Законы и государство
9 минут
21 апреля

Персональные данные: изменения на 2026 год

Что изменилось в согласии, сроках и других требованиях
Обложка Персональные данные: изменения на 2026 год
Элена Гваришвили
Редактор платформы Альфа‑Курс, журналист с 15-летним опытом, преподаватель

Работа с персональными данными — важная часть современного бизнеса. Регистрации могут понадобиться вам при оформлении заказов, сборе обратной связи, заключении договоров. Все уже знают, что данные клиентов важно строго охранять, ведь распространение не только ведёт к потери репутации, но и карается законом.

Правила получения и использования согласия на обработку персональных данных в 2026 году стали ещё жёстче. Изменения затрагивают ужесточение контроля Роскомнадзора, работу над реестром центров обработки данных, передачу данных. Ошибки могут привести не просто к штрафу, а к блокировке сайта или запрету на обработку данных.

Разберёмся, что именно изменилось в сфере защиты персональных данных в 2026 году.

Получите больше инструментов для предпринимателей
Доступ к 80+ практическим курсам и материалам в подписке Курс+
Смотреть

Особенности работы с персональными данными

Соблюдать закон о персональных данных обязан оператор этих самых данных, то есть лицо или компания, которые организует и осуществляет обработку ПДн.

К операторам ПДн относятся:

  • Государственные и муниципальные органы.
  • Юридические лица любой организационно‑правовой формы.
  • Индивидуальные предприниматели.
  • Самозанятые, если их деятельность связана с обработкой ПДн.
  • Физические лица, обрабатывающие ПДн в коммерческих целях.

К самим персональным данным относится любой факт или сведения о человеке, которые позволяют его идентифицировать или установить его личность.

Это могут быть:

  • ФИО.
  • Номер телефона.
  • Адрес электронной почты.
  • IP-адрес.
  • История заказов.
  • Предпочтения в онлайн‑магазине.

Если вам сложно классифицировать данные, следует по умолчанию относиться к ним как к персональным. Такой подход поможет избежать претензий со стороны клиентов и Роскомнадзора и снизит риски.

Oткройте счёт для бизнеса
1. Получите реквизиты счёта за 5 минут 2. Подпишите документы на встрече 3. Готово! Можно пользоваться счётом
Нажимая кнопку «Оставить заявку», вы подтверждаете, что согласны на обработку персональных данных

Даже если человек сам отправил эти сведения через форму на сайте, организация не имеет права использовать их без законных оснований.

Основной документ, регулирующий обращение с такими данными, —Федеральный закон № 152-ФЗ. Работать с ПД можно только при наличии как минимум одного из оснований, прописанных в законе. Чаще всего это разрешение, полученное от самого пользователя. А если оно оформлено неправильно, все действия с информацией считаются незаконными — даже если клиент был не против.

Изображение
Что включает в себя работа с персональными данными

Каждое действие должно быть обоснованным, задокументированным, технически защищённым. Бизнес обязан не просто иметь согласие, но и уметь доказать, что оно было получено корректно.

При проверке Роскомнадзор может запросить не только текст документа, но и дату, способ получения, подтверждение информированности пользователя. Если процесс не соответствует требованиям — это нарушение.

Изменения в законе о персональных данных в 2026 году

В 2026 году управление персональными данными ещё несколько усложнилась. Это означает, что компаниям необходимо пересмотреть внутренние процедуры, чтобы исключить риски крупных штрафов, репутационных потерь и судебных разбирательств.

Ужесточение контроля Роскомнадзора

Роскомнадзор усиливает контроль за соблюдением законодательства в области ПДн. Распоряжение Правительства от 14.08.2025 № 2207-р утвердило план мероприятий по противодействию киберпреступлениям. Теперь регуляторы, в том числе Роскомнадзор, должны представить предложения об усилении ответственности за нарушения 152-ФЗ. Это значит, что в 2026 году бизнесу стоит внимательнее отнестись к процессу сбора, обработки и хранения персональных данных, потому что проверки Роскомнадзора, возможно, участятся.

По итогам 2025 года, в России зафиксировано снижение числа киберпреступлений на 11,8% по сравнению с предыдущим годом. В 2024 году было зафиксировано 765,4 тыс. подобных преступлений, а в 2025-м — уже 675 тыс.

Государственный реестр ЦОД

С 1 марта 2026 года вступают в силу изменения в регулировании центров обработки данных (ЦОД). Они затрагивают операторов, размещающих свои серверы или использующих облачные услуги.

Теперь дата‑центром будут считаться специализированные здания или помещения с инженерной инфраструктурой для размещения оборудования хранения и обработки ПДн. Кроме того, будет создан государственный реестр ЦОД, который будет вести Минцифры. Реестр будет содержать данные о ЦОД, их параметрах, уровне надёжности и управляющих ими компаниях. Операторам ЦОД придётся подтверждать соответствие требованиям безопасности, чтобы быть включёнными в этот реестр.

Компаниям при выборе провайдера теперь стоит отдавать предпочтение ЦОД, которые вошли в госреестр. Это станет признаком надёжности и соблюдения стандартов безопасности.

Упрощение трансграничной передачи

Рассматривается законопроект об изменениях в ст. 12 закона о персональных данных, он направлен на упрощение процедуры трансграничной передачи данных.

Трансграничная передача персональных данных — это передача личной информации граждан РФ на территорию иностранного государства, иностранному юрлицу или физлицу. С 1 марта 2023 года операторы обязаны уведомлять Роскомнадзор до начала передачи. При этом Роскомнадзор вправе запретить или ограничить передачу ПДн в страны, не обеспечивающие адекватную защиту.

Новая поправка уточняет критерий «адекватной защиты». Из формулировки исключается прямая отсылка к включению государств‑сторон Конвенции Совета Европы в перечень адекватных по умолчанию. Акцент смещается на соответствие правового регулирования и применяемых мер положениям этой Конвенции.

Это означает, что процедура уведомления Роскомнадзора и временного запрета на передачу будет одинаково применяться ко всем странам, независимо от их участия в Конвенции. Для операторов это упрощает процесс. Если страна получателя в перечне Роскомнадзора — можно передавать данные после уведомления. Если нет — необходимо направлять уведомление и ждать 10 рабочих дней до начала передачи.

Изменения, уже вступившие в силу

В прошлом году в 152-ФЗ уже внесены важные изменения. Акцент сделан на прозрачности. Пользователь должен понимать, кому, зачем, на какой срок он передаёт свои данные, а компания — уметь подтвердить это на практике. Никакие формальные отсылки на «публичную оферту» или «автоматическую активацию при регистрации» больше не работают.

По закону, с прошлого года требование о представлении в Роскомнадзор уведомления о начале обработки персональных данных распространяется не только на организации, ИП, но также и на самозанятых. Так, например, репетиторы теперь обязаны уведомлять Роскомнадзор о сборе персональных данных учеников. Если репетитор собирает у учеников ФИО, номера телефонов или e-mail, то по закону он — оператор персональных данных. Уведомление нужно подать до начала обработки данных, в противном случае, репетитору грозит штраф. Если это физическое лицо, то до 10 000 руб. А если ИП, то до 300 000.

Подача уведомления об обработке персональных данных касается вас, если вы нанимаете работников. При трудоустройстве любых наёмных сотрудников осуществляется обработка их данных, а значит, перед трудоустройством любой работодатель обязан направить в Роскомнадзор уведомление. Однако такое уведомление подаётся однократно – перед трудоустройством первого работника. При трудоустройстве новых работников повторно подавать уведомление не требуется.

Новая форма согласия на обработку данных

Уже год действует обновлённая форма, утверждённая Роскомнадзором. Её основное отличие — в чёткой структуре и обязательных элементах, которые теперь не допускают вольной трактовки. Это означает, что шаблоны, которые раньше массово использовались в формах обратной связи, больше не подходят.

В согласии теперь обязательно должны быть указаны:

  • Полное наименование оператора (юрлица или ИП), получающего данные.
  • Цель обработки (продажа товара, доставка, подписка, обратная связь).
  • Перечень персональных данных (например, ФИО, номер телефона, электронная почта, адрес).
  • Способы обработки (хранение, передача, систематизация, удаление).
  • Срок хранения данных.
  • Указание на право отзыва согласия в любое время.
  • Способ, которым можно отозвать согласие.
  • Дата и способ получения согласия.

Подпись тоже играет роль: для офлайн‑документов — обычная письменная, для онлайн — подтверждение через чекбокс с возможностью доказать, что пользователь действительно ознакомился с текстом (для этого нужно зафиксировать лог времени, IP, ID пользователя).

Форма должна быть отдельным документом или визуально обособленным блоком на сайте, который нельзя пропустить при отправке данных. Скрытые текста, автозаполняемые галочки и отсутствие возможности ознакомиться с текстом — уже нарушение.

Если разрешение оформлено с ошибками или не по утверждённой форме, оно считается юридически недействительным. А это означает, что все действия с данными — от звонка клиенту до отправки ему письма — будут признаны незаконными.

Увеличение штрафов

Санкции за нарушения в сфере обработкиперсональных данных стали жёстче. Федеральный закон № 152-ФЗ был дополнен нормами, которые усиливают административную ответственность за ошибки, халатность и формальный подход к работе с ПД.

Штрафы за непредставление в Роскомнадзор уведомлений о начале обработки персональных данных составляют:


  • От 5000 до 10 000 рублей — для физлиц.
  • От 30 000 до 50 000 рублей — для должностных лиц.
  • От 100 000 до 300 000 рублей — для ИП.
  • От 100 000 до 300 000 рублей — для организаций.

Кроме того, для юрлиц предусмотрены и другие штрафы: за нарушения в процедуре обработки или хранения персональных данных или за их утечку.

Штраф для юридического лица может составлять:


  • От 60 000 до 150 000 рублей — за первое нарушение.
  • От 300 000 до 500 000 рублей — за повторное нарушение в течение года.
  • До 1 млн рублей — если нарушение привело к незаконной передаче или утечке данных.



Для индивидуальных предпринимателей штрафы составляют от 10 000 до 100 000 рублей.

Помимо финансовых последствий, Роскомнадзор может применить другие меры: от временного ограничения деятельности до блокировки доступа к ресурсам, на которых собираются данные, и даже уголовного наказания.

Незаконное использование, передача, сбор и хранение компьютерной украденной информации, содержащей ПД, может караться лишением свободы до четырёх лет. А незаконное распространение или продажа такой информации может привести к штрафу в 1 млн руб. или лишению свободы до шести лет.

Теперь проверка соблюдения требований не обязательно инициируется жалобой. Роскомнадзор имеет право проводить плановые и внеплановые проверки, а также применять автоматизированные системы мониторинга сайтов. Даже отсутствие текста политики по работе с ПД может стать основанием для административного дела.

Ответственность может наступить не только из‑за некорректного сбора данных, но и в течение всего цикла их обработки: хранения, передачи, использования и уничтожения. Если разрешение не охватывает конкретную операцию (например, передачу третьим лицам), она автоматически становится нарушением.

Запрет на включение согласия в другие документы

Согласие на обработку персональных данных должно быть отдельным документом — это обязательное требование закона. Нельзя включать его по умолчанию в пользовательские соглашения, оферты, анкеты или договоры. Даже если клиент подписывает сторонний документ, содержащий фразу «согласен на обработку данных», согласие считается недействительным.

Теперь согласие должно быть выделено: отдельным документом, чекбоксом с полным текстом или визуально обособленным блоком на сайте.

При этом пользователь должен иметь возможность заранее ознакомиться с условиями и осознано подтвердить согласие. Автоматически проставленные галочки или отсутствие доступа к тексту не допускаются.

Как подготовиться к работе с персональными данными

Даже малый бизнес должен быть готов показать, на каком основании он получает данные, где и как их хранит и кто несёт ответственность за обработку.

Какие документы собрать

Минимальный комплект документов включает:

  • Актуальную форму согласия (по новым требованиям).
  • Политику обработки персональных данных — размещается на сайте и содержит информацию об операторе, целях, правах пользователя.
  • Внутренний приказ о назначении ответственного.
  • Реестр обрабатываемых данных с указанием целей и сроков хранения.
  • Регламент по хранению, защите и удалению информации.

Как хранить персональные данные

Данные хранятся только столько, сколько нужно для обозначенной заранее цели — не дольше. Файлы с анкетами, таблицами или CRM должны быть защищены паролем и доступом только для уполномоченных сотрудников. Онлайн‑системы должны иметь двухфакторную аутентификацию. Удаление происходит по запросу пользователя или по истечении срока, указанного в согласии.

Хранить согласия нужно минимум три года, а при спорах — до момента их разрешения.

Чек-лист «‎Как работать с персональными данными в 2025 году»
297.07 Кб

Компании, которые продолжают работать по старинке, в 2025 году рискуют столкнуться со штрафами и блокировками. Чтобы избежать проблем, достаточно один раз навести порядок: обновить документы, внедрить прозрачные процессы и строго следовать требованиям.

Материалы по теме

Врёшь, не уйдёшь: как помешать корпоративному мошенничеству

Врёшь, не уйдёшь: как помешать корпоративному мошенничеству

12 февраля 2025 11 минутСтатья
NDA: что это такое и зачем нужно соглашение о неразглашении?

NDA: что это такое и зачем нужно соглашение о неразглашении?

16 декабря 2024 11 минутСтатья
Защищаем персональные данные и информацию: что нужно делать

Защищаем персональные данные и информацию: что нужно делать

29 августа 2024 7 минутСтатья
Статьи
Персональные данные