Закон о персональных данных: что изменилось в 2025–2026 годах и как это повлияет на всех

02/09/25

Б-152

Елизавета Воронова

Тогда у вас есть статус оператора персональных данных и вам важно знать: в 2025 году в закон о персональных данных (152-ФЗ), КоАП РФ и Уголовный кодекс был внесен целый ряд изменений — и все они уже вступили в силу. Штрафы стали выше, требования строже, зона риска шире. Отделаться формальным согласием больше не получится. 2026 год — это период, когда регулятор начал активно применять все новые нормы, и волна проверок нарастает.

В статье мы даем подробное объяснение: что изменилось, кого это касается и что делать.

Раньше можно было рассчитывать, что если вы мелкий бизнес или просто храните таблицы с данными, Роскомнадзор вас не тронет. Но теперь неподача уведомления стала самостоятельным основанием для крупного штрафа, даже если других нарушений нет. С 30 мая 2025 года штраф для организаций за неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать ПДн составляет от 100 000 до 300 000 рублей (ч. 1.1 ст. 13.11 КоАП РФ в ред. ФЗ от 30.11.2024 № 420-ФЗ). А за неуведомление об утечке — от 1 до 3 млн рублей.

Проверьте, есть ли у вашей организации запись в реестре операторов на Портале персональных данных Роскомнадзора. Если нет, значит, нужно подать уведомление. Даже если у вас 10 человек в штате.

С 30 мая 2025 года сама по себе утечка — это основание для штрафа в миллионы рублей. Неважно, утекли данные из-за подрядчика, техподдержки или бывшего сотрудника. Отвечать будет оператор персональных данных, включенный в реестр на портале Роскомнадзора, т. е. вы.

Формализовать отношения с подрядчиками, настроить базовую ИБ, запретить отправку баз по почте и через Telegram.

С 1 сентября 2025 года законодатель дополнительно подчеркнул: нельзя вшивать согласие в другие документы. Оно должно быть отдельным и понятным.

Обновить формы на сайте, анкеты HR, документы с клиентами. Согласие отдельным пунктом, с подтверждением, что человек понял, на что соглашается.

Многие в панике: теперь нельзя использовать зарубежные CRM, облака, формы? Не совсем так. С 1 июля 2025 года вступила в силу новая редакция части 5 статьи 18 152-ФЗ (ФЗ от 28.02.2025 № 23-ФЗ). Она запрещает при сборе запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, находящихся за пределами территории РФ.

Согласно разъяснениям Роскомнадзора (от 24.03.2025 № 08-134789) и Минцифры (от 12.05.2025 № П25-44929), новая редакция не устанавливает прямого запрета трансграничной передачи ПДн, ранее собранных в российские базы данных.

Настроить так, чтобы формы на сайте, CRM, базы сотрудников и клиентов сначала попадали в российскую систему. Все зарубежные решения только как дополнительный слой. В 2026 году Роскомнадзор активно проверяет фактическое соблюдение локализации — формальное дублирование базы в РФ уже не считается достаточным.

В чем суть: здесь важно разграничить два сценария.

Можно: собрать персональные данные в базу на территории РФ и затем, при соблюдении правил трансграничной передачи, передать их за рубеж.

Нельзя: собирать и хранить персональные данные сразу в иностранной базе данных, минуя российскую. То есть:

С 1 сентября 2025 года, в связи с запуском государственной информационной системы «Госозеро» (подсистемы обезличенных данных в ЕИП НСУД — Постановление Правительства РФ от 01.08.2025 № 1154), вступили в силу новые требования к обезличиванию персональных данных. Методы обезличивания утверждены Приказом Роскомнадзора от 19.06.2025 № 140: введение идентификаторов, изменение состава или семантики, декомпозиция, перемешивание.

Теперь нельзя просто убрать имя или телефон и считать, что данные обезличены. Применяется формализованная методика, при которой нужно доказать: субъект данных не может быть повторно идентифицирован, даже по косвенным признакам (должность, возраст, регион и др.).

Ключевое нововведение: обезличенные ПДн теперь можно обрабатывать без согласия субъекта. Однако по запросу Минцифры операторы обязаны обезличить данные и передать их в ГИС. Работать с обезличенными данными можно только внутри государственной платформы — скачивать, копировать или передавать их третьим лицам запрещено. Формировать составы обезличенных данных из биометрии также запрещено.

Если компания планирует передавать обезличенные данные в «Госозеро» (например, для участия в цифровых инициативах, госпрограммах или исследованиях), необходимо обеспечить соответствие утвержденным требованиям Роскомнадзора. Такие данные будут считаться официально обезличенными только после процедуры верификации и регистрации в системе.

В Уголовный кодекс Федеральным законом от 30.11.2024 № 421-ФЗ добавлена статья 272.1: за незаконный сбор, хранение, использование или распространение компьютерной информации, содержащей ПДн. Статья действует с 11 декабря 2024 года.

Если вы покупаете, используете базы без согласий или продаете — это больше не административное, а уголовное нарушение. Максимальное наказание — до 10 лет лишения свободы со штрафом до 3 млн рублей (при отягчающих обстоятельствах: корыстная заинтересованность, крупный ущерб, трансграничная передача, данные несовершеннолетних или биометрия).

Проверить, откуда вы берете базы. Подписаны ли согласия. Что делают подрядчики с этими данными. Все должно быть документально закреплено.

Не ждите штрафов — пройдите аудит заранее

Наша компания проводит аудит соответствия обработки персональных данных по 152-ФЗ — мы выявляем риски и разрабатываем рекомендации по их устранению!

Изменения, вступившие в силу в 2025 году, в 2026-м перешли в фазу активного правоприменения. Это означает, что каждый отдел, каждый оператор персональных данных, присутствующий в реестре на портале Роскомнадзора и работающий с ПДн, должен не просто знать про 152‑ФЗ, а переосмыслить свои процессы, документы и взаимодействие с контрагентами. Больше нельзя полагаться на привычки и неформальные договоренности. Теперь важна каждая формулировка, каждый канал передачи и каждая строчка в договоре.

Прежде всего, необходимо обновить формы согласий, которые собираются с сотрудников, кандидатов и подрядчиков. Однако важно понимать, что согласие — далеко не единственное и не всегда обязательное основание для обработки ПДн в кадровой сфере. Значительная часть операций с данными сотрудников опирается на другие правовые основания: исполнение трудового договора (п. 5 ч. 1 ст. 6 152-ФЗ), выполнение обязанностей работодателя, предусмотренных трудовым, налоговым и пенсионным законодательством (п. 2 и 2.3 ч. 1 ст. 6 152-ФЗ). Например, передача данных в ФНС, СФР, банк для зачисления зарплаты не требует отдельного согласия — она прямо предусмотрена законом.

Согласие остается необходимым лишь там, где нет иного основания: для размещения фото сотрудника на корпоративном сайте, передачи данных в ДМС-программу, не предусмотренную договором, или при обработке в целях, выходящих за рамки трудовых отношений. Пересмотр оснований позволяет не только снизить административную нагрузку, но и устранить риск признания согласия недействительным — ведь в трудовых отношениях свобода волеизъявления работника объективно ограничена. Эти согласия должны учитывать цели, способы обработки и, при необходимости, трансграничную передачу. Если вы работаете с кадровыми агентствами, ЭДО-провайдерами, медорганизациями, важно проверить, заключены ли с ними договоры с поручением обработки и прописанными мерами безопасности.

Работа с ИП, самозанятыми и бухгалтерским аутсорсом требует договоров, в которых обязательно должен быть блок о конфиденциальности и защите ПДн. При этом важно учитывать тренд на отказ от избыточного сбора согласий. Во многих случаях обработка персональных данных в бухгалтерии опирается не на согласие, а на иные правовые основания, о которых мы уже говорили выше. Если обработка данных прямо предусмотрена законом или необходима для исполнения договора, получение согласия не требуется — достаточно корректно отразить правовое основание в документации

Внутренне стоит пересмотреть, кто имеет доступ к зарплатным и персональным файлам, ведутся ли журналы доступа, и реализована ли система защиты, как логическая, так и физическая. Особое внимание стоит уделить резюме, анкетам, медсправкам, фотографиям и паспортным данным: все они должны храниться с ограничением доступа, на защищенных ресурсах, с журналированием.

Формы согласия на сайте, подписке, регистрации и обратной связи должны быть конкретными, обособленными и корректно оформленными. Вместе с тем стоит учитывать набирающий силу тренд на отказ от согласий там, где это возможно, в пользу иных правовых оснований. Например, если пользователь оформляет заказ, обработка его данных может опираться на договор или пользовательское соглашение (п. 5 ч. 1 ст. 6 152-ФЗ). Для аналитики и улучшения сервиса допустимо использовать законный интерес оператора (п. 7 ч. 1 ст. 6 152-ФЗ) — при условии, что это не нарушает права субъекта данных. Согласие остается обязательным лишь в тех случаях, когда иного основания нет: например, для маркетинговых рассылок, передачи данных рекламным платформам или при обработке данных, не связанной напрямую с исполнением договора.

Важно проверить, где физически хранятся данные: в российской ли юрисдикции находятся используемые CRM, формы, виджеты и аналитические системы. Особое внимание стоит уделить согласиям на передачу данных подрядчикам, например, агентствам, дизайнерам, хостингам и рекламным платформам. Передача без основания и договора — прямой путь к нарушению.

Нужно провести аудит: где размещены серверы, базы данных, промежуточные хранилища и логи. Отдельного внимания заслуживает использование технологий искусственного интеллекта в инфраструктуре компании. С ростом популярности ИИ-сервисов — чат-ботов, инструментов автоматизации, систем аналитики — возникают новые риски в сфере персональных данных:

Важнейший вопрос: подано ли уведомление в Роскомнадзор, и соответствует ли оно фактическим процессам. Если уведомление было подано ранее — необходимо актуализировать его с учетом всех изменений: обновить перечень целей обработки, категории данных, сведения о трансграничной передаче и используемых средствах защиты. В 2026 году Роскомнадзор все чаще использует ранее поданные уведомления как отправную точку для проверок, сопоставляя указанные в них сведения с фактическими процессами на сайте и в документах оператора. Кроме того, все формы согласий должны быть пересмотрены: конкретные ли цели, выделен ли маркетинг, указана ли трансграничная передача. Проверьте договоры с подрядчиками: есть ли поручение на обработку, прописаны ли меры безопасности, ответственность, запрет на передачу данных третьим лицам. Формальный договор — не гарантия защиты.

Важно понимать, кто из подрядчиков (администраторы, девопсы, SaaS-платформы) имеет доступ к ПДн, как это оформлено и зафиксировано. Контроль должен быть не только технический, но и процедурный: шифрование, контроль доступа, логирование, автоматическое удаление, резервное копирование. Все меры должны быть отражены в политике ИБ и сопровождены актуальными регламентами.

Все ключевые законодательные изменения уже вступили в силу. 2026 год — это не про новые законы, а про их реальное применение: проверки, штрафы, прецеденты. Распоряжением Правительства от 14.08.2025 № 2207-р утвержден план мероприятий по противодействию киберпреступлениям, в рамках которого регуляторы, включая Роскомнадзор, готовят предложения об усилении ответственности и увеличении сроков давности по административным делам в сфере ПДн.

Теперь нельзя действовать по привычке или на доверии. Каждый шаг с персональными данными должен быть заранее продуман, формализован, задокументирован и защищен.

Если ваша компания хоть немного работает с данными (от кадров до CRM), пора обновиться. Это дешевле и спокойнее, чем отвечать на запрос Роскомнадзора или объясняться перед клиентами после инцидента.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме