Корпоративный e-mail — это персональные данные? Разбираем коллизию закона, судов и регулятора

Почему один и тот же адрес вида ivan.petrov@company.ru может быть и персональными данными, и нет — и что с этим делать бизнесу в 2025–2026 году

Почему вопрос важен сейчас, а не «когда-нибудь»

В большинстве российских компаний каждый сотрудник получает корпоративный e-mail. Нередко он выглядит как ivan.petrov@company.ru или i.petrov@holding.com — то есть прямо содержит имя и фамилию человека. Этот адрес передаётся коллегам, клиентам, партнёрам, попадает в подписи писем, хранится в CRM, Active Directory, корпоративных почтовых серверах.

Вопрос «является ли это персональными данными?» уже много лет остаётся дискуссионным: законодательное определение размыто, позиции регулятора, судов и доктрины расходятся. Но именно сейчас цена ответа резко выросла. С 30 мая 2025 года в России действуют новые, многократно увеличенные административные санкции по ст. 13.11 КоАП РФ [1], а Роскомнадзор ввёл режим автоматического 24/7-мониторинга операторов [2]. Некорректная классификация e-mail может превратить рутинный кадровый процесс в административный штраф до нескольких миллионов рублей.

Эта статья — правовой и практический разбор для специалистов по информационной безопасности, кадровиков, юристов и руководителей, которые хотят понять, где проходит граница, и выстроить работу без риска для компании.

Что говорит закон: базовое определение

Статья 3 Федерального закона № 152-ФЗ «О персональных данных» определяет персональные данные как «любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу» [3]. Список открытый: ФИО, дата рождения, адрес, СНИЛС, ИНН, гражданство, образование, доходы, фотография. Ключевое слово — «любую». Законодатель намеренно оставил формулировку широкой.

Адрес электронной почты в этом перечне прямо не назван. Но ст. 3 не содержит закрытого перечня. Возникает базовый вопрос: способен ли e-mail «прямо или косвенно» идентифицировать конкретного человека?

Ответ зависит от вида адреса.

Три типа корпоративных адресов — три разных правовых статуса

Чтобы ответить на вопрос о персональных данных применительно к корпоративной почте, нужно разграничить три случая. Их различие принципиально и признаётся и регулятором, и судебной практикой.

Тип 1. Личный именной адрес — ivan.petrov@company.ru, i.p@holding.com, ivan@firm.ru.

Адрес содержит имя и/или фамилию конкретного человека. По нему без каких-либо дополнительных идентификаторов можно установить личность сотрудника, его должность и работодателя. Это — персональные данные [4]. Именно так считает РКН: представитель Центрального аппарата ведомства Ю.Е. Контемиров на вебинаре в июле 2023 года прямо указал, что «личный корпоративный электронный адрес, закреплённый за конкретным сотрудником компании, рассматривается как персональные данные» [5]. Аналогичную позицию занимает Европейская Комиссия на основе GDPR: e-mail вида forename.surname@company.eu прямо назван примером персональных данных [6].

Тип 2. Обезличенный ролевой адрес — info@company.ru, sales@company.ru, support@firm.com, buhgalteria@holding.ru.

Адрес не привязан к конкретному физическому лицу. За ним может стоять несколько сотрудников, команда или автоматизированная система. РКН в том же выступлении 2023 года констатировал: «Если речь идёт об общем электронном адресе, которым пользуется компания или неопределённое количество сотрудников, то этот адрес не является персональными данными» [5]. С точки зрения 152-ФЗ: такой адрес не позволяет идентифицировать конкретное физическое лицо ни прямо, ни косвенно.

Тип 3. Псевдоанонимный личный адрес — id12345@company.ru, user.a@firm.com.

Пограничный случай. Адрес не содержит имени или фамилии в явном виде, но закреплён за конкретным человеком во внутренних системах компании. Является ли такой адрес ПДн? По позиции РКН и доктрине GDPR — да, если оператор (работодатель) способен идентифицировать субъекта с помощью доступных ему данных (справочник сотрудников, Active Directory, корпоративная CRM). Это называется принцип косвенной идентифицируемости.

Позиция Роскомнадзора: e-mail — это ПДн

Ведомство последовательно придерживается расширительного толкования. В письме № 08АП-6054 от 20 января 2017 года РКН, отвечая на обращение Казначейства России, указал: принцип идентификации физического лица по ФИО «не является единственно возможным критерием» отнесения информации к персональным данным; любой идентификатор, позволяющий прямо или косвенно установить личность, подпадает под защиту 152-ФЗ [7]. Из этого вытекало, что e-mail, содержащий имя/фамилию, — персональные данные.

На вебинаре в 2023 году позиция ведомства была уточнена и разграничена: именной адрес = ПДн, ролевой адрес = не ПДн [5]. Это уточнение принципиально важно для практики.

При проведении проверок РКН исходит именно из такой логики. Юридическая фирма Denuo Legal, изучившая практику регулятора, указывает: «Именно такая позиция, по нашей информации, разделяется Роскомнадзором и будет использоваться при проведении проверочных мероприятий» [8].

Позиция судов: коллизия, которая не решена

Судебная практика в России по данному вопросу противоречива, и это прямо признаётся юридическим сообществом.

С одной стороны, районные суды в течение многих лет поддерживали позицию РКН и квалифицировали e-mail как персональные данные, когда адрес содержит имя и фамилию владельца [9].

С другой стороны, в 2023 году возникло резонансное дело: Роскомнадзор предъявил претензии к страховой компании, которая в форме онлайн-заявки на полис собирала телефон и e-mail без согласия на обработку ПДн. Страховщик успешно оспорил позицию РКН в трёх инстанциях. Ключевые аргументы судов: адрес электронной почты без дополнительных идентификаторов не позволяет однозначно установить личность; кроме того, e-mail «не обладает свойством абсолютной неизменности» — после удаления аккаунта тот же адрес может быть зарегистрирован другим пользователем [10]. Верховный суд РФ отказал РКН в передаче жалобы в Судебную коллегию по экономическим спорам (определение по делу № А40-139096/2022, 2023 г.) [11].

Однако юридическое сообщество предупреждает: к этой позиции «необходимо относиться крайне осторожно». Она «уязвима для критики с точки зрения буквального толкования положений законодательства» и «идёт вразрез с мировой практикой» [8]. Определение ВС по конкретному делу не создаёт обязывающего прецедента для других дел — российская правовая система не является прецедентной.

Ключевое разграничение, которое суды признали: Верховный суд счёл, что адрес без «дополнительных идентификаторов» не является ПДн [12]. Это не означает, что именной корпоративный адрес (ivan.petrov@company.ru) в той же ситуации не будет признан персональными данными — он уже содержит такие идентификаторы в самом себе.

Международная практика: GDPR как ориентир

Европейский регулятор решил этот вопрос чётко и недвусмысленно. Европейская Комиссия указывает: «Правила также применяются ко всем персональным данным, относящимся к физическим лицам в рамках профессиональной деятельности, таким как... корпоративные адреса электронной почты вида forename.surname@company.eu или служебные телефонные номера сотрудников» [6]. Этот вывод базируется на ст. 4(1) GDPR, определяющей персональные данные как «любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу» [13].

GDPR добавляет важный принцип: не имеет значения, насколько сложно идентифицировать человека технически — если идентификация «разумно возможна» с использованием средств, доступных оператору или третьим лицам, данные являются персональными [14]. Работодатель всегда имеет доступ к справочнику сотрудников — а значит, способен соотнести любой корпоративный адрес с конкретным человеком.

Хотя GDPR не применяется к российским компаниям напрямую, его логика прямо совпадает с буквой ст. 3 152-ФЗ: «прямо или косвенно определяемое физическое лицо».

Специфика корпоративного контекста: работодатель как оператор

Для корпоративного e-mail особую роль играет контекст трудовых отношений. Работодатель одновременно является:

• создателем и владельцем корпоративного почтового домена,
• оператором персональных данных работников по смыслу 152-ФЗ,
• стороной, которая может в любой момент сопоставить e-mail с конкретным сотрудником через AD/LDAP, HR-систему или CRM.

Ст. 86–90 Трудового кодекса РФ устанавливают специальные требования к обработке персональных данных работников, в том числе контактных [15]. Ст. 6 152-ФЗ допускает обработку ПДн сотрудников без отдельного согласия, если это необходимо для исполнения трудового договора [16]. Это значит: работодатель вправе использовать служебный e-mail для рабочих нужд без дополнительного согласия, однако обязан включить e-mail в перечень обрабатываемых персональных данных и обеспечить их защиту.

Отдельный случай — передача именного e-mail третьим лицам (партнёрам, иностранным холдингам). Если работник сам отправляет письма от своего имени — он самостоятельно раскрывает собственные данные, и согласия не требуется [17]. Если же работодатель передаёт списки корпоративных адресов сотрудников подрядчикам — это уже передача персональных данных третьим лицам, которая требует либо согласия, либо законного основания.

Существует ещё один нюанс: после увольнения сотрудника его корпоративный e-mail, содержащий имя и фамилию, продолжает обрабатываться работодателем (в архивах почты, в системах). С этого момента работник вправе потребовать прекратить обработку своих персональных данных, и работодатель обязан их уничтожить или обезличить [18].

Контроль корпоративной почты и тайна переписки

Служебная переписка находится на пересечении двух режимов: режима персональных данных и режима тайны переписки. Работодатель имеет право контролировать корпоративную почту, но при выполнении ряда условий:

Во-первых, условие контроля должно быть закреплено в локальном нормативном акте (ЛНА) — правилах внутреннего трудового распорядка, положении об использовании корпоративных ресурсов [19]. Суды соглашаются с подобными формулировками: если работник ознакомлен с ЛНА под подпись, дисциплинарное взыскание за нарушение правил переписки является законным (определение 6 КСОЮ от 06.07.2023 по делу № 88-14938/2023) [19].

Во-вторых, почтовая система работодателя, через которую проходят письма, содержащие персональные данные сотрудников и клиентов, подпадает под определение информационной системы персональных данных (ИСПДн) по 152-ФЗ [20]. Это влечёт обязательства по технической защите, ограничению доступа и ведению журналов учёта действий.

В-третьих, после увольнения сотрудника доступ к его почтовому ящику с именем и фамилией должен быть явно урегулирован во внутренних документах — иначе любое использование этого ящика будет нарушением режима персональных данных [19].

Как менялись штрафы: контекст 2024–2026

Дискуссия о статусе корпоративного e-mail разворачивается на фоне системного ужесточения санкций. Федеральным законом № 420-ФЗ от 30.11.2024 в КоАП РФ были внесены изменения, вступившие в силу 30 мая 2025 года [1].

Ключевые новые суммы штрафов для юридических лиц по ст. 13.11 КоАП РФ:

1. За неуведомление РКН о начале обработки ПДн — от 100 до 300 тысяч рублей.
2. За неуведомление РКН об утечке ПДн — от 1 до 3 миллионов рублей.
3. За утечку данных от 1 тыс. до 10 тыс. физлиц — от 3 до 5 миллионов рублей.
4. За утечку данных от 10 тыс. до 100 тыс. физлиц — от 5 до 10 миллионов рублей.
5. За повторную утечку биометрических данных — от 25 до 500 миллионов рублей [21, 22].

Параллельно с 11 декабря 2024 года введена уголовная ответственность по ст. 272.1 УК РФ: незаконные использование, передача, сбор, хранение компьютерной информации, содержащей персональные данные, — до 10 лет лишения свободы в наиболее тяжких случаях [23].

С 1 сентября 2025 года действует новое требование: согласие на обработку персональных данных должно быть оформлено отдельным документом и не может быть включено в трудовой договор или пользовательское соглашение [24].

С 1 июля 2025 года первичная обработка персональных данных граждан РФ должна осуществляться исключительно на серверах, расположенных на территории России [25]. Это прямо затрагивает компании, использующие зарубежные почтовые сервисы (Google Workspace, Microsoft 365 в иностранных дата-центрах).

Практическая часть: чек-лист для работы с корпоративными e-mail

Шаг 1. Проведите инвентаризацию. Составьте реестр всех типов корпоративных адресов: именные (содержат имя/фамилию), ролевые (info@, sales@), псевдоанонимные (id@). Именно для именных и псевдоанонимных адресов необходимо применить режим персональных данных.

Шаг 2. Включите e-mail в документацию по ПДн. Добавьте служебные e-mail сотрудников в перечень обрабатываемых персональных данных, который является обязательным приложением к уведомлению в РКН и к внутренней политике обработки.

Шаг 3. Проверьте уведомление в Роскомнадзоре. Если в реестре операторов персональных данных РКН ваша компания не значится — немедленно подайте уведомление: с 30 мая 2025 года за его отсутствие штраф составляет до 300 тысяч рублей. Уведомление подаётся через портал pd.rkn.gov.ru или Госуслуги [26].

Шаг 4. Убедитесь, что почтовые серверы расположены в РФ. С 1 июля 2025 года первичная обработка данных российских граждан на зарубежных серверах — прямое нарушение 152-ФЗ. Штрафы за нарушение требований о локализации: от 1 до 6 миллионов рублей за первое нарушение [27].

Шаг 5. Разграничьте правовые основания обработки. Для действующих сотрудников: e-mail обрабатывается на основании трудового договора (ст. 6 152-ФЗ) — отдельное согласие не требуется, но нужен ЛНА. Для уволенных: определите порядок и сроки уничтожения или обезличивания именных адресов.

Шаг 6. Разработайте положение о корпоративной почте. Документ должен определять: порядок назначения адресов; права работодателя на контроль; статус ящика после увольнения; порядок уничтожения данных; требования к парольной защите и журналированию.

Шаг 7. Пересмотрите договоры с подрядчиками. Если корпоративные адреса сотрудников передаются внешним сервисам (CRM, рассылки, внешние платформы) — убедитесь, что с каждым подрядчиком заключён договор об обработке персональных данных (ДПО).

Шаг 8. Настройте процедуру уведомления РКН об утечке. С 30 мая 2025 года компания обязана уведомить РКН в течение 24 часов после обнаружения утечки; полное расследование — в течение 72 часов [28].

Типичные ошибки и риски

Ошибка 1: «Раз суды говорят, что e-mail — не ПДн, мы ничего не должны делать». Решение Верховного суда 2023 года касалось конкретного дела о форме онлайн-заявки, где e-mail собирался без дополнительных идентификаторов. В корпоративном контексте (именной адрес + доступ к справочнику сотрудников) ситуация принципиально иная. РКН при проверке будет применять собственную позицию, а не позицию ВС по другому делу.

Ошибка 2: Передача списков корпоративных адресов подрядчикам без ДПО. Это прямая передача персональных данных третьим лицам. С 2025 года — потенциальный штраф до нескольких миллионов рублей.

Ошибка 3: Хранение корпоративной почты уволенных сотрудников без ограничения сроков. После увольнения именной ящик превращается в «висящие» персональные данные без актуального правового основания. Бывший сотрудник вправе потребовать их уничтожения.

Ошибка 4: Использование зарубежных почтовых сервисов для первичного сбора данных. С 1 июля 2025 года это нарушение. Даже если письма хранятся на зарубежных серверах — нужна миграция или сертификация соответствия.

Ошибка 5: Смешение режимов. Ролевой адрес (info@) ведёт себя как персональные данные, если в его настройках указан конкретный владелец в системах компании. Проверяйте не только название адреса, но и его привязку в AD/LDAP.

Кейс: когда корпоративная почта становится предметом разбирательства

Практике известен показательный прецедент из трудового права. Конституционный суд РФ в 2017 году рассматривал дело юрисконсульта, уволенного за систематическую пересылку с корпоративного адреса на личный — служебных документов, содержащих персональные данные других сотрудников [29]. КС указал, что корпоративная переписка может содержать персональные данные третьих лиц, и их несанкционированная передача нарушает режим конфиденциальности. Этот кейс демонстрирует: корпоративная почта — не просто рабочий инструмент, а среда обращения персональных данных, которая требует чётко прописанных правил.

Другой пример: РКН при проверке компании указал, что e-mail сотрудника формата surname@company.ru является персональными данными и должен быть включён в перечень обрабатываемых ПДн в локальных актах [16]. Компания, не сделавшая этого, получила предписание.

Тренды и будущее: к чему готовиться

Несколько направлений, которые будут определять регуляторную среду в 2025–2027 годах:

Автоматизация надзора. РКН внедрил системы роботизированного мониторинга: по данным аналитиков, в 2025 году около 84% нарушений было выявлено в ходе автоматических проверок [2]. Это означает, что нарушение в области ПДн может быть обнаружено без «ручной» проверки.

Запрет иностранных облачных сервисов. Минцифры России предложило с 1 сентября 2027 года запретить крупному бизнесу использовать иностранные корпоративные облачные сервисы для обработки ПДн [30]. Это затронет корпоративную почту на Google Workspace и Microsoft Exchange Online (при зарубежном хостинге).

Обезличивание как альтернатива. С 1 сентября 2025 года введена ст. 13.1 152-ФЗ: обезличенные ПДн можно обрабатывать без согласия субъекта [31]. Для корпоративной почты это открывает возможность: ролевые адреса, не содержащие имён, могут обрабатываться с меньшими ограничениями.

Ужесточение требований к согласию. С 1 сентября 2025 года согласие на обработку ПДн — отдельный документ, не встроенный в другие соглашения [24]. Для корпоративного контекста это означает: если компания когда-либо просила сотрудников подписать «общее» согласие, включающее и e-mail, — его нужно переоформить.

Заключение: как действовать прямо сейчас

Правовая неопределённость вокруг корпоративного e-mail реальна. Позиция Верховного суда и позиция Роскомнадзора расходятся. Но практический вывод однозначен: при проверке придёт РКН, а не ВС.

Именной корпоративный e-mail вида ivan.petrov@company.ru следует считать персональными данными и обращаться с ним соответственно. Ролевой адрес вида info@company.ru — нет, при условии, что он не привязан к конкретному сотруднику в системах компании.

Цена консервативной позиции — незначительные организационные издержки на включение e-mail в документацию по ПДн. Цена игнорирования — штрафы от сотен тысяч до десятков миллионов рублей, а в случае утечки — уголовная ответственность.

Что делать прямо сейчас: провести инвентаризацию корпоративных адресов, обновить документацию по персональным данным, проверить наличие уведомления в РКН, убедиться, что почтовые серверы расположены в России, и разработать (или актуализировать) положение о корпоративной почте.

О платформе «Пятый фактор»

Один из самых сложных аспектов описанной проблемы — не знать, где именно в корпоративной инфраструктуре хранятся именные e-mail сотрудников. Они могут присутствовать в базах данных CRM, в Active Directory, в 1С, в корпоративных почтовых архивах, в таблицах Excel на файловых серверах, в логах систем мониторинга — и во многих других местах. Ручной аудит такого разброса занимает недели и всё равно оставляет слепые зоны.

Именно эту задачу решает Пятый фактор — on-prem платформа для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах (БД, хранилища, почтовые серверы, AD/LDAP, CRM, 1С, API). Платформа работает с метаданными и профилями данных — без передачи и хранения «сырых» значений ПДн, что соответствует принципу privacy-by-design.

В результате компания получает актуальную «карту ПДн»: где хранятся корпоративные e-mail сотрудников, кто является владельцем каждого источника, что изменилось с момента последнего аудита. Это позволяет оперативно реагировать на новые требования регулятора, снижать время подготовки к проверкам РКН и минимизировать риск штрафов.

Подробнее: 5factor.ru

Источники

[1] consultant.ru — КонсультантПлюс — Новые штрафы за утечку ПДн с 30 мая 2025 г. — https://www.consultant.ru/legalnews/27142/

[2] klerk.ru — 152-ФЗ: требования в 2025–2026 гг. — https://www.klerk.ru/blogs/roskom24/674017/

[3] consultant.ru — Федеральный закон № 152-ФЗ «О персональных данных», актуальная редакция — https://www.consultant.ru/document/cons_doc_LAW_61801/

[4] ic-tech.ru — Являются ли служебные e-mail сотрудников персональными данными? — https://ic-tech.ru/blog/faq/questions-152fz/yavlyayutsya-li-sluzhebnye-e-mail-sotrudnikov-personalnymi-dannymi/

[5] ispdn.info — Суд признал, что адрес e-mail не является ПДн; позиция РКН (вебинар Контемирова) — https://www.ispdn.info/news/sud-priznal-chto-adres-elektronnoy-pochty-ne-yavlyaetsya-personalnymi-dannymi/

[6] commission.europa.eu — Европейская Комиссия: применяются ли правила к данным о компании? — https://commission.europa.eu/law/law-topic/data-protection/rules-business-and-organisations/application-regulation/do-data-protection-rules-apply-data-about-company_en

[7] rulaws.ru — Письмо Роскомнадзора от 20.01.2017 № 08АП-6054 — https://rulaws.ru/acts/Pismo-Roskomnadzora-ot-20.01.2017-N-08AP-6054/

[8] denuo.legal — Denuo Legal: ВС РФ не признал e-mail персональными данными — https://denuo.legal/ru/insights/news/230830/

[9] garant.ru — ГАРАНТ: является ли телефон и e-mail персональными данными? — https://www.garant.ru/consult/business/1723024/

[10] rapsinews.ru — РАПСИ: ВС отказался признать e-mail персональными данными — https://rapsinews.ru/publications/20230810/309122335.html

[11] garant.ru — ГАРАНТ: телефон и e-mail сами по себе не являются ПДн — https://www.garant.ru/news/1642921/

[12] law.ru — Является ли корпоративная почта персональными данными работника? — https://www.law.ru/question/156230-yavlyaetsya-li-korporativnaya-elektronnaya-pochta-personalnymi-dannymi-rabotnika

[13] gdpr-info.eu — GDPR: определение персональных данных (Art. 4) — https://gdpr-info.eu/art-4-gdpr/

[14] gdpr.eu — GDPR.eu: что такое персональные данные по GDPR — https://gdpr.eu/eu-gdpr-personal-data/

[15] consultant.ru — Трудовой кодекс РФ, глава 14 — https://www.consultant.ru/document/cons_doc_LAW_34683/

[16] ic-tech.ru — Служебные e-mail и ст. 6 152-ФЗ — https://ic-tech.ru/blog/faq/questions-152fz/yavlyayutsya-li-sluzhebnye-e-mail-sotrudnikov-personalnymi-dannymi/

[17] law.ru — Сотрудник сам передаёт данные контрагентам — согласие не требуется — https://www.law.ru/question/156230-yavlyaetsya-li-korporativnaya-elektronnaya-pochta-personalnymi-dannymi-rabotnika

[18] glavbukh.ru — РКН: уволенный сотрудник вправе потребовать уничтожения ПДн — https://www.glavbukh.ru/art/390998-personalnye-dannye-chto-eto-chto-k-nim-otnosyat-kak-ispolzuyutsya

[19] tspor.ru — Контроль корпоративной почты: риски работодателя — https://www.tspor.ru/article/1106-kontrol-korporativnoj-pochtyi-riski-otvetstvennosti-dlya-rabotodatelya

[20] law.ru — Передача персональных данных по e-mail и ИСПДн — https://www.law.ru/question/84387-mojno-li-peredavat-personalnye-dannye-po-elektronnoy-pochte

[21] it-pnk.ru — Увеличение штрафов за нарушение законодательства о ПДн с 30 мая 2025 г. — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[22] buh.ru — БУХ.1С: штрафы за ПДн с 30 мая 2025 г. — https://buh.ru/articles/shtrafy-za-personalnye-dannye-s-30-maya-2025-goda-utechka-v-internet-neuvedomlenie-rkn-o-nachale-obr.html

[23] pravovest-audit.ru — Правовест Аудит: уголовная ответственность за ПДн с декабря 2024 г. — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/otvetstvennost-za-nepodachu-uvedomleniya-v-roskomnadzor-ob-obrabotke-personalnykh/

[24] boatswain.ru — С 1 сентября 2025: согласие — отдельный документ (ФЗ-156) — https://www.boatswain.ru/articles/personalnye-dannye-/personalnye-dannye-v-2025-godu-novye-pravila-i-chto-nuzhno-delat-pryamo-seychas/

[25] vc.ru — Новые требования РКН 2025: локализация данных — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[26] e-office24.ru — Уведомление в РКН об обработке ПДн — https://e-office24.ru/news/kak-uvedomit-rkn-ob-obrabotke-personalnykh-dannykh/

[27] vc.ru — Штрафы за нарушение требований о локализации — https://vc.ru/legal/2149867-novye-trebovaniya-rkn-2025-kak-izbezhat-shtrafov-za-lokalizatsiyu-dannyh

[28] saby-sbis.ru — Уведомление РКН об утечке ПДн в течение 24 часов — https://saby-sbis.ru/blog/shtrafy-pri-rabote-s-personalnymi-dannymi-s-30-maya-2025-goda

[29] consultant.ru — Постановление КС РФ от 26.10.2017 № 25-П (переписка с корпоративной почты) — https://www.consultant.ru/law/podborki/otnositsya_li_jelektronnaya_pochta_k_personalnym_dannym/

[30] sec.ussc.ru — Планируемые изменения 152-ФЗ: запрет иностранных облаков с 2027 г. — https://sec.ussc.ru/152fz-changes

[31] sec.ussc.ru — Новая ст. 13.1 152-ФЗ: обезличенные ПДн с 1 сентября 2025 г. — https://sec.ussc.ru/152fz-changes