые утечки:
за незаконную передачу ПДн от 1 до 10 тысяч субъектов: штраф для компаний от 3 до 5 млн руб.;
за утечку от 10 до 100 тысяч идентификаторов: штраф для компаний от 3 до 5 млн руб.;
за утечку свыше 100 тысяч идентификаторов или данных специальных категорий: штраф для компаний от 10 до 15 млн руб.;
при повторной утечке штраф составит 1-3% годового оборота ИП или юрлица, но не менее 20-25 млн руб. и не более 500 млн руб.
2. За неуведомление Роскомнадзора об утечке: штраф для компаний и ИП от 1 до 3 млн руб.
3. За неуведомление или несвоевременное уведомление регулятора о начале обработки ПДн: штраф для компаний от 100 до 300 тыс. руб.
Это обновление правил превращает халатность в сфере персональных данных в очень дорогую проблему, даже для крупных компаний. Теперь надежная система защиты данных — не просто рекомендация, а насущная необходимость для любого бизнеса.
Подготовка документов для работы с персональными данными 2026 для организаций
Как компаниям и ИП подготовиться к изменениям
Основываясь на требованиях статьи 19 закона №152-ФЗ «О персональных данных», которая обязывает оператора принимать меры для защиты ПДн, рекомендуем следующий план действий:
1. Проведите ревизию документооборота. Замените пункты о согласии на обработку ПДн в договорах и заявлениях на отдельные формы согласия, соответствующие ч. 4 ст. 9 ФЗ №152-ФЗ. Разработайте понятную процедуру отзыва согласия.
2. Выполните аудит локализации. Определите, где физически хранятся базы данных с ПДн граждан РФ. Если используется зарубежный хостинг или облачные сервисы, срочно решите вопрос о переносе данных в российские ЦОД или перейдите на локализованные версии сервисов.
3. Актуализируйте внутренние документы. Пересмотрите и приведите в соответствие с текущими требованиями:
Политику в отношении обработки ПДн;
приказы о назначении ответственных лиц;
инструкции для сотрудников, работающих с ПДн;
регламенты, журналы, иные локальные акты.
4. Оцените уровень защищенности информационных систем. Для этого необходимо определить категории обрабатываемых ПДн, объемы и актуальные угрозы. На основе этой оценки выполните требования регуляторов по применению организационных и технических мер защиты (использование СКЗИ, настройка прав доступа, ведение журналов действий, обеспечение резервного копирования и т.д.).
5. Обучите сотрудников. Проведите инструктаж для всех работников, имеющих доступ к ПДн, о новых правилах, процедурах и мерах ответственности. Особое внимание уделите сотрудникам отдела продаж, кадровой службы и IT-департамента.
6. Настройте процессы для трансграничной передачи. Если ваша деятельность связана с передачей ПДн за рубеж (например, в головной офис иностранной компании или для обработки на международных платформах), проверьте, входит ли эта страна в перечень, утвержденный приказом Роскомнадзора от 05.08.2022 № 128.
7. Готовьтесь к ужесточению надзора. Внутренний аудит и исправление недочетов до проверки Роскомнадзором — самый эффективный способ минимизировать риски многомиллионных штрафов.
Следуя этим простым шагам, вы не только обезопасите свой бизнес от штрафов, но и укрепите доверие клиентов и партнеров. В наше время такая репутация — одно из главных конкурентных преимуществ.
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFHRAi2V
Начать дискуссию