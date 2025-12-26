Закон №152-ФЗ «О персональных данных» — главный нормативный акт, определяющий, как компании могут собирать, хранить и обрабатывать персональные данные (ПД). Под ПД понимается любая информация, позволяющая идентифицировать человека: ФИО, контакты, паспортные данные, IP-адрес, биометрия, история покупок и др. Оператор ПД — это любая организация или ИП, которая решает, зачем нужны данные и что с ними делать.
С середины 2025 года в закон внесли масштабные изменения. Они серьезно усилили требования к бизнесу: расширили перечень операторов, ввели новые правила получения согласий, ужесточили защиту и локализацию данных, повысили штрафы. К 2026 году эти нововведения уже должны быть внедрены повсеместно, а бизнес ждут массовые проверки со стороны Роскомнадзора.
Что теперь обязательно: новые требования 152-ФЗ
В 2025–2026 годах бизнесу нужно выполнить ряд ключевых требований 152-ФЗ. Среди них — регистрация операторов, локализация данных, отдельные согласия и минимизация сбора, строгая ответственность и повышенный контроль со стороны РКН. Ниже — главные изменения и обязанности операторов:
Расширение круга операторов и обязательная регистрация. Любая компания или ИП, которые собирают или обрабатывают ПД, теперь обязаны пройти регистрацию в реестре операторов (РКН). Это касается не только крупных компаний, но и небольших сайтов и ИП. За отсутствие регистрации предусмотрены крупные штрафы: до 300 тыс. руб. для юрлиц и до 50 тыс. руб. для ИП.
Локализация и хранение данных в России. По закону все личные данные граждан РФ должны храниться на серверах, расположенных в России. Использование иностранных облаков или зарубежных сервисов без уведомления и первичного размещения данных на российских ресурсах недопустимо. Операторам необходимо проверить, что базы клиентов и сотрудников хранятся на российских платформах, и при необходимости как можно скорее провести локализацию данных.
Отдельные согласия и минимизация сбора. С 1 сентября 2025 года введено правило, что согласие субъекта на обработку ПД оформляется в виде отдельного документа. То есть нельзя «вшивать» согласие на обработку в общие пользовательские соглашения или договора — его нужно оформлять и подписывать отдельно. Кроме того, действует принцип минимизации данных: компания вправе собирать только те сведения, которые действительно нужны для конкретной цели. Особые категории ПД — биометрия, сведения о здоровье и т.д. — требуют строгого отдельного согласия и усиленных мер защиты. Важно пересмотреть все формы и регистры: убрать лишние поля и убедиться, что соискатели, клиенты, сотрудники подписывают самостоятельные согласия
Жесткая ответственность и штрафы. Поправки значительно усилили ответственность за нарушения 152-ФЗ. Штрафы выросли: например, за отсутствие регистрации грозит до 300 тысяч руб., за утечку данных — до 3 млн руб. (а при серьезном нарушении — и уголовная ответственность). Введены новые составы правонарушений: незаконная передача биометрии или спецкатегорий ПД может караться штрафом до 25–50 млн руб. Поэтому важна строгая документальная фиксация процессов — политика конфиденциальности, журналы учета, регламенты обработки и др. — чтобы доказать соблюдение закона при проверке.
Усиленный контроль Роскомнадзора. Роскомнадзор получил право проводить проверки в автоматическом режиме, включая совместные рейды с силовиками (ФСБ). С помощью ИИ-систем РКН «сканирует» сайты и политики конфиденциальности, выявляя нарушение: например, отсутствие опубликованной политики обработки ПД или использование зарубежных сервисов. Проводятся внеплановые проверки без предупреждения, и РКН обещает переориентиться на системный мониторинг. Эксперты предупреждают: к 2026 году пройдет многочисленная волна проверок и новые санкции за ранее принятые изменения. Если не подготовиться заранее, бизнес рискует столкнуться с массовыми предписаниями и штрафами — к 2026 г. регулятор планирует применять все новшества, введенные во второй половине 2025 г.
Российский бизнес должен привести обработку персональных данных в полное соответствие с 152-ФЗ: регистрация в Реестре операторов, локализация данных и обновление всех внутренних документов становятся обязательными.
Регистрация оператора персональных данных в Роскомнадзоре
Чтобы выполнить требования 152-ФЗ и избежать рисков проверок, бизнесу важно корректно пройти регистрацию оператора персональных данных и привести процессы в соответствие закону.
Что нужно сделать компаниям уже сейчас
Чтобы избежать штрафов и подготовиться к проверкам 2026 года, каждой компании, работающей с ПД, следует выполнить следующий минимальный набор действий:
Регистрация оператора ПД в РКН — подайте уведомление и получите запись в реестре Росконадзора. Это обязательный первый шаг для любой организации, хранящей клиентские или сотруднические данные.
Локализовать всю базу данных клиентов и сотрудников на российских серверах. Проверьте облачные и SaaS-сервисы: при необходимости перенесите их в российские дата-центры.
Разработка пакета документов по ФЗ-152 — обновить политику и регламенты. У вас должны быть актуальные внутренние документы: политика ПДн, инструкции по обработке, журналы и т.д. В них укажите новые требования (отдельные согласия, ответственные лица, порядок учета и защиты данных).
Оформить отдельные согласия на каждый тип обработки (особенно если вы работаете с особыми категориями данных). Убедитесь, что все формы регистрации или заявки содержат поле для согласия, и что люди могли его дать добровольно.
Минимизировать сбор данных — уберите из форм все лишнее. Собирайте только те сведения, которые действительно нужны для работы сервиса. Это не только закон, но и защитит вас от претензий.
Обеспечить техническую и организационную защиту информации. Внедрите шифрование, антивирусы, резервные копии и систему учета инцидентов. Проверьте настройки сайтов: зашита от SQL-инъекций, соблюдение политики безопасности. Для этого имеет смысл провести юридический и технический аудит сайта и ИТ-инфраструктуры, чтобы выявить уязвимости и несоответствия.
Назначить ответственное лицо за ПДн. По закону нужно формально утвердить сотрудника, который будет следить за выполнением всех правил 152-ФЗ. Этот сотрудник будет контактировать с РКН и контролировать процессы обработки.
Выполнение этих шагов поможет вам к началу 2026 года свести риски к минимуму.
Технологические меры становятся ключевыми: компании инвестируют в защиту данных — например, в шифрование и мониторинг ИТ-систем — чтобы соответствовать требованиям 152-ФЗ и подготовиться к автоматизированным проверкам РКН.
Тенденции 2026 года: чего ждать бизнесу
Эксперты отмечают, что в 2026 году продолжится движение к более «разумной» обработке ПД:
Меньше согласий — больше стандартов. Главное требование 152-ФЗ — это наличие законного основания обработки данных. По мнению регуляторов, универсальные массовые согласия устаревают. Роскомнадзор планирует перейти на отраслевые стандарты: например, определить, какие персональные данные стандартно обрабатываются в туризме, ЖКХ и т.п. Единый реестр согласий на «Госуслугах» позволит людям давать и отзывать разрешения централизованно. Но пока же, пока система разворачивается, компаниям важно заранее отработать не согласие, а другие основания (договор, требование закона, законные интересы).
Минимизация и «умная» обработка. Уже предлагаются новые правки, которые захоронят избыточный сбор данных на уровне закона. Планируется, что государство будет самостоятельно определять, какой объем сведений считать «достаточным и необходимым» для каждой сферы. Бизнесам нужно заранее привести свои базы в порядок: удалить устаревшие записи, вести учет всех операций с ПД и документировать цели обработки.
Автоматизация управления данными. Ожидается, что в 2026 году продолжится формирование правовой базы для централизованного учета операций с ПД через федеральную ГИС («Госуслуги»). Это значит, что компании будут обязаны передавать информацию о фактах обработки данных в централизованную систему — чтобы граждане могли видеть, кому они давали согласие, и контролировать свои персональные сведения. Уже в будущем люди смогут через Госуслуги запрашивать информацию о том, кто обрабатывал их данные, и при необходимости отзывать согласие онлайн.
Усиление контроля и санкций. Количество нарушений будет расти, а регуляторы — ужесточать санкции. Роскомнадзор прогнозирует, что к концу 2025 г. отработаются все новые типы штрафов, а с 2026 года начнется «полномасштабное применение» этих норм. Уже сейчас роботизированные проверки РКН срабатывают 24/7: в 2025 г. выявлено порядка 84% нарушений во время автоматического мониторинга. Значит, бизнесу важно не только заявить о соответствии, но и регулярно проводить внутренний аудит: проверять сайты и документы на актуальность, устранять замечания.
