Изменения 152-ФЗ в 2026: новые требования к защите персональных данных
📋 Кратко
С 2025 года в России действуют масштабные поправки к 152-ФЗ и КоАП РФ. Ужесточены требования к трансграничной передаче и локализации данных, введена обязанность уведомлять РКН об утечках за 24 часа, а штрафы выросли до 20 млн рублей (до 3% выручки при повторе). Разбираем, какие изменения уже действуют и как бизнесу минимизировать риски в 2026 году.
⏱ 6 минут чтения
В 2025–2026 годах в России вступил в силу пакет масштабных поправок к Федеральному закону № 152-ФЗ «О персональных данных» и КоАП РФ — поправки к КоАП РФ (Федеральный закон от 30.11.2024 № 420-ФЗ) и Федеральному закону «О персональных данных». Это самые серьёзные изменения регулирования персональных данных за последние десять лет: они затрагивают трансграничную передачу, сроки уведомления об утечках, размеры штрафов и требования к операторам.
Ключевой сигнал регулятора: эпоха «формального compliance» закончилась. Если раньше многие компании ограничивались публикацией политики обработки ПДн на сайте и назначением ответственного, то теперь Роскомнадзор требует реального контроля — с технологическими мерами, аудитом и оперативным реагированием на инциденты. По данным РКН, за 2025 год количество утечек персональных данных выросло на 42% по сравнению с 2024 годом, а число скомпрометированных записей превысило 600 миллионов.
📋 Что меняется в 152-ФЗ с 2026 года
Поправки 2025 года вносят изменения в четыре ключевые области регулирования персональных данных:
- Трансграничная передача — ужесточение требований к передаче данных за рубеж, включая обязательное уведомление РКН и получение согласия субъекта на передачу в конкретные юрисдикции
- Уведомление об утечках — сокращение срока уведомления Роскомнадзора до 24 часов с момента обнаружения инцидента, а для субъектов ПДн — до 72 часов
- Штрафы и ответственность — многократное увеличение штрафов за нарушения, вплоть до 3% годовой выручки для юридических лиц
- Требования к операторам — обязательное назначение структурного подразделения или должностного лица, ответственного за обработку ПДн, и внедрение системы внутреннего контроля
Важно отметить: изменения коснутся не только крупных корпораций, но и малого и среднего бизнеса. Исключений по численности сотрудников или объёму обрабатываемых данных закон не предусматривает.
🌍 Трансграничная передача: новые ограничения и порядок
Одно из самых резонансных изменений — новый порядок трансграничной передачи персональных данных. Согласно новым требованиям, оператор обязан:
- Уведомить Роскомнадзор о намерении передавать данные за рубеж заблаговременно до начала передачи
- Получить согласие субъекта на передачу данных в конкретную иностранную юрисдикцию — согласие «на передачу третьим лицам» больше не считается достаточным
- Оценить правовой режим страны-получателя: РКН ведёт перечень стран, обеспечивающих «адекватную защиту» ПДн; передача в страны вне списка возможна только при наличии дополнительных гарантий
Закон также вводит понятие «существенное нарушение» при трансграничной передаче: если оператор систематически (два и более раза в течение года) нарушает требования, Роскомнадзор вправе приостановить передачу данных в конкретную юрисдикцию на срок до шести месяцев.
⏰ Уведомление об утечках: 24 часа на реакцию
Согласно обновлённой ст. 21 152-ФЗ, срок первичного уведомления Роскомнадзора об утечках персональных данных составляет 24 часа с момента обнаружения инцидента (ранее регламентированный срок был существенно больше). 24 часа — это предельный срок для направления первичного уведомления в РКН с описанием обстоятельств инцидента.
Результаты внутреннего расследования с предоставлением детального отчёта должны быть направлены в Роскомнадзор в течение 72 часов с момента первичного уведомления. В отчёте необходимо указать:
- Категории и объём скомпрометированных данных
- Количество пострадавших субъектов ПДн
- Причины инцидента и вектор атаки
- Перечень мер, принятых для устранения последствий и предотвращения повторных нарушений
Дополнительно оператор обязан уведомить самих субъектов персональных данных в течение 72 часов с момента обнаружения утечки. Уведомление направляется в индивидуальном порядке — по электронной почте, через личный кабинет или SMS. Массовые публикации на сайте компании не заменяют индивидуального уведомления.
💰 Новые штрафы и ответственность за утечки
Самый болезненный блок изменений — штрафы. Обновлённая ст. 13.11 КоАП РФ вводит оборотные штрафы за утечки персональных данных, аналогичные европейскому GDPR:
- Утечка 1 000–10 000 записей — до 5 млн рублей для юрлиц
- Утечка 10 000–100 000 записей — до 10 млн рублей
- Утечка более 100 000 субъектов — до 15 млн рублей
- Утечка биометрических данных — до 20 млн рублей
- Повторная утечка — оборотный штраф 1–3% годовой выручки, но не менее 20 млн и не более 500 млн рублей
При этом «утечкой» считается не только хищение данных внешними злоумышленниками, но и случайная передача данных неуполномоченным лицам, потеря носителей, ошибочная отправка данных не тому адресату. За непредоставление или несвоевременное предоставление уведомления об инциденте предусмотрен отдельный штраф: от 1 до 3 млн рублей для юридических лиц.
🏢 Новые требования к операторам персональных данных
Закон вводит дополнительные требования к организации работы с персональными данными внутри компании:
- Назначение ответственного за обработку ПДн — отдельное структурное подразделение или должностное лицо, которое не может совмещать эту функцию с другими обязанностями в области информационной безопасности
- Система внутреннего контроля — обязательный ежегодный аудит процессов обработки ПДн с документальным оформлением результатов
- Журнал учёта инцидентов — документирование всех случаев нарушения конфиденциальности, целостности или доступности ПДн с указанием принятых мер
- Оценка вреда — для каждой категории обрабатываемых данных оператор обязан определить возможный вред субъекту в случае утечки и принять соразмерные меры защиты
Важное нововведение — обязанность оператора доказать правомерность обработки. Если субъект ПДн заявляет о нарушении его прав, оператор должен предоставить документы, подтверждающие, что обработка данных велась в соответствии с законом. Формальный набор документов без связи с реальными процессами больше не считается соблюдением требований.
🛡️ Как подготовиться: практическое руководство
Чтобы минимизировать риски и избежать многомиллионных штрафов, бизнесу необходимо предпринять следующие шаги:
- Провести аудит текущих процессов обработки ПДн: какие данные собираются, где хранятся, кому передаются, какие подписанные согласия есть у оператора. Результаты аудита зафиксировать документально
- Пересмотреть договоры с контрагентами — особенно с теми, кто обрабатывает данные за рубежом. Убедиться, что договоры содержат положения о соответствии требованиям 152-ФЗ и механизмах ответственности
- Внедрить систему обнаружения утечек — DLP-системы, мониторинг сетевого трафика, контроль доступа к базам данных. Среднее время обнаружения утечки в российских компаниях в 2025 году составило 146 дней — при новом сроке уведомления в 24 часа это неприемлемо
- Назначить ответственного за ПДн и выделить ему необходимые ресурсы. Ответственный должен иметь прямой доступ к руководству компании
- Разработать регламент реагирования на инциденты с персональными данными, включая пошаговый алгоритм действий на первые 24 часа
- Обновить политики обработки ПДн и формы согласий — они должны соответствовать новым требованиям к трансграничной передаче и индивидуальному уведомлению
- Провести обучение сотрудников — как минимум ежегодный инструктаж о правилах обработки ПДн и действиях при обнаружении инцидента
Особое внимание стоит уделить техническим мерам защиты. Шифрование баз данных и каналов передачи, псевдонимизация данных, многофакторная аутентификация доступа к системам с ПДн — эти меры не только снижают риск утечки, но и являются смягчающим обстоятельством при назначении штрафа.
📚 Читайте также
- Opera внедрила защиту буфера: ClipboardGuard блокирует вредоносный JavaScript
- Цифровая приватность: VPN, Tor, шифрование — полное руководство 2026
- Безопасность Service Mesh в облачной микросервисной архитектуре: полное руководство 2026
- Указ Президента о КИИ: что изменилось для операторов в 2026 году
- Математика эллиптических кривых: ECDH, ECDSA и Ed25519 для разработчика
📖 Термины
КИИ · Персональные данные · Приватность · Шифрование