Реестр обработок персональных данных по 152-ФЗ: что должно быть внутри и как вести без «устаревания»

Закон ужесточился, штрафы выросли до сотен миллионов — а реестр обработок по-прежнему лежит в виде Excel-файла двухлетней давности

Введение: почему реестр обработок — это больше не бумага для галочки

В 2024 году Роскомнадзор зафиксировал 135 утечек баз персональных данных, в результате которых в сеть попало свыше 710 млн записей о россиянах [27]. По данным ЭАЦ ГК InfoWatch, общий объём скомпрометированных ПДн вырос на 30% по сравнению с 2023 годом, превысив 1,5 млрд записей [30]. В 2025 году количество инцидентов несколько снизилось — до 118 зафиксированных фактов с 52 млн записей [32], — однако объём угроз остаётся критически высоким.

Государство отреагировало жёстко: с 30 мая 2025 года вступил в силу Федеральный закон №420-ФЗ от 30.11.2024, который ввёл оборотные штрафы за повторные утечки, многократно увеличил базовые санкции по ст. 13.11 КоАП РФ и добавил уголовную ответственность по новой статье 272.1 УК РФ [4]. Параллельно Закон №421-ФЗ от 30.11.2024 распространил уголовную ответственность на физических лиц за незаконный оборот ПДн.

На этом фоне реестр обработок персональных данных превратился из технического документа в один из ключевых инструментов управления рисками. Компания, которая не знает, где и какие данные обрабатываются, не может ни устранить нарушения до проверки, ни доказать добросовестность при инциденте, ни уложиться в 24-часовой срок уведомления Роскомнадзора об утечке.

Эта статья написана для специалистов по персональным данным, юристов, руководителей ИБ и ИТ-директоров, которым нужно не просто «завести реестр», а сделать из него работающий инструмент — такой, который не устаревает за три месяца.

Часть 1. Что такое реестр обработок и в чём его отличие от реестра операторов РКН

1.1. Два разных документа — не путайте

В российском праве есть два объекта с похожими названиями, которые нередко смешивают даже опытные специалисты.

Первый — публичный реестр операторов персональных данных Роскомнадзора. В него вносятся сведения из уведомления об обработке ПДн согласно ст. 22 Федерального закона №152-ФЗ [17]. С 30 мая 2025 года подача уведомления и включение в реестр стало обязательным для подавляющего большинства операторов — до вступления в силу изменений по Закону №421-ФЗ, работодатели были исключены из этой обязанности, но теперь исключения фактически ликвидированы [7]. Роскомнадзор вносит данные в реестр в течение 30 дней с момента получения уведомления.

Второй — внутренний реестр (или перечень) обработок персональных данных, который оператор ведёт для себя. Этот документ прямо вытекает из требований ст. 18.1 Закона, которая обязывает оператора издавать «локальные акты по вопросам обработки персональных данных, определяющие для каждой цели обработки… категории и перечень обрабатываемых ПДн, категории субъектов… способы, сроки их обработки и хранения, порядок уничтожения» [12]. Именно о нём идёт речь в этой статье.

Ключевое различие: реестр РКН — это декларация перед регулятором, публичная и относительно обобщённая. Внутренний реестр — это оперативная «карта» всех процессов обработки ПДн внутри организации, детальная до уровня конкретных систем, полей и ответственных лиц.

1.2. Правовая основа внутреннего реестра

Федеральный закон №152-ФЗ в редакции от 24.06.2025 не вводит понятие «реестр обработок» как отдельный документ. Вместо этого он требует от оператора комплекса локальных актов, которые в совокупности должны описывать каждую цель обработки. Требование сформулировано в п. 2 ч. 1 ст. 18.1 [12] и продублировано в обязательных элементах уведомления по ч. 3 ст. 22 [17].

Аналогом в международной практике служит «Реестр деятельности по обработке» (Records of Processing Activities, RoPA) по ст. 30 GDPR. Его структура и логика активно используются российскими практиками в качестве ориентира [27], хотя прямого законодательного требования вести RoPA именно как отдельный документ в российском праве нет.

На практике компании оформляют внутренний реестр в нескольких форматах:

• как приложение к Положению об обработке персональных данных (наиболее распространённый вариант);
• как отдельный приказ или локальный акт;
• как таблицу в специализированной GRC-системе или системе управления документами.

Все три варианта законны. Главное требование — актуальность и полнота.

Часть 2. Что обязательно должно быть внутри: структура реестра обработок

2.1. Обязательные элементы по 152-ФЗ

Анализ ст. 18.1 и ст. 22 Закона позволяет выделить минимально необходимый состав сведений для каждой отдельной цели обработки [12], [17]:

Цель обработки. Это исходная точка всего реестра. Каждая запись должна отвечать на вопрос: зачем организация обрабатывает данные конкретной группы лиц? Цели должны быть конкретными и законными — «маркетинг» без уточнения не является надлежащей целью. Обработка данных в целях, не указанных в реестре, является нарушением ст. 5 Закона [20].

Правовое основание обработки. Согласие субъекта, договор, законный интерес, выполнение обязанности работодателя, требование закона — конкретная ссылка обязательна. С изменениями 2022 года по Закону №266-ФЗ правовое основание нужно указывать отдельно для каждой цели [26].

Категории и перечень обрабатываемых ПДн. Закон различает общие (ФИО, контакты, паспортные данные), специальные (здоровье, религия, политические взгляды, судимости) и биометрические ПДн. Каждая категория требует отдельного правового обоснования и мер защиты.

Категории субъектов. Работники, клиенты, посетители, кандидаты на работу, подрядчики, несовершеннолетние — перечисление конкретных групп необходимо.

Способы обработки. Автоматизированная, неавтоматизированная или смешанная обработка. Действия: сбор, запись, хранение, обновление, передача, уничтожение и так далее.

Сроки обработки и хранения. Конкретный срок (например, «5 лет с даты расторжения договора») или условие («до достижения цели обработки» с описанием этой цели). Хранить данные дольше, чем требует цель, — это нарушение принципа ограничения хранения [20].

Порядок уничтожения. Ссылка на процедуру уничтожения или обезличивания ПДн при достижении цели. После изменений 2022 года срок уничтожения при достижении цели — 30 дней, если иное не установлено законом.

Предполагаемые получатели (третьи лица). Кому передаются данные: банки, облачные сервисы, подрядчики, государственные органы. Для каждого — правовое основание передачи.

Сведения о трансграничной передаче. Если данные уходят за рубеж, требуется отдельное разрешение РКН и запись в специальном реестре трансграничных передач [4].

2.2. Дополнительные элементы для зрелого реестра

Помимо минимально необходимых сведений, практики добавляют в реестр ряд дополнительных атрибутов, которые существенно повышают его управленческую ценность:

Информационные системы. В каких базах данных, хранилищах, почтовых системах, CRM, 1С и иных приложениях фактически содержатся данные — с указанием места хранения (сервер, облако, ЦОД). Этот элемент отсутствует в тексте закона, но критически важен для ИБ-аудита и реагирования на инциденты.

Владелец процесса. Конкретное подразделение или должностное лицо, ответственное за данную обработку. Без назначенного владельца реестр не работает как инструмент управления.

Статус соответствия. Реализованы ли для данной обработки все необходимые меры: получено ли согласие, размещена ли политика конфиденциальности, заключены ли договоры с обработчиками.

Дата последней проверки. Когда записи была подтверждена актуальность. Без этого поля реестр превращается в архив.

Ссылки на согласия и договоры. Связь с конкретными шаблонами согласий и договорами поручения обработки.

2.3. Почему один Excel недостаточен

Реестр в виде статической таблицы Excel — самое популярное и самое уязвимое решение. Основная проблема не в формате, а в том, что таблица никак не связана с реальной ИТ-инфраструктурой организации. Когда разработчики добавляют новое поле «дата рождения» в форму обратной связи или аналитики подключают новый CRM-модуль — таблица об этом не узнает. По данным одной из конференций по персональным данным 2026 года, именно автоматизация инвентаризации и обнаружения ПДн в системах названа ключевой потребностью рынка [24].

Часть 3. Самое сложное — не составить, а поддержать актуальность

3.1. Почему реестры устаревают быстро

ИТ-ландшафт современной компании меняется постоянно: разработчики выпускают обновления, аналитики подключают новые источники данных, маркетинг запускает рекламные кампании с формами захвата, HR внедряет новые системы оценки персонала, финансовый отдел интегрируется с банковскими API. Каждое из этих изменений потенциально затрагивает состав и цели обработки ПДн.

При этом оператор обязан уведомить Роскомнадзор об изменениях в обработке не позднее 15-го числа месяца, следующего за месяцем изменений [25]. Если реестр не актуализирован вовремя — оператор де-факто обрабатывает данные по незарегистрированным основаниям. Это нарушение ч. 1 ст. 13.11 КоАП РФ с штрафом для юридических лиц от 150 000 до 300 000 рублей, а при повторном нарушении — до 500 000 рублей [21].

По данным одного из практических обзоров, многие компании просто не соблюдают сроки обновления реестра и удаления устаревших данных — проблема связана с отсутствием чёткой политики жизненного цикла ПДн и сложностями учёта информации в разрозненных системах [25].

3.2. Три типичных сценария «устаревания»

Первый сценарий — новая система или интеграция. Компания подключила новый облачный сервис для аналитики или HR-платформу. В ней автоматически начала обрабатываться информация о сотрудниках или клиентах. Реестр при этом не обновляется — потому что никто не уведомил юриста, а юрист не мониторит новые системы.

Второй сценарий — изменение состава данных. В действующей форме заявки добавили поле «дата рождения». Это изменяет состав обрабатываемых ПДн для существующей цели — запись в реестре устарела, но выглядит актуальной.

Третий сценарий — истечение сроков хранения. Реестр содержит запись о сроке хранения «3 года с даты согласия», но данные продолжают храниться пять лет. Хранение данных сверх установленного срока — это нарушение принципа ограничения хранения согласно ч. 4 и 7 ст. 5 Закона [20] и состав административного правонарушения по ч. 6 ст. 13.11 КоАП РФ [26].

3.3. Организационный процесс актуализации: пошаговая модель

Поддержание реестра в актуальном состоянии — это не периодический аудит, а непрерывный процесс. Он требует встраивания в несколько регулярных практик организации.

Первый уровень — ворота для изменений. Любое изменение в ИТ-архитектуре, которое затрагивает данные пользователей, клиентов или сотрудников, должно проходить через проверку на предмет изменения состава обработки ПДн. На практике это реализуется через чек-лист при постановке задачи в систему управления разработкой (Jira, GitLab и т.п.) или через обязательное согласование с DPO (ответственным за персональные данные) при внедрении новых систем.

Второй уровень — периодический аудит. Минимум раз в год — полная сверка реестра с фактическим состоянием ИТ-инфраструктуры. Раз в квартал — проверка соблюдения сроков хранения и актуализация записей об изменившихся процессах.

Третий уровень — уведомление регулятора. При выявлении изменений — своевременная подача корректирующего уведомления в Роскомнадзор [4]. Это отдельная административная задача, которую нельзя откладывать.

Четвёртый уровень — технический мониторинг. Автоматизированные инструменты обнаружения ПДн в системах, которые сигнализируют о появлении новых источников данных или о несоответствии фактического состава данных задокументированному. Без технических средств поддерживать актуальность реестра в крупной организации практически невозможно.

Часть 4. Практический чек-лист: что проверить прямо сейчас

4.1. Состав документа

Для каждой цели обработки в реестре должны быть отражены:

• конкретная, законная и явно выраженная цель (не «оказание услуг» в общем, а «оформление и исполнение договора купли-продажи розничных товаров»);
• правовое основание — ссылка на норму Закона или иного нормативного акта;
• категория ПДн: общие, специальные, биометрические;
• перечень конкретных полей данных (ФИО, адрес, СНИЛС, электронная почта и т.д.);
• категория субъекта: клиент, сотрудник, посетитель сайта, контрагент и т.д.;
• способ обработки: автоматизированная/неавтоматизированная, виды операций;
• место хранения: конкретная информационная система, база данных, сервер или облачный сервис;
• срок хранения: точный срок или условие прекращения обработки;
• порядок уничтожения: ссылка на процедуру, сроки;
• получатели данных: третьи лица с указанием правового основания передачи;
• сведения о трансграничной передаче (если есть);
• владелец процесса: подразделение и ответственное лицо;
• дата последней актуализации записи.

4.2. Соответствие уведомлению в РКН

Сведения в реестре и данные, указанные в уведомлении Роскомнадзора, должны совпадать. Расхождение между публичной декларацией и внутренней документацией — первое, что проверяет инспектор при плановой или внеплановой проверке [5].

4.3. Работоспособность процессов вокруг реестра

Реестр — это не самостоятельный документ, а часть системы. Проверьте, что к нему привязаны работающие процессы:

• процедура реагирования на запросы субъектов ПДн (срок ответа — 10 рабочих дней);
• процедура уведомления РКН об утечке (24 часа на первичное уведомление, 72 часа — на итоговое);
• процедура уничтожения данных при истечении срока хранения;
• процедура актуализации реестра при изменении ИТ-систем.

4.4. Реестр для разных типов организаций

Небольшая компания (до 50 человек). Как правило, 5–15 целей обработки: кадровый учёт, бухгалтерия, клиентская база, сайт, видеонаблюдение. Реестр в виде таблицы Word или Excel с ежегодной ревизией — вполне достаточно, если процесс актуализации формализован.

Средний бизнес (50–500 человек). Количество целей обработки может превышать 30–50. Рекомендуется специализированная документация с версионированием, назначением владельцев процессов и формализованными процедурами изменений.

Крупная организация (500+ человек, сложная ИТ-инфраструктура). Ручное ведение реестра в большинстве случаев не обеспечивает необходимого уровня актуальности. Требуется автоматизация обнаружения и классификации ПДн, интеграция с системами управления ИТ-активами и GRC-платформами.

Часть 5. Ошибки и риски

5.1. Типичные ошибки при составлении реестра

Слишком общие цели обработки. «Маркетинг», «безопасность», «ведение деятельности» — это не цели, а категории. Каждая запись должна описывать конкретный бизнес-процесс с понятным правовым обоснованием.

Отсутствие разбивки по субъектам. Компания обрабатывает данные сотрудников и клиентов по-разному: разные правовые основания, разные сроки, разные меры защиты. Смешение в одной записи недопустимо.

Нереалистичные сроки хранения. «Хранить до достижения цели» без указания критерия достижения цели — формально-правовая пустышка. Конкретный срок должен быть обоснован применимым законодательством (трудовым, налоговым, архивным).

Реестр не связан с реальными системами. Документ описывает «обработку в 1С», но не указывает, какая именно конфигурация, какие модули и какие поля содержат ПДн. При инциденте такой реестр бесполезен.

Нет ответственных лиц. Реестр без назначенных владельцев процессов не актуализируется никогда — потому что нет человека, который чувствует себя ответственным за конкретную запись.

5.2. Юридические риски устаревшего реестра

Устаревший реестр — это не просто административный изъян. Он порождает несколько конкретных правовых рисков.

Обработка данных без надлежащего правового основания. Если в реестре не отражена новая обработка, это означает, что организация обрабатывает ПДн без документально закреплённого основания. Состав по ч. 1 ст. 13.11 КоАП РФ [23].

Нарушение принципа ограничения хранения. Данные хранятся дольше, чем задокументировано. Состав по ч. 6 ст. 13.11 КоАП РФ [26].

Непредставление актуальной информации субъекту. По ст. 14 Закона субъект вправе получить информацию об обработке своих данных. Если реестр не отражает реального положения дел, организация не сможет корректно ответить на запрос.

Отягчающие обстоятельства при утечке. При расследовании инцидента регулятор оценивает, принимала ли организация надлежащие меры. Отсутствие актуального реестра — прямой сигнал о системной халатности. Это влияет на размер штрафа и вероятность применения оборотных санкций.

5.3. Что происходит при проверке РКН

Роскомнадзор проводит как плановые, так и внеплановые проверки. Кроме того, с 2025 года более 84% нарушений выявляется в режиме автоматизированного мониторинга [6]. Автоматика проверяет сайты на наличие политики конфиденциальности, корректных форм согласий, отсутствие признаков трансграничной передачи через запрещённые сервисы [25].

При проверке инспектор запросит внутренние документы: Положение об обработке ПДн, реестр обработок, согласия субъектов, договоры поручения с обработчиками, журналы уничтожения данных. Несоответствие между задокументированным и фактическим — стандартное основание для предписания и штрафа.

Часть 6. Кейсы и практические примеры

6.1. Как крупные организации строят свои реестры

Публичные документы ряда российских организаций позволяют увидеть практические подходы к структурированию реестра обработок.

Например, НИУ ВШЭ в своём Положении об обработке ПДн использует приложение №1 как перечень целей — с детализацией по каждой цели категорий субъектов, перечня данных, правовых оснований, способов, сроков и порядка уничтожения [15]. Аналогичную структуру применяют другие крупные государственные и корпоративные операторы. ГАРАНТ в своей Политике конфиденциальности для каждой цели явно указывает категорию данных, субъектов, способ обработки (смешанная/автоматизированная) и срок хранения со ссылкой на конкретный пункт документа [16].

Методические материалы по реестру обработок, широко используемые практиками в качестве ориентира, содержат образец таблицы с категориями получателей, сроками хранения и ссылками на документы-основания [14].

6.2. Проблема подрядчиков и обработчиков

Одна из наиболее болезненных точек — данные, которые обрабатываются на стороне. Облачный CRM, SaaS-решение для HR, платёжный сервис, курьерская компания, рекрутинговая платформа — всё это обработчики, которым оператор передаёт ПДн по договору поручения.

Закон требует, чтобы хостинг-провайдеры и облачные сервисы были зарегистрированы в реестре операторов РКН и соблюдали требования 152-ФЗ [10]. Оператор несёт ответственность за действия своих обработчиков. Если они допустили утечку, отвечает в первую очередь оператор.

Реестр обработок должен отражать всю цепочку: кому и какие данные переданы, на каком основании, каковы их обязательства по защите данных.

Часть 7. Тренды и будущее регулирования

7.1. Обязательный журнал учёта обработки

С 2025 года введено требование об обязательном электронном журнале учёта обработки персональных данных — согласно Приказу Роскомнадзора от 20.01.2025 №18 [26]. Данные в нём должны храниться не менее 10 лет. Это означает переход от статической документации к динамическому учёту.

7.2. Передача обезличенных данных государству

С 1 сентября 2025 года вступила в силу ст. 13.1 Закона (введённая ФЗ №233-ФЗ от 08.08.2024), обязывающая операторов по запросу Минцифры передавать обезличенные массивы ПДн в государственную информационную систему [8]. Это требование ставит новый вопрос: насколько качественно у оператора организована работа с метаданными и структурой данных, чтобы оперативно сформировать корректный обезличенный массив?

7.3. Автоматизация мониторинга и комплаенса

Данные конференций и рынка 2025–2026 годов свидетельствуют о растущем спросе на платформы для автоматизации учёта, хранения, передачи и удаления ПДн [24]. Классический подход «юрист ведёт Excel» уступает место связке: автоматическое обнаружение ПДн в ИТ-системах + управление документацией + workflow согласований + мониторинг инцидентов.

7.4. Ужесточение правоприменения в 2026 году

Эксперты предупреждают: к 2026 году ожидается волна проверок по новым санкциям, введённым во второй половине 2025 года [6]. Роскомнадзор планирует активно применять все новшества, включая оборотные штрафы. Для компаний, у которых реестр обработок «висит» устаревшим документом, это прямая угроза.

Часть 8. «Пятый фактор»: автоматизация там, где Excel не успевает

Одна из ключевых проблем, описанных в этой статье, — разрыв между задокументированным реестром обработок и реальным состоянием ИТ-ландшафта. Когда в базе данных появляется новое поле, когда запускается новая интеграция, когда подрядчик получает доступ к новому источнику — реестр об этом не знает. Юрист или DPO узнают спустя недели или не узнают вовсе.

Именно эту задачу решает платформа Пятый фактор — on-premise решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах. Платформа подключается к базам данных, файловым хранилищам, почте, Active Directory/LDAP, CRM-системам, 1С и API — и формирует живую «карту» ПДн: где и какие данные есть, кто владелец, что изменилось.

Принципиальная особенность подхода — работа только с метаданными, структурой и агрегатами, без передачи и хранения «сырых» значений персональных данных. Это означает, что платформа сама не становится источником риска, а значит, её внедрение не требует длительных согласований с регулятором и службой безопасности.

Для практики ведения реестра обработок это даёт конкретный результат: вместо того чтобы ждать, пока разработчик или аналитик уведомит DPO о новом поле в БД, платформа сама обнаруживает изменения и сигнализирует о них. Новые риски становятся видны раньше, чем превращаются в инциденты. Время аудита сокращается с недель до часов. Готовность к проверке РКН — постоянная, а не только перед визитом инспектора.

Заключение: что делать дальше

Реестр обработок персональных данных — это не разовый проект, а постоянный процесс. Его ценность определяется не тем, насколько красиво он оформлен, а тем, насколько точно он отражает реальность.

Три практических шага, с которых стоит начать прямо сейчас:

Проведите инвентаризацию. Пройдитесь по всем ИТ-системам, в которых хранятся или обрабатываются данные людей. Начните с самых очевидных: кадровая система, CRM, бухгалтерия, сайт, корпоративная почта. Сопоставьте их с тем, что написано в реестре.

Проверьте сроки хранения. Для каждой записи реестра убедитесь: данные, срок хранения которых истёк, фактически уничтожены или обезличены? Хранение лишних данных — это не только риск при утечке, но и самостоятельное нарушение.

Назначьте владельцев. Каждая запись реестра должна иметь конкретного человека, который отвечает за её актуальность и за соответствие связанных процессов закону. Без этого реестр обречён устаревать.

Регуляторная среда будет только ужесточаться. Компании, которые научились управлять реестром обработок как живым инструментом, а не мертвым документом, имеют реальное конкурентное и юридическое преимущество.

Источники

[1] Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных» (ред. от 24.06.2025) — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Федеральный закон от 27.07.2006 №152-ФЗ — Гарант (история изменений) — https://base.garant.ru/12148567/

[3] Новые требования Роскомнадзора по закону 152-ФЗ (на 30 мая 2025 года) — Linkodium — http://linkodium.com/news/novye-trebovaniya-roskomnadzora-po-zakonu-152-fz-na-30-maya-2025-goda/

[4] 152-ФЗ о персональных данных: требования закона для бизнеса в 2026 году — Клерк — https://www.klerk.ru/blogs/roskom24/674017/

[5] Полный гайд по 152-ФЗ с изменениями 2025 года — 1PS.ru — https://1ps.ru/blog/dirs/2025/kak-ne-popast-na-millionyi-razbiraem-novyie-trebovaniya-po-obrabotke-personalnyix-dannyix/

[6] Изменения закона о персональных данных в 2025 году — Qugo — https://qugo.ru/blog/izmeneniya-zakona-o-personalnyh-dannyh-v-2025-godu

[7] Изменения в 152-ФЗ с 1 сентября 2025 — Клерк — https://www.klerk.ru/blogs/fedresurs/655839/

[8] Статья 18.1 152-ФЗ — КонсультантПлюс — https://www.consultant.ru/document/cons_doc_LAW_61801/eeeebe22bf738fd65bb66b95cc278911ae2525ee/

[9] Роскомнадзор — Федеральный закон №152-ФЗ, ст. 22 (содержание уведомления) — https://72.rkn.gov.ru/p21978/p25026/p25034/

[10] 152-ФЗ 2025: Полное руководство — https://action-market.ru/blog/biznes/152-fz-s-30-maya-2025-goda-chto-nuzhno-dlya-sootvetstviya-zakonu/

[11] Реестр обработок ПДн — что включать (Data Privacy Office) — https://data-privacy-office.com/what-does-the-personal-data-register-include/

[12] Зачем нужен реестр обработки ПДн — Б-152 — https://b-152.ru/dlya-chego-neobkhodim-reestr-obrabotki-personalnykh-dannykh

[13] Уведомление об обработке ПДн в Роскомнадзор 2026 — РНК — https://www.rnk.ru/article/218084-uvedomlenie-ob-obrabotke-persdannyh

[14] Реестр обработок ПДн нужен? Нужен! — Data Privacy Office — https://data-privacy-office.com/reestr-obrabotok-personalnyh-dannyh-nuzhen-nuzhen/

[15] Положение об обработке ПДн — НИУ ВШЭ — https://www.hse.ru/data_protection_regulation

[16] Политика конфиденциальности — Гарант — https://www.garant.ru/company/disclaimer/personal/

[17] Документы по ПДн в 2026 году — Legal-box — https://legal-box.ru/152fz-docs

[18] Штрафы за нарушения 152-ФЗ (data-sec.ru) — https://data-sec.ru/personal-data/fines/

[19] Штрафы с 30 мая 2025 года — it-pnk.ru — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[20] Ужесточение ответственности по 152-ФЗ — sec.ussc.ru — https://sec.ussc.ru/152fz

[21] Персональные данные: новые штрафы с 30 мая 2025 — КонсультантПлюс — https://www.consultant.ru/legalnews/28492/

[22] Оборотные штрафы за утечку ПДн — Softline — https://softline.ru/about/blog/uvelichenie-shtrafov-za-narusheniya-v-obrabotke-i-khranenii-pdn-s-30-maya-2025

[23] Нарушение закона о ПДн: штрафы и последствия — Клерк — https://www.klerk.ru/blogs/fedresurs/678917/

[24] Персональные данные в 2026: новые требования и инструменты — ItsecExpo — https://www.itsecexpo.ru/2025/program/personal-data

[25] Как работать с ПДн в 2025 году — Клерк — https://www.klerk.ru/buh/articles/649185/

[26] Как работать с ПДн сотрудников в 2026 году — empldocs.ru — https://empldocs.ru/obrabotka-personalnyh-dannyh-sotrudnikov

[27] Утечки данных в России — TAdviser — https://www.tadviser.ru/index.php/Статья:Утечки_данных_в_России

[28] Роскомнадзор: в сеть утекло 24 млн записей с начала 2025 года — https://iaassaaspaas.ru/news/okolo-milliarda-strok-personalnyh-dannyh-uteklo-v-set-za-polgoda-nikakie-shtrafy-ne-pomogayut

[29] РКН: 35 фактов утечек в первом полугодии 2025 — Хабр — https://habr.com/ru/news/924602/

[30] InfoWatch: утечки ПДн в 2024 году выросли на 30% — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[31] Россия — второе место по утечкам в мире, 2024 — ComNews — https://www.comnews.ru/content/238391/2025-03-20/2025-w12/1010/rossiya-zanyala-vtoroe-mesto-kolichestvu-utechek-dannykh-mire

[32] РКН зафиксировал 118 утечек ПДн и 52 млн скомпрометированных записей в 2025 году — https://cisoclub.ru/roskomnadzor-soobshhil-o-snizhenii-utech/

[33] ИСПДн в 2026: система защиты данных — https://emchd.ru/blog/stati/ispdn-v-2026-kak-ustroena-sistema-zashhity-dannyh/

[34] Оборотные штрафы — RTM Group — https://rtmtech.ru/articles/novye-shtrafy-za-utechki-pdn/