Изменения 152-ФЗ в 2026: новые требования к защите персональных данных

📋 Кратко

С 2025 года в России действуют масштабные поправки к 152-ФЗ и КоАП РФ. Ужесточены требования к трансграничной передаче и локализации данных, введена обязанность уведомлять РКН об утечках за 24 часа, а штрафы выросли до 20 млн рублей (до 3% выручки при повторе). Разбираем, какие изменения уже действуют и как бизнесу минимизировать риски в 2026 году.

⏱ 6 минут чтения

В 2025–2026 годах в России вступил в силу пакет масштабных поправок к Федеральному закону № 152-ФЗ «О персональных данных» и КоАП РФ — поправки к КоАП РФ (Федеральный закон от 30.11.2024 № 420-ФЗ) и Федеральному закону «О персональных данных». Это самые серьёзные изменения регулирования персональных данных за последние десять лет: они затрагивают трансграничную передачу, сроки уведомления об утечках, размеры штрафов и требования к операторам.

Ключевой сигнал регулятора: эпоха «формального compliance» закончилась. Если раньше многие компании ограничивались публикацией политики обработки ПДн на сайте и назначением ответственного, то теперь Роскомнадзор требует реального контроля — с технологическими мерами, аудитом и оперативным реагированием на инциденты. По данным РКН, за 2025 год количество утечек персональных данных выросло на 42% по сравнению с 2024 годом, а число скомпрометированных записей превысило 600 миллионов.

Гигантская голограмма 152-ФЗ над ночным мегаполисом
Гигантская голограмма 152-ФЗ над ночным мегаполисом

📋 Что меняется в 152-ФЗ с 2026 года

Поправки 2025 года вносят изменения в четыре ключевые области регулирования персональных данных:

Цифровая граница блокирует поток данных за рубеж
Цифровая граница блокирует поток данных за рубеж
  • Трансграничная передача — ужесточение требований к передаче данных за рубеж, включая обязательное уведомление РКН и получение согласия субъекта на передачу в конкретные юрисдикции
  • Уведомление об утечках — сокращение срока уведомления Роскомнадзора до 24 часов с момента обнаружения инцидента, а для субъектов ПДн — до 72 часов
  • Штрафы и ответственность — многократное увеличение штрафов за нарушения, вплоть до 3% годовой выручки для юридических лиц
  • Требования к операторам — обязательное назначение структурного подразделения или должностного лица, ответственного за обработку ПДн, и внедрение системы внутреннего контроля

Важно отметить: изменения коснутся не только крупных корпораций, но и малого и среднего бизнеса. Исключений по численности сотрудников или объёму обрабатываемых данных закон не предусматривает.

🌍 Трансграничная передача: новые ограничения и порядок

Одно из самых резонансных изменений — новый порядок трансграничной передачи персональных данных. Согласно новым требованиям, оператор обязан:

Гигантский таймер обратного отсчёта в серверной
Гигантский таймер обратного отсчёта в серверной
  • Уведомить Роскомнадзор о намерении передавать данные за рубеж заблаговременно до начала передачи
  • Получить согласие субъекта на передачу данных в конкретную иностранную юрисдикцию — согласие «на передачу третьим лицам» больше не считается достаточным
  • Оценить правовой режим страны-получателя: РКН ведёт перечень стран, обеспечивающих «адекватную защиту» ПДн; передача в страны вне списка возможна только при наличии дополнительных гарантий

Закон также вводит понятие «существенное нарушение» при трансграничной передаче: если оператор систематически (два и более раза в течение года) нарушает требования, Роскомнадзор вправе приостановить передачу данных в конкретную юрисдикцию на срок до шести месяцев.

⚠ Ключевая статистика: По оценке Роскомнадзора, в 2025 году 73% всех утечек персональных данных в России были связаны с аутсорсингом обработки данных за рубежом. При этом только 12% компаний имели юридически обоснованные механизмы трансграничной передачи.

⏰ Уведомление об утечках: 24 часа на реакцию

Согласно обновлённой ст. 21 152-ФЗ, срок первичного уведомления Роскомнадзора об утечках персональных данных составляет 24 часа с момента обнаружения инцидента (ранее регламентированный срок был существенно больше). 24 часа — это предельный срок для направления первичного уведомления в РКН с описанием обстоятельств инцидента.

Голографические весы правосудия над корпоративными данными
Голографические весы правосудия над корпоративными данными

Результаты внутреннего расследования с предоставлением детального отчёта должны быть направлены в Роскомнадзор в течение 72 часов с момента первичного уведомления. В отчёте необходимо указать:

  • Категории и объём скомпрометированных данных
  • Количество пострадавших субъектов ПДн
  • Причины инцидента и вектор атаки
  • Перечень мер, принятых для устранения последствий и предотвращения повторных нарушений

Дополнительно оператор обязан уведомить самих субъектов персональных данных в течение 72 часов с момента обнаружения утечки. Уведомление направляется в индивидуальном порядке — по электронной почте, через личный кабинет или SMS. Массовые публикации на сайте компании не заменяют индивидуального уведомления.

💰 Новые штрафы и ответственность за утечки

Самый болезненный блок изменений — штрафы. Обновлённая ст. 13.11 КоАП РФ вводит оборотные штрафы за утечки персональных данных, аналогичные европейскому GDPR:

Офицер безопасности за пультом управления данными
Офицер безопасности за пультом управления данными
  • Утечка 1 000–10 000 записей — до 5 млн рублей для юрлиц
  • Утечка 10 000–100 000 записей — до 10 млн рублей
  • Утечка более 100 000 субъектов — до 15 млн рублей
  • Утечка биометрических данных — до 20 млн рублей
  • Повторная утечка — оборотный штраф 1–3% годовой выручки, но не менее 20 млн и не более 500 млн рублей

При этом «утечкой» считается не только хищение данных внешними злоумышленниками, но и случайная передача данных неуполномоченным лицам, потеря носителей, ошибочная отправка данных не тому адресату. За непредоставление или несвоевременное предоставление уведомления об инциденте предусмотрен отдельный штраф: от 1 до 3 млн рублей для юридических лиц.

⚠ Ключевая статистика: По данным аналитического центра Zecurion, средняя стоимость утечки персональных данных для российских компаний в 2025 году составила 47 млн рублей — с учётом прямых убытков, штрафов и репутационного ущерба. С введением оборотных штрафов эта сумма может вырасти в 5–7 раз.

🏢 Новые требования к операторам персональных данных

Закон вводит дополнительные требования к организации работы с персональными данными внутри компании:

Защитный купол активируется над киберпанк-мегаполисом
Защитный купол активируется над киберпанк-мегаполисом
  • Назначение ответственного за обработку ПДн — отдельное структурное подразделение или должностное лицо, которое не может совмещать эту функцию с другими обязанностями в области информационной безопасности
  • Система внутреннего контроля — обязательный ежегодный аудит процессов обработки ПДн с документальным оформлением результатов
  • Журнал учёта инцидентов — документирование всех случаев нарушения конфиденциальности, целостности или доступности ПДн с указанием принятых мер
  • Оценка вреда — для каждой категории обрабатываемых данных оператор обязан определить возможный вред субъекту в случае утечки и принять соразмерные меры защиты

Важное нововведение — обязанность оператора доказать правомерность обработки. Если субъект ПДн заявляет о нарушении его прав, оператор должен предоставить документы, подтверждающие, что обработка данных велась в соответствии с законом. Формальный набор документов без связи с реальными процессами больше не считается соблюдением требований.

🛡️ Как подготовиться: практическое руководство

Чтобы минимизировать риски и избежать многомиллионных штрафов, бизнесу необходимо предпринять следующие шаги:

  1. Провести аудит текущих процессов обработки ПДн: какие данные собираются, где хранятся, кому передаются, какие подписанные согласия есть у оператора. Результаты аудита зафиксировать документально
  2. Пересмотреть договоры с контрагентами — особенно с теми, кто обрабатывает данные за рубежом. Убедиться, что договоры содержат положения о соответствии требованиям 152-ФЗ и механизмах ответственности
  3. Внедрить систему обнаружения утечек — DLP-системы, мониторинг сетевого трафика, контроль доступа к базам данных. Среднее время обнаружения утечки в российских компаниях в 2025 году составило 146 дней — при новом сроке уведомления в 24 часа это неприемлемо
  4. Назначить ответственного за ПДн и выделить ему необходимые ресурсы. Ответственный должен иметь прямой доступ к руководству компании
  5. Разработать регламент реагирования на инциденты с персональными данными, включая пошаговый алгоритм действий на первые 24 часа
  6. Обновить политики обработки ПДн и формы согласий — они должны соответствовать новым требованиям к трансграничной передаче и индивидуальному уведомлению
  7. Провести обучение сотрудников — как минимум ежегодный инструктаж о правилах обработки ПДн и действиях при обнаружении инцидента

Особое внимание стоит уделить техническим мерам защиты. Шифрование баз данных и каналов передачи, псевдонимизация данных, многофакторная аутентификация доступа к системам с ПДн — эти меры не только снижают риск утечки, но и являются смягчающим обстоятельством при назначении штрафа.

📚 Читайте также

📖 Термины

КИИ · Персональные данные · Приватность · Шифрование

🔗 Источники