Персональные данные и бизнес в 2026: полный гид по требованиям, штрафам и защите

Всё, что нужно знать каждому предпринимателю и руководителю — от регистрации в РКН до уголовной ответственности

Почему 2025–2026 стал переломным

Ещё три-четыре года назад тема персональных данных воспринималась большинством российского бизнеса как формальность: собрали галочку с пользователя — и достаточно. Максимальный штраф составлял 100 тысяч рублей, а проверки Роскомнадзора касались в основном крупных компаний.

Сегодня всё иначе. Законодатель провёл масштабную реформу: с конца 2024-го по осень 2025-го года вступил в силу целый пакет изменений в 152-ФЗ, КоАП и даже Уголовный кодекс. Штрафы выросли на порядки. Появилась реальная уголовная ответственность. Изменились требования к хранению, согласиям и обезличиванию данных.

При этом ситуация с утечками не улучшается. По данным ЭАЦ ГК InfoWatch, в 2024 году из российских компаний утекло 1,581 млрд записей персональных данных — рост составил более 30% к 2023 году. [13] За первые восемь месяцев 2025 года ГК «Солар» зафиксировала около 13 млрд строк утекших данных — почти в четыре раза больше, чем за весь 2024-й. [14]

Эта статья — практический путеводитель по новому регулированию. Она написана для предпринимателей, руководителей, HR-специалистов, маркетологов и всех, кто в своей работе соприкасается с данными клиентов, сотрудников или партнёров.

1. Что такое персональные данные и кто такой оператор

1.1. Что относится к персональным данным

Согласно статье 3 Федерального закона №152-ФЗ «О персональных данных», персональные данные — это любая информация, прямо или косвенно относящаяся к определённому физическому лицу. Критерий здесь один: можно ли с помощью этих данных (или их комбинации с другими) идентифицировать конкретного человека? [11]

К персональным данным относятся:

• Базовые идентификаторы: ФИО, дата рождения, пол, адрес проживания.
• Контактная информация: номер телефона, адрес электронной почты, аккаунты в мессенджерах.
• Документы: паспортные данные, СНИЛС, ИНН, номер полиса ОМС.
• Финансовые данные: номер банковской карты, расчётный счёт, история транзакций.
• Трудовые сведения: место работы, должность, размер заработной платы, стаж.
• Здоровье: диагнозы, результаты анализов, история посещений врачей.
• Биометрия: изображение лица, запись голоса, отпечатки пальцев.
• Цифровые идентификаторы: IP-адрес, cookies, идентификаторы устройств, история покупок в приложении.

Важно понимать: даже IP-адрес или история заказов в интернет-магазине без имени пользователя могут быть персональными данными, если позволяют идентифицировать человека в совокупности с другими данными.

Специальные категории (статья 10 152-ФЗ) — данные о расовой принадлежности, политических взглядах, религиозных убеждениях, состоянии здоровья, интимной жизни — обрабатывать значительно сложнее: требуется явное согласие субъекта или особые правовые основания. Обезличивать такие данные для передачи в ГИС нельзя. [16]

1.2. Кто является оператором ПДн — шире, чем вы думаете

Оператор персональных данных — это любая организация, ИП или физическое лицо, которые самостоятельно или совместно с другими определяют цели и содержание обработки персональных данных. [3]

На практике оператором является практически любой бизнес:

• Интернет-магазин, собирающий имена и email при оформлении заказа.
• ИП, ведущий базу клиентов в таблице Excel.
• Кафе с Wi-Fi, требующее при подключении указать телефон.
• HR-отдел любой компании, хранящий резюме.
• Маркетолог, настраивающий таргетированную рекламу по базе клиентов.
• Фрилансер, работающий с данными заказчиков или их клиентов.
• Самозанятый, если он обрабатывает данные других людей не только для личных нужд. [19]

Исключения из обязанности регистрироваться в РКН есть, но их немного: обработка данных исключительно на бумаге (без автоматизации), обработка для личных или семейных нужд, отдельные случаи в сфере транспортной безопасности. Если у вас есть сайт с формой заказа, CRM, база клиентов или вы нанимаете хотя бы одного сотрудника — вы оператор ПДн. [28]

2. Законодательная реформа 2024–2025: что и когда изменилось

2.1. Хронология ключевых изменений

Реформа началась не в один день — это серия законов и подзаконных актов, принятых на протяжении полутора лет.

Декабрь 2024 — законодательный пакет:

• ФЗ №420-ФЗ от 30.11.2024 — кратное увеличение административных штрафов по КоАП (вступил в силу с 30 мая 2025 года).
• ФЗ №421-ФЗ от 30.11.2024 — введение уголовной ответственности, новая статья 272.1 УК РФ (вступила в силу с 11 декабря 2024 года). [5]

Февраль 2025:

• ФЗ №23-ФЗ от 28.02.2025 — усиление требований к локализации: запрет хранить ПДн граждан РФ за рубежом, включая резервные копии и DR-сайты. [5]

30 мая 2025 года:

• Вступают в силу новые нормы КоАП: «градуированные» штрафы за утечки, оборотные штрафы, обязательная регистрация в реестре РКН. [1][12]

1 июля 2025 года:

• Новая часть 5 статьи 18 152-ФЗ: первичная запись, накопление и хранение ПДн — только на серверах в России. [6]

1 сентября 2025 года:

• ФЗ №156-ФЗ от 24.06.2025 — отдельное согласие на обработку ПДн. [2]
• ФЗ №233-ФЗ от 08.08.2024 — новые правила обезличивания (ст. 13.1 152-ФЗ), обязанность передавать обезличенные ПДн в ГИС Минцифры. [16]
• Приказ РКН №140 — утверждены методы обезличивания персональных данных. [43]

2.2. Что уже работает с 30 мая 2025 года

Это, пожалуй, самое чувствительное изменение для бизнеса: штрафы и уголовная ответственность.

Административные штрафы по статье 13.11 КоАП РФ выросли в 3–10 раз. По «базовому» составу (нарушение правил обработки ПДн без признаков утечки) штраф для организаций составляет от 150 000 до 300 000 рублей — ранее потолок был 100 000 рублей. [19]

Введено 8 новых составов правонарушений, которых раньше в КоАП не существовало, включая отдельные нормы за утечки разных объёмов, за неуведомление об утечке и за нарушение обязанности регистрации в РКН. [30]

Для всех дел по ст. 13.11 КоАП исключена возможность уплатить штраф со скидкой 50% — полная сумма. [19]

2.3. Что вступило в силу с 1 сентября 2025 года

Отдельное согласие. Галочка «Я согласен с политикой конфиденциальности» в договоре — больше не согласие. Текст согласия на обработку ПДн теперь нельзя вшивать в договор, оферту или другой документ. Это должен быть самостоятельный документ — на бумаге или в электронной форме с квалифицированной ЭП. [2]

Локализация бэкапов. Все резервные копии, реплики и DR-сайты с ПДн граждан РФ должны храниться исключительно в российских дата-центрах. Иностранные облачные регионы (AWS, Azure, GCP) для хранения ПДн граждан РФ — под запретом. [6]

Раздельное хранение исходных ПДн. По Приказу РКН №140 требуется три отдельных сегмента хранения — имя, фамилия и другие идентификационные данные не должны храниться в одном месте. Это снижает риск полной компрометации базы при взломе. [4]

Обязательное обезличивание по утверждённым методам. Теперь нельзя «обезличить» данные как угодно — только по методам из Приказа РКН №140: введение идентификаторов, изменение состава и семантики данных, перемешивание, декомпозиция, преобразование. [42]

Передача в ГИС Минцифры. По запросу Министерства цифрового развития любой оператор обязан предоставить обезличенные массивы данных в государственную информационную систему ЕИП НСУД. Биометрию и данные о состоянии здоровья включать в эти составы нельзя. [45]

Реестр обезличивания. Оператор обязан вести журнал операций с обезличенными данными — кому, когда, какие данные передавались и на каком основании. [42]

2.4. Что ждёт бизнес в 2026–2027 годах

Реформа не завершена. Уже объявлен следующий этап.

IV квартал 2026 года: по Распоряжению Правительства от 14.08.2025 №2207-р регуляторы должны определить минимальный объём ПДн, необходимых хозяйствующим субъектам, и направить в Правительство соответствующие предложения. [5]

III квартал 2027 года: ожидается внесение изменений в КоАП в части увеличения срока давности по делам о нарушении 152-ФЗ и дальнейшего ужесточения ответственности. [2]

1 сентября 2027 года: Минцифры предложило ввести запрет для организаций крупного бизнеса на использование иностранных корпоративных облачных сервисов и ПО в системах хранения и обработки ПДн. [5]

Централизованный учёт через «Госуслуги». Ожидается формирование правовой базы для федеральной ГИС, через которую граждане смогут видеть, кому они давали согласие, и отзывать его онлайн. Компании будут обязаны передавать в систему информацию о фактах обработки данных. [3]

2026 год: «полномасштабное применение». По данным аналитиков, Роскомнадзор в 2026 году начнёт активно применять все нормы, введённые во второй половине 2025 года, — массовые проверки и предписания уже ожидаются. [9]

3. Обязательная регистрация в Роскомнадзоре

3.1. Кто обязан регистрироваться

С 30 мая 2025 года обязательная регистрация в реестре операторов ПДн (подача уведомления в РКН) распространяется на всех, кто обрабатывает персональные данные с использованием автоматизированных систем. [25]

Это означает практически весь коммерческий бизнес:

• Юридические лица и ИП, ведущие базы клиентов, сотрудников, пользователей.
• IT-компании и SaaS-сервисы.
• Интернет-магазины с любой формой регистрации или заказа.
• Маркетинговые и аналитические агентства.
• Банки, МФО, страховые компании.
• Медицинские и образовательные организации.
• Иностранные компании с сайтами, ориентированными на пользователей из РФ. [25]

Кто освобождён (ч. 2 ст. 22 152-ФЗ): те, кто обрабатывает ПДн исключительно на бумаге (без автоматизации); физлица, обрабатывающие данные для личных и семейных нужд; ряд специальных случаев по транспортной безопасности.

3.2. Как подать уведомление: пошагово

Сначала — документы, потом — регистрация. Это важно: законодательство требует, чтобы локальные нормативные акты уже существовали до подачи уведомления. [30]

1. Разработайте внутренние документы: Политику обработки ПДн, Положение об обработке ПДн, инструкции для сотрудников.
2. Зайдите на сайт pd.rkn.gov.ru и откройте форму уведомления.
3. Заполните обязательные поля: наименование организации, ИНН, адрес, цели обработки, категории ПДн, категории субъектов, правовые основания, меры защиты, наличие трансграничной передачи.
4. Подпишите и отправьте — электронно или на бумаге в территориальный орган РКН.
5. Срок включения в реестр — до 30 дней. [27]

Проверить, включена ли ваша компания в реестр, можно на pd.rkn.gov.ru по ИНН или названию.

3.3. Распространённые ошибки при регистрации

В мае 2025 года, когда многие компании торопились зарегистрироваться до введения штрафов, массово допускались ошибки, последствия которых уже ощущаются. [30]

• Регистрация без документов. Компания подаёт уведомление, не имея Политики ПДн и Положения. При проверке обнаруживается несоответствие — и следует предписание.
• Неполный перечень целей. Если в реестре указана «работа с клиентами», а компания ещё обрабатывает данные соискателей — это уже другая цель, требующая отдельного отражения.
• Не уведомили об изменениях. Расширили деятельность, добавили новые CRM — нужно обновить сведения в реестре.

4. Новые правила получения согласия на обработку ПДн

4.1. Отдельное согласие — теперь закон

С 1 сентября 2025 года статья 9 152-ФЗ изменилась принципиально. Включение согласия на обработку ПДн в договор, пользовательское соглашение, оферту или любой другой документ больше не допускается. [2]

Это требует пересмотра всей документальной базы: форм на сайте, анкет, заявлений. Согласия, полученные до 1 сентября 2025 года в составе договоров, переоформлять не нужно — они сохраняют силу. Но всё новое — только отдельным документом. [2]

4.2. Что обязательно должно быть в согласии

Согласно части 4 статьи 9 152-ФЗ, документ обязательно должен содержать:

• ФИО и адрес субъекта персональных данных.
• Наименование и адрес оператора ПДн.
• Цель обработки персональных данных.
• Перечень персональных данных, на обработку которых даётся согласие.
• Перечень действий с данными (сбор, хранение, передача третьим лицам и т.д.).
• Срок действия согласия.
• Порядок отзыва согласия.

Если данные передаются третьим лицам (курьерской службе, SMS-сервису, CRM-провайдеру) — это необходимо прямо указать в согласии. [51]

Компания также обязана хранить информацию о том, кто, когда и какую версию согласия принял — это доказательная база при проверке. [4]

4.3. Электронное согласие и его фиксация

Электронное согласие законно, но должно быть подписано квалифицированной электронной подписью субъекта. На практике большинство интернет-сервисов пока используют упрощённые механизмы (чекбокс + фиксация IP, timestamp и версии документа). Это принимается при условии, что вы можете технически доказать факт согласия в суде или при проверке. [2]

5. Локализация данных: только российские серверы

5.1. Запрет на хранение и сбор за рубежом

С 1 июля 2025 года вступила в силу новая часть 5 статьи 18 152-ФЗ: при сборе персональных данных граждан РФ первичная запись, накопление, систематизация, накопление, хранение, уточнение и извлечение ПДн должны осуществляться с использованием баз данных, расположенных исключительно на территории Российской Федерации. [4]

Что это означает на практике:

• Нельзя хранить ПДн в зарубежных регионах AWS, Azure, Google Cloud.
• Нельзя делать резервные копии (бэкапы) на иностранные серверы.
• Нельзя использовать DR-сайты (площадки аварийного восстановления), расположенные за рубежом.
• SaaS-аналитика, которая записывает ПДн на зарубежные серверы, должна быть заменена.

Трансграничная передача ПДн (передача данных за рубеж) по-прежнему допустима — например, для отправки электронного письма клиенту, находящемуся за рубежом, или для работы с иностранными подрядчиками. Запрет касается именно хранения и накопления. [5]

Ранее компании могли хранить ПДн за рубежом при условии наличия копии в России. С июля 2025 года это правило ужесточено: российский сервер — приоритет. [4]

5.2. Что делать с иностранными SaaS и облаками

Большинство популярных западных SaaS-инструментов (Mailchimp, HubSpot, Salesforce и т.д.) хранят данные на серверах в США или ЕС. Их использование для хранения ПДн граждан РФ — риск нарушения. [6]

Возможные решения:

• Переход на российские аналоги с отечественными дата-центрами.
• Использование российских облачных провайдеров (VK Cloud, Yandex Cloud, SberCloud) с соответствующими аттестатами.
• Обезличивание данных перед передачей в зарубежный сервис — тогда ограничение локализации не применяется (так как обезличенные данные технически не являются ПДн).

6. Обезличивание данных: новые правила и обязанность передачи государству

6.1. Что такое обезличивание и зачем оно нужно бизнесу

Обезличивание — это действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность данных конкретному человеку (п. 9 ст. 3 152-ФЗ). [47]

Простой пример: если заменить в базе имя «Иванов Сергей» на идентификатор «ID_5482», а «ключ» для расшифровки хранить отдельно с ограниченным доступом — данные обезличены.

Зачем это бизнесу:

• Аналитика и ИИ. С сентября 2025 года обезличенные данные можно использовать для обучения моделей и аналитики без получения нового согласия субъекта. [44]
• Хранение после цели. Если данные больше не нужны для задачи, ради которой собирались, закон требует их удалить или обезличить — удаление не всегда возможно при необходимости сохранить статистику.
• Передача третьим лицам. При передаче аналитических данных партнёрам — только в обезличенном виде. [50]
• Снижение риска при утечке. Даже если база скомпрометирована, обезличенные данные значительно менее ценны для злоумышленников.

6.2. Методы обезличивания (Приказ РКН №140)

С 1 сентября 2025 года применять можно только методы, закреплённые в Приказе Роскомнадзора №140 от 19.06.2025. [43] Собственные «творческие» методы не принимаются.

Утверждённые методы:

• Введение идентификаторов — замена прямых атрибутов уникальными кодами (псевдонимизация).
• Изменение состава и семантики — замена точных значений на обобщённые (например, возраст → возрастная группа).
• Перемешивание — изменение порядка записей, нарушение связи атрибутов.
• Декомпозиция — разбиение набора данных на части, хранимые отдельно.
• Преобразование — математическое или иное преобразование значений. [42]

Важно: в процессе обезличивания данные ещё остаются ПДн, и все нормы 152-ФЗ продолжают действовать. Только завершённый результат, по которому нельзя идентифицировать человека, выходит из-под регулирования. [44]

6.3. Передача в ГИС Минцифры: новая реальность с сентября 2025

Федеральный закон №233-ФЗ ввёл в 152-ФЗ новую статью 13.1: по требованию Минцифры любой оператор обязан передать обезличенные данные в государственную информационную систему ЕИП НСУД (Единая информационная платформа национальной системы управления данными). [45]

Что важно знать:

• Передаются только обезличенные данные, из которых нельзя установить личность.
• Нельзя включать биометрию и специальные категории ПДн (здоровье, политические взгляды и т.д.). [46]
• Граждане вправе заявить возражения против передачи своих обезличенных данных.
• Доступ к ГИС предоставляется только проверенным организациям — иностранные компании и лица с судимостями за киберпреступления не допускаются. [50]
• Оператор обязан вести реестр обезличивания с указанием источника, метода, параметров, даты, ответственного и места хранения. [42]

На практике получить запрос от Минцифры может любая компания — от небольшого ритейлера до крупного банка. Поэтому техническая готовность к обезличиванию данных — уже не опция, а необходимость.

7. Штрафы и ответственность: цена ошибки

7.1. Административные штрафы — от 150 тыс. до 15 млн рублей (и выше)

С 30 мая 2025 года статья 13.11 КоАП РФ пополнилась восемью новыми составами и многократно увеличила размеры санкций. [16]

Общие нарушения (обработка ПДн без законного основания, нарушение требований):

• Организации: 150 000 – 300 000 руб. (ранее 60 000 – 100 000 руб.)
• Повторное нарушение для организаций: до 6 000 000 руб. [13]

Неуведомление РКН о начале обработки ПДн:

• Организации: 100 000 – 300 000 руб. [28]

Неуведомление РКН об утечке ПДн (в 10 раз строже, чем за неуведомление о начале обработки):

• Организации: 1 000 000 – 3 000 000 руб. [21]

Утечка ПДн 1 000 – 10 000 субъектов:

• Организации: 3 000 000 – 5 000 000 руб. [18]

Утечка ПДн 10 000 – 100 000 субъектов:

• Организации: 5 000 000 – 10 000 000 руб. [18]

Утечка ПДн более 100 000 субъектов:

• Организации: 10 000 000 – 15 000 000 руб. [17]

Утечка биометрических ПДн:

• Организации: 15 000 000 – 20 000 000 руб. [17]

Утечка специальных категорий ПДн:

• Организации: 10 000 000 – 15 000 000 руб. [14]

Для должностных лиц и ИП суммы меньше, но тоже значительно выросли. Важно учитывать, что скидка в 50% при оплате штрафов по ст. 13.11 КоАП отменена — платить придётся полную сумму. [19]

7.2. Оборотные штрафы за повторные утечки

Самое принципиальное новшество для крупного бизнеса — введение оборотных штрафов за повторные утечки. Они применяются, если компания ранее уже привлекалась к ответственности за утечку любой категории ПДн.

Размер: от 1% до 3% годовой выручки (для банков — от размера собственных средств) за год, предшествующий году выявления нарушения. Минимальный размер — 20 000 000 рублей, максимальный — 500 000 000 рублей. [1][12]

Снижение штрафа возможно при одновременном соблюдении нескольких условий, в том числе если компания на протяжении трёх лет инвестировала в информационную безопасность не менее 0,1% годовой выручки. [16]

7.3. Уголовная ответственность: новая статья 272.1 УК РФ

С 11 декабря 2024 года введена в действие статья 272.1 Уголовного кодекса РФ «Незаконные использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные». [52]

Статья применяется за незаконные действия с ПДн, полученными неправомерным путём — например, купленными в даркнете, похищенными при взломе или слитыми сотрудником.

Базовый состав (ч. 1):

• Штраф до 300 000 руб. или доход за 1 год, либо принудительные работы / лишение свободы до 4 лет.

Особые категории — дети, биометрия, специальные ПДн (ч. 2):

• Штраф до 700 000 руб., принудительные работы или лишение свободы до 5 лет.

Тяжкие последствия, корыстный умысел, организованная группа (ч. 5):

• Лишение свободы до 10 лет со штрафом до 3 000 000 руб. [59]

Трансграничная передача ПДн с нарушениями (ч. 4):

• Лишение свободы до 8 лет со штрафом до 2 000 000 руб. [55]

Практически это означает: сотрудник, «слившийся» базу клиентов конкурентам, директор, попустительствовавший незаконной обработке, или ИТ-подрядчик, неправомерно использовавший данные, — все находятся в зоне риска уголовного преследования.

8. Угроза утечек: масштаб проблемы в цифрах

8.1. Статистика утечек в России

Данные показывают, что Россия — одна из наиболее пострадавших стран в мире по объёму скомпрометированных персональных данных.

2024 год: По данным ЭАЦ ГК InfoWatch, из российских компаний утекло 1,581 млрд записей ПДн — рост более 30% к 2023 году (1,202 млрд записей). [13] По официальным данным Роскомнадзора, в 2024 году зафиксировано 135 утечек, в результате которых скомпрометировано более 710 млн записей. Разница в цифрах объясняется тем, что РКН фиксирует публично подтверждённые инциденты, тогда как InfoWatch учитывает более широкий круг источников. [34]

Более 80% утечек — по вине внешних атакующих; доля внутренних нарушителей составила 18,5%, причём почти все умышленно. [39]

2025 год: По данным ГК «Солар», за первые 8 месяцев 2025 года в сеть попало около 13 млрд строк персональных данных — в 4 раза больше, чем за весь 2024 год. [14]

По данным РКН за I полугодие 2025 года — 35 зафиксированных утечек, более 39 млн записей. [15]

При этом число публично известных инцидентов за 9 месяцев 2025 года сократилось на 16,5% по сравнению с 2024-м — но объём данных в единичной крупной утечке резко вырос. Как поясняет аналитик ГК «Солар», «одна крупная утечка может радикально изменить статистику». [14]

8.2. Кто в зоне риска

По данным InfoWatch, лидер по числу утечек в 2024 году — сфера торговли (розничная и онлайн-торговля): 27,8% всех инцидентов и 35,1% случаев компрометации ПДн. [33]

В 2025 году на первый план вышел государственный сектор, потеснив ритейл. По данным аналитиков F6 (Threat Intelligence), основная масса публично размещённых данных пришлась на ритейл и госсектор. [38]

В зоне повышенного риска также: финансовый сектор, логистика, медицина, образование, IT-компании. В 2024 году хакеры похитили данные около 500 000 клиентов «АльфаСтрахование-Жизнь» — публично подтверждённый крупный инцидент. [41]

По оценке президента «Ростелекома» Михаила Осеевского, высказанной в 2024 году, персональные данные всех россиян уже присутствуют в даркнете в той или иной форме. [34]

9. Практический чек-лист: что сделать прямо сейчас

9.1. Минимальный набор для малого бизнеса (ИП, ООО до 50 чел.)

Если у вас есть сайт, сотрудники или база клиентов — вот обязательный минимум:

☐ Зарегистрироваться в реестре РКН через pd.rkn.gov.ru (до регистрации подготовить документы).

☐ Разработать Политику обработки ПДн и разместить её на сайте в открытом доступе.

☐ Разработать Положение об обработке ПДн — внутренний документ, регламентирующий работу с данными.

☐ Переработать форму согласия — убрать согласие из договора/оферты, создать отдельный документ.

☐ Проверить, где хранятся данные — убедиться, что сервера в России (для ПДн граждан РФ).

☐ Проверить договоры с подрядчиками (хостинг, CRM, рассылки) — везде должен быть пункт о соблюдении 152-ФЗ.

☐ Установить порядок уведомления об утечке — если произошла утечка, нужно уведомить РКН немедленно (за молчание — штраф до 3 млн руб.). [21]

9.2. Полный комплект для среднего и крупного бизнеса

В дополнение к минимальному набору:

☐ Провести аудит персональных данных — инвентаризация всех систем, где хранятся ПДн, составление карты потоков данных.

☐ Назначить ответственного за обработку ПДн (DPO — Data Protection Officer) — обязательно для компаний с большими объёмами обработки.

☐ Внедрить раздельное хранение — ФИО, контакты и другие идентификаторы в разных сегментах или с разными правами доступа. [4]

☐ Настроить процедуру обезличивания — технический инструментарий для обезличивания по методам Приказа РКН №140 и ведения реестра обезличивания.

☐ Разработать план реагирования на инциденты — включая шаблон уведомления в РКН, порядок внутреннего расследования, коммуникационный план.

☐ Провести обучение сотрудников — особенно тех, кто имеет доступ к ПДн: сотрудники службы поддержки, HR, маркетинг, бухгалтерия.

☐ Внедрить технические меры защиты — шифрование данных в покое и при передаче, ограничение прав доступа, логирование действий с ПДн, антивирусная защита.

☐ Проводить регулярные внутренние аудиты — не реже одного раза в год, с документированием результатов.

☐ Инвестировать в ИБ не менее 0,1% выручки — это даёт право на снижение оборотного штрафа при повторной утечке. [16]

☐ Проверить иностранные SaaS — заменить или перенастроить сервисы, хранящие ПДн граждан РФ за рубежом.

10. Типичные ошибки и как их избежать

Ошибка 1: «У нас маленький бизнес — нас не проверят». Это распространённое заблуждение. Роскомнадзор проводит как плановые, так и внеплановые проверки. Внеплановая проверка может быть инициирована жалобой одного клиента. Кроме того, с 2026 года регулятор планирует нарастить число проверок. [9]

Ошибка 2: Согласие вшито в договор. Классическая ситуация: в договоре оферты есть пункт «нажимая кнопку, вы соглашаетесь на обработку персональных данных». После 1 сентября 2025 года это незаконно. Требуется отдельное, явно оформленное согласие. [2]

Ошибка 3: Данные хранятся в Google Sheets или Dropbox. Если в таблицах или облачных папках находятся ФИО, телефоны, email клиентов — это может нарушать требование локализации. Данные хранятся на серверах Google (США). [6]

Ошибка 4: Не уведомили РКН об утечке. При обнаружении инцидента компании нередко пытаются «замолчать» проблему. Но штраф за неуведомление РКН об утечке — от 1 до 3 млн рублей для организаций. [21] Правильно: при подозрении на утечку — немедленно уведомить РКН и начать внутреннее расследование.

Ошибка 5: Данные хранятся бессрочно. Принцип минимизации (ст. 5 152-ФЗ): данные нельзя хранить дольше, чем необходимо для достижения цели обработки. После закрытия лида, расторжения договора или иного завершения цели — данные нужно удалить или обезличить. [51]

Ошибка 6: Нет разграничения прав доступа. Часто в небольших компаниях у всех сотрудников одинаковый доступ к CRM. Это нарушает принцип необходимости доступа и повышает риск внутренних утечек. Согласно статистике, 18,5% утечек в 2024 году — дело рук внутренних нарушителей, и почти все — умышленно. [39]

Ошибка 7: Обезличивание «своими методами». До сентября 2025 года многие компании обезличивали данные по собственным алгоритмам. Теперь допускаются только методы из Приказа РКН №140. Если метод не соответствует приказу, данные не считаются официально обезличенными. [43]

11. Тренды и что ждёт дальше

Тренд 1: Регулятор становится «зубастым». Ещё год назад штрафы за утечку были смехотворными: максимум 700 000 рублей. Сейчас — до 500 млн рублей. И это не конец: в 2027 году ожидается очередное ужесточение норм КоАП, увеличение сроков давности по делам. [2] Регулятор переходит от «бумажного» надзора к реальному применению санкций.

Тренд 2: Государство хочет данные. Обязательная передача обезличенных данных в ГИС Минцифры — лишь начало. Ожидается расширение этой практики: государство формирует «озеро данных» для экономической аналитики, ИИ-сервисов и управленческих решений. Для бизнеса это новая нагрузка и одновременно — потенциальный доступ к агрегированным отраслевым данным. [3]

Тренд 3: Технологический суверенитет. Запрет иностранных облаков для крупного бизнеса (с 2027 года) — часть более широкой политики технологической независимости. Компании, сделавшие ставку на западный стек, получат дополнительные расходы на миграцию. Лучше начать готовиться уже сейчас. [5]

Тренд 4: ИИ и персональные данные. Новые правила обезличивания открывают легальный путь для использования данных при обучении ИИ-моделей без получения нового согласия субъектов. Это стимул для развития корпоративного ИИ в России, но и дополнительный контроль: Роскомнадзор будет проверять соблюдение методов обезличивания при обращении с данными для ИИ. [44][50]

Тренд 5: Учёт согласий через «Госуслуги». Ожидается создание централизованной ГИС для управления согласиями граждан. Для бизнеса это означает: в перспективе 2–3 лет появится обязанность синхронизировать статус согласия с федеральной платформой. Гражданин сможет отозвать согласие одним кликом — и бизнес будет обязан немедленно прекратить обработку. [3]

Тренд 6: Гонка за кибербезопасностью. Объём утечек продолжает расти несмотря на ужесточение закона. За первые 8 месяцев 2025 года — 13 млрд строк данных. [14] Инвестиции в ИБ перестают быть «статьёй расходов» и превращаются в страховку от катастрофических штрафов.

Заключение

Реформа в сфере персональных данных — не временный тренд, а долгосрочная политика государства. Требования ужесточаются, санкции растут, а 2026 год по всем признакам станет годом массового правоприменения новых норм.

Хорошая новость: большинство требований — выполнимы. Они требуют организационных усилий и некоторых технических вложений, но не являются чем-то недостижимым даже для малого бизнеса.

Что делать прямо сейчас:

1. Проверить, зарегистрированы ли вы в реестре РКН.
2. Пересмотреть формы согласий — убрать из договоров.
3. Убедиться, что ПДн граждан РФ хранятся только на российских серверах.
4. Разработать или обновить внутреннюю документацию по ПДн.
5. Провести ревизию подрядчиков — все ли соблюдают 152-ФЗ?
6. Настроить порядок уведомления об инцидентах.

Цена бездействия — от сотен тысяч до сотен миллионов рублей штрафов и уголовной ответственности для должностных лиц. Цена подготовки — несопоставимо меньше.

Источники

[1] КонсультантПлюс — Новые штрафы за утечку ПДн с 30.05.2025 — https://www.consultant.ru/legalnews/28492/

[2] ГАРАНТ.РУ — Согласие на обработку ПДн с 01.09.2025: новые правила — https://www.garant.ru/article/1862510/

[3] klerk.ru — 152-ФЗ: требования для бизнеса в 2026 году — https://www.klerk.ru/blogs/roskom24/674017/

[4] РБК Компании — Как работать с ПДн в 2025: изменения с 1 сентября — https://companies.rbc.ru/news/BSZ231iAod/kak-rabotat-s-personalnyimi-dannyimi-v-2025-godu-izmeneniya-s-1-sentyabrya/

[5] sec.ussc.ru — Планируемые изменения 152-ФЗ — https://sec.ussc.ru/152fz-changes

[6] РБК Компании — Как работать с ПДн в 2025: изменения с 1 сентября — https://companies.rbc.ru/news/BSZ231iAod/kak-rabotat-s-personalnyimi-dannyimi-v-2025-godu-izmeneniya-s-1-sentyabrya/

[7] РБК Компании — Новые требования к ПДн в 2026 — https://companies.rbc.ru/news/lIWDgweSHr/novyie-trebovaniya-k-personalnyim-dannyim-v-2026-chto-teper-obyazatelno/

[8] klerk.ru — Закон о ПДн: что ждёт в 2026 году — https://www.klerk.ru/blogs/fedresurs/680031/

[9] klerk.ru — 152-ФЗ: требования для бизнеса в 2026 году — https://www.klerk.ru/blogs/roskom24/674017/

[10] qugo.ru — Изменения закона о ПДн в 2025 году — https://qugo.ru/blog/izmeneniya-zakona-o-personalnyh-dannyh-v-2025-godu

[11] qugo.ru — Изменения закона о ПДн в 2025 году — https://qugo.ru/blog/izmeneniya-zakona-o-personalnyh-dannyh-v-2025-godu

[12] КонсультантПлюс — Новые штрафы за утечку ПДн с 30.05.2025 — https://www.consultant.ru/legalnews/28492/

[13] InfoWatch — Количество слитых ПДн в 2024 году выросло на треть — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[14] РБК — «Солар»: в 2025 году в Сеть слили 13 млрд строк ПДн россиян — https://www.rbc.ru/society/23/09/2025/68d24e309a7947c037bff93e

[15] Хабр — РКН: 35 фактов утечек за H1 2025 — https://habr.com/ru/news/924602/

[16] Главбух — Миллионные штрафы за персданные с 30 мая 2025 — https://www.glavbukh.ru/art/391377-shtrafy-za-obrabotku-rasprostranenie-i-utechku-personalnyh-dannyh-11xx-news

[17] it-pnk.ru — Увеличение штрафов за нарушения в сфере ПДн с 30 мая 2025 — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[18] Правовест Аудит — Изменения в обработке ПДн с 30.05.2025 — https://pravovest-audit.ru/nashi-statii-nalogi-i-buhuchet/izmeneniya-v-obrabotke-personalnykh-dannykh-s-30-maya-2025-goda/

[19] КонсультантПлюс — С 30 мая 2025 значительно ужесточена ответственность за нарушения в области ПДн — https://www.consultant.ru/document/consdocLAW_490308/...

[20] RTM Group — Новые штрафы за утечки ПДн — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/

[21] ГАРАНТ.РУ — С 30 мая возрастут штрафы за утечку ПДн и их незаконный оборот — https://www.garant.ru/news/1816746/

[25] br1c.ru — Регистрация в реестре Роскомнадзора с 30.05.2025 — https://br1c.ru/articles/buhgalteriya%20/registratsiya-v-reestre-roskomnadzora-s-30-05-2025/

[27] data-sec.ru — Реестр операторов ПДн Роскомнадзора — https://data-sec.ru/personal-data/operator-registry/

[28] uchet37.ru — Регистрация оператора ПДн в Роскомнадзоре в 2025 году — https://uchet37.ru/news/registracziya-operatora-personalnyh-dannyh-v-roskomnadzore-v-2025-godu/

[30] ГАРАНТ.РУ — Оператор ПДн: как зарегистрироваться правильно — https://www.garant.ru/article/1839391/

[33] InfoWatch — Утечки ПДн в России выросли на 30% в 2024 году — https://www.infowatch.ru/...

[34] TAdviser — Утечки данных в России — https://www.tadviser.ru/index.php/...

[38] Коммерсантъ FM — Рост утечек данных: как защитить себя в 2025 году — https://www.kommersant.ru/doc/8293551

[39] anti-malware.ru — В России утекло 1,58 млрд записей ПДн в 2024 году — https://www.anti-malware.ru/news/2025-03-05-121598/45436

[41] cnews.ru — В 2024 году в Сеть утекли более 710 млн записей о россиянах — https://www.cnews.ru/news/top/2025-01-16v2024goduproizoshlo135utechek

[42] РБК Компании — Как работать с ПДн в 2025: изменения с 1 сентября — https://companies.rbc.ru/news/BSZ231iAod/...

[43] КонсультантПлюс — С 1 сентября 2025 новые требования к обезличиванию ПДн — https://www.consultant.ru/law/hotdocs/90337.html

[44] Хабр — Новые правила обезличивания ПДн с 1 сентября 2025 — https://habr.com/ru/articles/931348/

[45] Главбух — С 1 сентября введена обязательная обезличенная передача ПДн в Минцифры — https://www.glavbukh.ru/art/391862-...

[47] law.ru — Обезличивание ПДн: новые правила с 1 сентября 2025 — https://www.law.ru/article/28041-obezlichivanie-personalnyh-dannykh-novye-pravila-s-1-sentyabrya-2025-goda

[50] forus.ru — Новые правила обезличивания ПДн с 1 сентября 2025: что изменится для бизнеса — https://www.forus.ru/about/news/novye-pravila-obezlichivaniya-personalnykh-dannykh/

[51] robokassa.com — Изменения в 152-ФЗ с 1 сентября: чек-лист подготовки — https://robokassa.com/blog/articles/izmeneniya-v-152-fz-s-1-sentyabrya/

[52] КонсультантПлюс — Статья 272.1 УК РФ (текст) — https://www.consultant.ru/document/consdocLAW_10699/...

[53] ГАРАНТ.РУ — Президент РФ ужесточил ответственность за утечку ПДн — https://www.garant.ru/news/1770029/

[55] profkeycase.ru — Уголовная ответственность за персональные данные — https://pcs.ru/blog/935

[59] объясняем.рф — В России ужесточили наказание за незаконные сбор и передачу ПДн — https://xn--90aivcdt6dxbc.xn--p1ai/articles/news/v-rossii-uzhestochili-nakazanie-za-nezakonnye-sbor-i-peredachu-personalnykh-dannykh