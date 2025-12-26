Что теперь обязательно: новые требования 152-ФЗ

В 2025–2026 годах бизнесу нужно выполнить ряд ключевых требований 152-ФЗ. Среди них — регистрация операторов, локализация данных, отдельные согласия и минимизация сбора, строгая ответственность и повышенный контроль со стороны РКН. Ниже — главные изменения и обязанности операторов:

Расширение круга операторов и обязательная регистрация . Любая компания или ИП, которые собирают или обрабатывают ПД, теперь обязаны пройти регистрацию в реестре операторов (РКН). Это касается не только крупных компаний, но и небольших сайтов и ИП. За отсутствие регистрации предусмотрены крупные штрафы: до 300 тыс. руб. для юрлиц и до 50 тыс. руб. для ИП.

Локализация и хранение данных в России . По закону все личные данные граждан РФ должны храниться на серверах, расположенных в России. Использование иностранных облаков или зарубежных сервисов без уведомления и первичного размещения данных на российских ресурсах недопустимо. Операторам необходимо проверить, что базы клиентов и сотрудников хранятся на российских платформах, и при необходимости как можно скорее провести локализацию данных.

Отдельные согласия и минимизация сбора . С 1 сентября 2025 года введено правило, что согласие субъекта на обработку ПД оформляется в виде отдельного документа. То есть нельзя «вшивать» согласие на обработку в общие пользовательские соглашения или договора — его нужно оформлять и подписывать отдельно. Кроме того, действует принцип минимизации данных: компания вправе собирать только те сведения, которые действительно нужны для конкретной цели. Особые категории ПД — биометрия, сведения о здоровье и т.д. — требуют строгого отдельного согласия и усиленных мер защиты. Важно пересмотреть все формы и регистры: убрать лишние поля и убедиться, что соискатели, клиенты, сотрудники подписывают самостоятельные согласия

Жесткая ответственность и штрафы . Поправки значительно усилили ответственность за нарушения 152-ФЗ. Штрафы выросли: например, за отсутствие регистрации грозит до 300 тысяч руб., за утечку данных — до 3 млн руб. (а при серьезном нарушении — и уголовная ответственность). Введены новые составы правонарушений: незаконная передача биометрии или спецкатегорий ПД может караться штрафом до 25–50 млн руб. Поэтому важна строгая документальная фиксация процессов — политика конфиденциальности, журналы учета, регламенты обработки и др. — чтобы доказать соблюдение закона при проверке.

Усиленный контроль Роскомнадзора. Роскомнадзор получил право проводить проверки в автоматическом режиме, включая совместные рейды с силовиками (ФСБ). С помощью ИИ-систем РКН «сканирует» сайты и политики конфиденциальности, выявляя нарушение: например, отсутствие опубликованной политики обработки ПД или использование зарубежных сервисов. Проводятся внеплановые проверки без предупреждения, и РКН обещает переориентиться на системный мониторинг. Эксперты предупреждают: к 2026 году пройдет многочисленная волна проверок и новые санкции за ранее принятые изменения. Если не подготовиться заранее, бизнес рискует столкнуться с массовыми предписаниями и штрафами — к 2026 г. регулятор планирует применять все новшества, введенные во второй половине 2025 г.

Российский бизнес должен привести обработку персональных данных в полное соответствие с 152-ФЗ: регистрация в Реестре операторов, локализация данных и обновление всех внутренних документов становятся обязательными.