Персональные данные в группе компаний: как законно передавать, оформлять и контролировать в 2025–2026 годах

Практический разбор оснований, документов и рисков для холдингов и корпоративных структур с учётом изменений 2025 года

Зачем это важно и кому это читать

Российское законодательство о персональных данных не делает исключений для холдингов и корпоративных групп. Каждое юридическое лицо, входящее в структуру, является самостоятельным оператором персональных данных и несёт полную ответственность за их обработку — независимо от того, что управляющая компания или материнская структура владеет ими через акции или доли.

На практике это означает: передача данных сотрудников из «дочки» в корпоративный HR-центр, клиентской базы из регионального офиса в головную CRM или доступ ИТ-службы холдинга к системам дочерних обществ — всё это юридически значимые действия, требующие оформления.

Эта статья для юристов, DPO (ответственных за защиту данных), ИТ-директоров и руководителей комплаенс-функций холдингов и групп компаний. Она объясняет, на каком основании передача ПДн между юрлицами группы является законной, какие документы для этого нужны и как выстроить контроль, чтобы не оказаться в ситуации, когда нарушение уже произошло, а вы узнаёте об этом при проверке.

Ключевые понятия: оператор, обработчик и «передача» в российском праве

Кто такой оператор, а кто — обработчик по поручению

Статья 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — 152-ФЗ) определяет оператора как юридическое лицо, которое самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн, определяет цели обработки, состав данных и совершаемые с ними действия [1].

Ключевое слово здесь — «самостоятельно». Каждое юридическое лицо группы, которое само определяет, зачем и как обрабатывать данные (например, ведёт кадровый учёт своих сотрудников), является отдельным оператором. Тот факт, что компании входят в один холдинг, не делает их единым оператором [8].

Совершенно иная фигура — обработчик по поручению. Это лицо, которое обрабатывает данные по заданию оператора, не определяя самостоятельно цели обработки. Например, если управляющая компания ведёт расчёт заработной платы за всю группу — она выступает обработчиком по поручению для каждой «дочки». Важнейший нюанс, который разъяснили эксперты в области защиты данных: ключевой признак обработчика — отсутствие у него права самостоятельно определять цели обработки данных перед субъектами ПДн [9].

Понимание этого различия критически важно, потому что оно определяет весь набор документов и порядок оформления отношений.

Что считается «передачей» ПДн между юрлицами

Российская регуляторная практика разграничивает два сценария, которые внешне похожи, но юридически принципиально различаются [9]:

1. Поручение обработки — оператор передаёт данные другому лицу, которое обрабатывает их исключительно в интересах и по инструкциям оператора. Обработчик не получает самостоятельных прав на данные.
2. Предоставление (передача) между операторами — оба юрлица являются самостоятельными операторами и получают данные в своих собственных целях. Каждый несёт независимую ответственность.

Это разграничение напрямую влияет на необходимость согласия субъекта и на форму оформляемых документов. Именно поэтому первый вопрос при работе с ПДн внутри группы — не «как передать», а «кем в этой конкретной ситуации является принимающее юрлицо: обработчиком или самостоятельным оператором?»

Правовые основания для передачи ПДн внутри группы

Схема 1: поручение обработки (ч. 3 ст. 6 152-ФЗ)

Это наиболее распространённая и «безопасная» схема для операционного взаимодействия внутри холдинга. Часть 3 статьи 6 152-ФЗ устанавливает: оператор вправе поручить обработку персональных данных другому лицу на основании заключаемого с этим лицом договора [1].

Принципиально важная норма — часть 4 той же статьи: лицо, осуществляющее обработку по поручению оператора, не обязано получать согласие субъекта ПДн на обработку его данных [1]. Это означает, что если обработка данных сотрудников в централизованной HR-системе холдинга правильно оформлена как поручение, не нужно собирать отдельные согласия каждого сотрудника на «передачу данных в управляющую компанию».

Оператор, поручивший обработку, остаётся ответственным перед субъектом за действия обработчика [1]. Обработчик, в свою очередь, несёт ответственность перед оператором.

Типичные примеры применения схемы поручения внутри группы:

1. Централизованный расчёт зарплаты и кадровый учёт в управляющей компании для дочерних обществ.
2. Корпоративный ИТ-отдел или сервисная компания холдинга, обслуживающая информационные системы дочерних структур.
3. Единый call-центр или служба поддержки, обрабатывающая клиентские запросы для нескольких юрлиц группы.
4. Корпоративная CRM или ERP, администрируемая централизованно.

Схема 2: самостоятельная передача (предоставление) данных между операторами

Если обе стороны — самостоятельные операторы, каждый преследует свои собственные цели обработки, ситуация сложнее. В этом случае передача данных — это не поручение, а предоставление, и оно требует собственного правового основания [8].

Такое основание может быть:

1. Согласие субъекта персональных данных (ч. 1 ст. 6, ст. 9 152-ФЗ). Человек явно соглашается на то, что его данные будут переданы конкретному третьему юрлицу с конкретной целью. С 1 сентября 2025 года согласие должно быть оформлено отдельным документом — включать его в трудовой договор, оферту или любой другой документ запрещено [5].
2. Исполнение договора, стороной которого является субъект (п. 5 ч. 1 ст. 6). Если клиент заключил договор с одним юрлицом группы, а его исполнение объективно требует участия другого — передача данных в рамках этого договора может быть законной без отдельного согласия [13].
3. Законный интерес оператора или третьего лица (п. 7 ч. 1 ст. 6). Это наименее определённое основание в российском праве. Роскомнадзор не признаёт его применимым без ограничений, а сам факт нахождения юрлиц в одной группе компаний сам по себе «законным интересом» не считается [9].

Схема 3: обработка без согласия по иным основаниям ст. 6

Часть 1 статьи 6 152-ФЗ содержит закрытый перечень оснований, при которых согласие субъекта не нужно. Применительно к группе компаний на практике чаще всего задействуются [13, 14]:

1. Обязанность, предусмотренная законодательством: например, передача данных сотрудников в ФНС, СФР, другие госорганы.
2. Исполнение договора с субъектом.
3. Защита жизни и здоровья субъекта, если его согласие получить невозможно.

Важно понимать: ни одно из этих оснований не даёт «универсального» права на произвольную передачу данных внутри холдинга. Каждая конкретная передача должна быть соотнесена с конкретным основанием [14].

Обязательные документы: что должно быть подписано

Независимо от того, какая схема используется, юридическое оформление необходимо. Отсутствие договора или поручения при фактической передаче данных является нарушением, которое Роскомнадзор выявляет как при плановых проверках, так и при внеплановых [20].

Для схемы поручения обработки обязательным является договор-поручение (или отдельный раздел в договоре об оказании услуг). Согласно ч. 3 ст. 6 152-ФЗ, в поручении оператора в обязательном порядке должны быть определены [1, 11]:

1. Перечень персональных данных, передаваемых на обработку.
2. Перечень действий (операций) с данными, которые вправе совершать обработчик.
3. Цели обработки.
4. Обязанность обработчика соблюдать конфиденциальность ПДн.
5. Требования по соблюдению норм ч. 5 ст. 18 и ст. 18.1 152-ФЗ (организационные и технические меры).
6. Обязанность обработчика предоставлять по запросу оператора документы, подтверждающие соблюдение требований.
7. Обязанность обеспечивать безопасность ПДн при обработке.
8. Требования к защите данных согласно ст. 19 152-ФЗ.
9. Обязанность уведомлять оператора о фактах неправомерной или случайной передачи данных, повлёкшей нарушение прав субъектов.

Форма документа законом не установлена [11]. Поручение может быть оформлено как самостоятельный договор, как приложение к договору об оказании услуг или в виде соглашения о конфиденциальности с дополнительными условиями. Главное — наличие всех обязательных условий.

Помимо договора-поручения, в пакет документов группы компаний по ПДн, как правило, входят [17]:

1. Политика (положение) в отношении обработки персональных данных — для каждого юрлица.
2. Приказ о назначении ответственного за организацию обработки ПДн в каждом юрлице.
3. Перечень информационных систем персональных данных с указанием того, какие данные в них хранятся и какому юрлицу принадлежит система.
4. Соглашение о конфиденциальности для сотрудников, имеющих доступ к ПДн.
5. Актуальные уведомления каждого юрлица в Роскомнадзор с корректно указанными сведениями о третьих лицах, которым поручается обработка [6].

Если данные передаются в компанию группы, расположенную в иностранном государстве, обязательно также уведомление о трансграничной передаче.

Когда нужно согласие субъекта, а когда нет

Это один из наиболее часто задаваемых вопросов в практике холдингов, и ответ на него зависит от конкретной ситуации.

Согласие субъекта не требуется, если [1, 13, 14]:

1. Передача оформлена как поручение по ч. 3 ст. 6 152-ФЗ — обработчик, действующий по поручению, не обязан получать согласие субъекта (ч. 4 ст. 6).
2. Обработка необходима для исполнения договора с субъектом (например, сотрудник заключил трудовой договор с конкретным юрлицом — оно вправе обрабатывать его данные в рамках трудовых отношений без дополнительного согласия).
3. Обработка прямо предусмотрена законодательством (налоговая отчётность, обязательное страхование и т.д.).

Согласие субъекта необходимо, если [1, 2]:

1. Данные передаются другому самостоятельному оператору, у которого нет иного законного основания для их получения.
2. Оператор хочет использовать данные в целях, выходящих за рамки первоначальной цели сбора (например, клиентские данные, собранные для доставки, планируется передать другому юрлицу группы для маркетинга).
3. Обрабатываются специальные категории данных (здоровье, биометрия, судимости и т.д.) — для них согласие требуется в письменной форме и в отдельном документе [2].

С 1 сентября 2025 года установлено новое требование: согласие на обработку персональных данных должно оформляться отдельно от других документов, которые подтверждает или подписывает субъект [5]. Включение согласия на передачу ПДн в текст трудового договора или пользовательского соглашения с этой даты незаконно. Если компания не успела перестроить документооборот — штраф по ч. 2 ст. 13.11 КоАП РФ для юрлица составляет от 300 000 до 700 000 рублей [5].

Особый случай: иностранные компании в группе

Если в группу входят юридические лица, зарегистрированные в иностранных государствах, или если иностранная компания получает доступ к данным российских субъектов (например, через корпоративную ИТ-систему) — это трансграничная передача персональных данных [3].

Согласно ст. 12 152-ФЗ, трансграничная передача означает передачу ПДн на территорию иностранного государства, органу власти иностранного государства, иностранному физическому или юридическому лицу [3]. Местонахождение российского отправителя значения не имеет: если получатель — иностранное юрлицо, это трансграничная передача [12].

Порядок действий для холдинга с иностранными структурами:

1. До начала передачи направить в Роскомнадзор уведомление о трансграничной передаче с описанием принимающей стороны и мер защиты, которые она принимает.
2. Если страна-получатель входит в перечень государств с «адекватной защитой» (Беларусь, Казахстан, Армения, КНР и ряд других), передача начинается после подачи уведомления без ожидания одобрения. Если страна в перечень не включена (например, США), необходимо ждать 10 рабочих дней — в течение этого срока Роскомнадзор может запретить передачу [15].
3. Помимо уведомления, требуется оформить договор поручения с иностранным юрлицом по тем же требованиям, что и с российским.

Важный нюанс: даже если иностранное юрлицо группы является «сестринской» или «материнской» компанией, это не освобождает от обязанности оформить трансграничную передачу. По позиции, озвученной представителями Роскомнадзора, если в группу компаний входит иностранное юрлицо, необходимо оформлять и согласие, и договор поручения на обработку [18].

Типичные ошибки и риски холдингов

На основании практики проверок Роскомнадзора и разъяснений экспертов можно выделить следующие наиболее распространённые ошибки корпоративных структур.

Первая — отсутствие договора-поручения при фактической централизации обработки. Многие холдинги выстраивают единый центр обслуживания (ЕЦО), общий кадровый департамент или корпоративный ИТ-отдел без какого-либо документального оформления передачи ПДн от «дочек». С точки зрения 152-ФЗ — это незаконная обработка данных без основания [8, 11].

Вторая — применение «универсальных» согласий вместо надлежащих оснований. Некоторые компании пытаются «закрыть» все виды обработки единым расширенным согласием. Роскомнадзор рассматривает это как нарушение — особенно с 2025 года, когда обработка ПДн по согласию там, где достаточно иного основания, сама по себе является признаком риска [16].

Третья — включение условий о передаче ПДн в трудовые договоры или оферты. После 1 сентября 2025 года такая практика прямо запрещена федеральным законом [5].

Четвёртая — передача ПДн через иностранные мессенджеры. С 2023 года для финансовых организаций и компаний с государственным участием прямо запрещена передача персональных данных, платёжной информации или сведений о переводах через Discord, Microsoft Teams, Skype for Business, Snapchat, Telegram, WhatsApp, Viber, WeChat и ряд других сервисов [10].

Пятая — устаревшее уведомление в Роскомнадзоре. Если в группе появились новые дочерние общества, новые ИТ-системы, новые категории обрабатываемых данных или изменились третьи лица-обработчики, уведомление должно быть обновлено. Несоответствие уведомления фактической обработке — один из первых пунктов, которые проверяют инспекторы [20].

Шестая — отсутствие актуальной карты ПДн. ИТ-ландшафт холдинга постоянно меняется: появляются новые интеграции, новые поля в базах данных, новые подрядчики. Без постоянного мониторинга компания фактически не знает, где и какие данные хранятся в тот или иной момент. Это означает, что любой новый риск или нарушение будет обнаружено только по факту инцидента или проверки [19].

Контроль и мониторинг: как не пропустить новые риски

Для группы компаний вопрос «кто и что делает с данными» принципиально сложнее, чем для отдельной организации. У холдинга могут быть десятки юрлиц, сотни информационных систем, несколько центров обработки данных. Изменения происходят постоянно: добавляется новая система, появляется новый вид договора, внедряется интеграция с подрядчиком.

Роскомнадзор в 2026 году оценивает не просто наличие документов, а способность оператора доказать, что обработка ПДн управляется, контролируется и соответствует фактическим бизнес-процессам [27]. Это требует системного подхода.

Практически важные шаги для выстраивания мониторинга [19, 30]:

1. Актуальная инвентаризация обработок. Периодически (не реже раза в год, в идеале — непрерывно) фиксируются все реальные процессы обработки ПДн: кадровые, клиентские, маркетинговые, договорные, через сайт и ИТ-системы. Важно выявлять расхождения между тем, что написано в документах, и тем, что происходит на практике.
2. Реестр информационных систем с ПДн. Для каждой ИСПДн фиксируется: какие данные содержатся, кто является оператором (какое юрлицо группы), есть ли договор поручения с юрлицами, имеющими к ней доступ.
3. Процедура onboarding новых систем и интеграций. Любое новое ИТ-решение, новый подрядчик или новая интеграция между системами должны проходить юридическую оценку с точки зрения ПДн до запуска, а не после.
4. Мониторинг изменений ИТ-ландшафта. Новые поля в базах данных, новые API-интеграции, изменения состава систем — всё это потенциально создаёт новые категории обрабатываемых данных или новые пути их распространения.
5. Регулярное обновление уведомлений в Роскомнадзоре и корпоративной документации при изменениях.

Штрафы и ответственность 2025–2026

Начиная с 30 мая 2025 года в России действует принципиально новая система административной ответственности за нарушения в сфере ПДн — введённая Федеральным законом от 30.11.2024 № 420-ФЗ [4, 7].

По общему составу нарушений (неправомерная обработка ПДн) штрафы для юрлиц выросли с 60–100 тысяч рублей до 150–300 тысяч рублей. За повторное нарушение — до 500 тысяч рублей [7].

За неуведомление Роскомнадзора о намерении обрабатывать ПДн — штраф для юрлица 100–300 тысяч рублей [4].

За неуведомление об утечке — от 1 до 3 млн рублей для юрлиц [23].

За утечку данных штраф теперь зависит от объёма:

1. от 1 000 до 10 000 субъектов — от 3 до 5 млн рублей;
2. от 10 000 до 100 000 субъектов — от 5 до 10 млн рублей;
3. свыше 100 000 субъектов — от 10 до 15 млн рублей [21].

За утечку специальных категорий данных (здоровье, биометрия) — до 15–20 млн рублей [21].

За повторную утечку — оборотный штраф в размере от 1 до 3% годовой выручки, но не менее 20 млн рублей и не более 500 млн рублей [7].

Дополнительно введена уголовная ответственность по ст. 272.1 УК РФ за незаконный сбор, хранение, использование или распространение ПДн — включая покупку баз данных без согласий. В наиболее тяжких случаях предусмотрено лишение свободы на срок до 5 лет [22].

С 30 мая 2025 года дела о нарушениях, совершённых юрлицами и ИП, рассматриваются арбитражными судами (а не мировыми судьями, как ранее) [7]. При этом 50-процентная скидка за быструю оплату штрафа отменена.

С 5 сентября 2025 года Роскомнадзор применяет риск-ориентированный подход при планировании проверок: компании с большим объёмом обрабатываемых данных, историей нарушений или работающие со специальными категориями ПДн относятся к высокой категории риска и проверяются чаще [25].

Практический чек-лист для группы компаний

Ниже приведён минимальный набор шагов для приведения обработки ПДн внутри группы в соответствие с требованиями 2025–2026 годов.

1. Провести инвентаризацию: выявить все юрлица группы, которые обрабатывают ПДн, и все ИТ-системы, в которых хранятся персональные данные.
2. Для каждого потока данных между юрлицами определить правовую схему: это поручение обработки или передача между самостоятельными операторами?
3. Проверить наличие и актуальность договоров-поручений для каждой пары «оператор — обработчик» внутри группы. Договор должен содержать все обязательные условия ч. 3 ст. 6 152-ФЗ.
4. Проверить согласия субъектов ПДн: все ли из них оформлены отдельными документами (требование с 01.09.2025)? Те, что были включены в трудовые договоры и оферты, необходимо переоформить.
5. Актуализировать уведомления каждого юрлица в Роскомнадзоре — убедиться, что в них корректно указаны все третьи лица-обработчики внутри группы.
6. Провести анализ иностранных юрлиц группы и всех иностранных ИТ-сервисов, имеющих доступ к данным. При необходимости оформить уведомления о трансграничной передаче.
7. Запретить или регламентировать использование иностранных мессенджеров для передачи ПДн сотрудников и клиентов.
8. Назначить ответственных за организацию обработки ПДн в каждом юрлице группы с соответствующими приказами.
9. Выстроить процедуру реагирования на утечки: уведомление Роскомнадзора в течение 24 часов о факте и 72 часов о результатах внутреннего расследования.
10. Внедрить постоянный мониторинг изменений ИТ-ландшафта — процедуру оценки новых систем и интеграций с точки зрения ПДн до их запуска.

Три «красных флага» для Роскомнадзора

Практика 2025–2026 годов показывает, что Роскомнадзор всё больше оценивает не формальное наличие документов, а способность компании доказать реальное соответствие обработки требованиям закона [27].

Несоответствие уведомления в Роскомнадзоре реальным процессам. Если документы описывают одни процессы, а на практике ПДн обрабатываются иначе — регулятор исходит из реальных действий оператора, а не из текста документов [27].

Разрозненность системы ПДн. Документы по ПДн существуют отдельно, маркетинг использует внешние сервисы, ИТ-инфраструктура не отражена в уведомлении — такая фрагментация в 2026 году с высокой вероятностью приводит к выявлению нарушений [27].

История нарушений или предписаний. Компании, ранее получавшие предписания от Роскомнадзора и не устранившие нарушения, относятся к группе высокого риска и могут быть проверены без предупреждения [28].

Тренды и будущее регулирования

В среднесрочной перспективе несколько тенденций будут определять работу с ПДн в российских корпоративных структурах.

Автоматизация контроля продолжит развиваться как на стороне регулятора, так и на стороне бизнеса. Роскомнадзор уже использует автоматизированный мониторинг сайтов и сервисов [26]. Бизнес, в свою очередь, всё активнее внедряет инструменты автоматической инвентаризации ПДн и управления реестрами обработок [29].

С 2028 года компаниям потребуется передавать сведения об обработке ПДн в ЕСИА [10], что создаст ещё более высокие требования к актуальности внутренней документации.

Риск-ориентированный подход Роскомнадзора будет ужесточаться: с 1 января 2026 года введены новые критерии присвоения категорий риска, которые напрямую влияют на частоту плановых проверок [24, 25].

Уголовная ответственность за нарушения в сфере ПДн создаёт качественно новый уровень персональных рисков для должностных лиц — руководителей, DPO, сотрудников ИТ-служб и служб безопасности.

Как «Пятый фактор» помогает группам компаний держать контроль

Описанные в статье проблемы — неизвестность того, где и какие ПДн хранятся, как они перемещаются между системами, появились ли новые риски из-за изменений ИТ-инфраструктуры — особенно остро стоят именно в холдинговых структурах.

Платформа «Пятый фактор» автоматически обнаруживает, инвентаризирует и контролирует персональные данные в корпоративных системах: базах данных, хранилищах, почте, AD/LDAP, CRM, 1С и API. Ключевое отличие — работа с метаданными, структурой и агрегатами без передачи и хранения «сырых» ПДн. Это означает, что сама платформа не становится источником риска или дополнительным объектом возможной утечки.

Применительно к задачам группы компаний это означает: компании получают живую «карту ПДн» — где и какие данные есть в каждом юрлице, кто является владельцем, что изменилось. Когда в базе данных появляется новое поле с персональными данными, когда настраивается новая интеграция, когда у подрядчика появляется доступ к ранее защищённым данным — платформа обнаруживает это автоматически, до того как ситуация превратится в инцидент.

В условиях, когда аудит ПДн в крупном холдинге вручную занимает недели, а штрафы за повторную утечку достигают 3% от годовой выручки, непрерывный автоматизированный контроль становится не просто удобством, а базовым требованием к системе управления рисками.

Заключение: что делать дальше

Передача персональных данных между юридическими лицами группы — это не «внутреннее дело» холдинга, а самостоятельный объект регулирования с чётко установленными требованиями. 152-ФЗ не делает исключений для корпоративных структур: каждое юрлицо является отдельным оператором, а передача данных между ними требует правового основания и документального оформления.

Учитывая, что штрафы с 2025 года кратно возросли, а регулятор перешёл к риск-ориентированному надзору, промедление с упорядочиванием процессов обработки ПДн внутри группы — это принятие на себя реального и измеримого финансового риска.

Первые практические шаги: провести инвентаризацию всех потоков данных внутри группы, определить правовую схему для каждого потока, проверить наличие и актуальность договоров-поручений, а затем выстроить процедуру постоянного мониторинга изменений.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ, ст. 6 — consultant.ru

[2] Федеральный закон от 27.07.2006 № 152-ФЗ, ст. 9 «Согласие субъекта» — legalacts.ru

[3] Федеральный закон от 27.07.2006 № 152-ФЗ, ст. 12 «Трансграничная передача» — consultant.ru

[4] КонсультантПлюс — Новые штрафы с 30.05.2025 (ФЗ № 420-ФЗ) — consultant.ru

[5] ГАРАНТ.РУ — Согласие на ПДн с 1 сентября 2025 года: новые правила и штрафы — garant.ru

[6] Роскомнадзор — Условия обработки ПДн и права субъектов — 38.rkn.gov.ru

[7] КонсультантПлюс — Ужесточение ответственности с 30.05.2025 — consultant.ru

[8] data-sec.ru — Передача ПДн между юридическими лицами корпорации — data-sec.ru

[9] ВШЭ — Мастер-класс «Операторы и обработчики ПДн» (Денис Лукаш) — pravo.hse.ru

[10] Главбух — Передача ПДн третьим лицам: изменения 2025 — glavbukh.ru

[11] КДело — Как оформить поручение на обработку ПДн — kdelo.ru

[12] sec.ussc.ru — FAQ: разграничение оператора, обработчика, трансграничная передача — sec.ussc.ru

[13] b-152.ru — Когда можно работать с ПДн без согласия — b-152.ru

[14] Habr — Согласие на обработку ПДн: где обязательно, где нет — habr.com

[15] cisoclub.ru — Трансграничная передача ПДн: правовые основания — cisoclub.ru

[16] Habr — Какие компании попадут под проверку РКН в 2026 году — habr.com

[17] b-152.ru — Нормативные документы по защите ПДн, полный пакет — b-152.ru

[18] mediapravo.com — РКН о ПДн: группы компаний, иностранные юрлица — mediapravo.com

[19] ic-tech.ru — Персональные данные 2026: изменения 2025 и что проверить — ic-tech.ru

[20] Контур — Проверка Роскомнадзора: как подготовиться — kontur.ru

[21] case-group.ru — Новые штрафы за утечку ПДн с мая 2025 — case-group.ru

[22] Главбух — Миллионные штрафы за персданные с 30 мая 2025 — glavbukh.ru

[23] F6 — Утечка ПДн: порядок действий и штрафы 2025 — f6.ru

[24] kdelo.ru — РКН применяет новые критерии присвоения категорий риска с 2026 — kdelo.ru

[25] Habr — Кто попадёт под проверку РКН в 2026 году — habr.com

[26] ic-tech.ru — Что будет за неуведомление РКН — ic-tech.ru

[27] ic-tech.ru — Персональные данные 2026: красные флаги для бизнеса — ic-tech.ru

[28] roskom.online — Проверки РКН в 2025–2026 гг: что проверяют — roskom.online

[29] itsecexpo.ru — Персональные данные в 2026: новые требования и инструменты — itsecexpo.ru

[30] ic-tech.ru — Инвентаризация ПДн: первые шаги — ic-tech.ru