Введение
За последние годы регулирование персональных данных в России претерпевает качественную трансформацию. Законодатель смещает фокус с формальных согласий и точечных требований к системному контролю над инфраструктурой, минимизацией данных и ответственностью за утечки и злоупотребления.
В наступающем году бизнесу предстоит адаптироваться к целому комплексу изменений: запрету иностранных облаков в контуре персональных данных, отраслевым стандартам минимизации, реформе института согласия, новому режиму исследовательской деятельности и ужесточению требований к информационной безопасности.
Рассмотрим ключевые направления реформ, их влияние на организации и шаги, которые стоит предпринять уже сейчас.
Локализация и «приземление» обработки данных
Курс на отказ от иностранных облаков
В 2025 году сформирован устойчивый тренд на «приземление» обработки персональных данных на российские программные продукты и инфраструктуру.
Минцифры совместно с ФСТЭК и другими ведомствами реализует курс, согласно которому операторы персональных данных должны перейти на использование исключительно отечественного ПО при обработке и хранении данных граждан РФ, с завершением переходного периода к 1 сентября 2027 года.
На практическом уровне это означает:
- Постепенный запрет на использование зарубежных корпоративных облачных сервисов (CRM, ERP, HR‑системы, BI‑платформы, сервис‑дески, почта и хранилища) в контуре персональных данных российских граждан.
- Необходимость заранее планировать миграцию ключевых систем на решения из реестра российского ПО, включая инвентаризацию ИТ‑ландшафта и проектирование целевой архитектуры с «российской точкой входа» для данных.
Риски для бизнеса
Нарушение обновленных требований локализации и курса на «приземление» может привести не только к административной ответственности, но и к блокированию каналов передачи данных, предписаниям о прекращении использования отдельных сервисов и вынужденной экстренной миграции.
Для компаний, зависящих от глобальной ИТ‑инфраструктуры, это превращается в стратегический вопрос технологической независимости и устойчивости бизнес‑процессов.
Минимизация данных и отраслевые стандарты
Переход от общих принципов к конкретным перечням
Распоряжением Правительства РФ от 14.08.2025 №2207‑р утвержден план реализации концепции противодействия киберпреступности, в рамках которого ключевую роль играют отраслевые стандарты обработки персональных данных.
До IV квартала 2026 года профильные ведомства должны определить состав персональных данных, реально необходимый хозяйствующим субъектам в отдельных отраслях и представить предложения в Правительство РФ.
Ожидается, что:
- Для типовых отношений будут закреплены перечни категорий персональных данных и сроки их обработки, достаточные для выполнения стандартных функций.
- При соблюдении таких перечней оператор сможет обрабатывать данные без получения отдельного согласия, опираясь на закон и подзаконные акты, закрепляющие отраслевые стандарты.
Избыточный сбор как зона повышенного риска
Наибольшие риски возникают в:
- формах регистрации на мероприятиях и вебинарах,
- формах подписки и обратной связи,
- программах лояльности и маркетинговых исследованиях,
где традиционно собирается расширенный набор контактных и поведенческих данных.
Все сведения, выходящие за рамки утвержденных стандартов и не имеющие иного законного основания, будут рассматриваться как избыточные и могут влечь ответственность за нарушение принципа минимизации.
Новая роль согласия: от «культа согласий» к законному интересу
Обособление согласия и пересмотр оснований обработки
С 1 сентября 2025 года вступает в силу требование об обязательном обособлении согласия на обработку персональных данных: согласие должно оформляться отдельным документом, отдельным блоком или отдельной галочкой, а не «вшиваться» в текст договора или анкеты.
Параллельно Роскомнадзор последовательно критикует практику использования согласия как универсального основания обработки в любых ситуациях и нацеливает бизнес на приоритет закона, договора и законного интереса оператора.
В результате:
- Согласие закрепляется как исключительное основание для специфических режимов: общедоступные источники, специальные категории и биометрия, распространение данных, прямой маркетинг, автоматизированные решения и отдельные трудовые кейсы.
- Для остальных операций компании должны выстраивать модель обработки на базе закона, договора или документированного законного интереса с оценкой допустимости и пропорциональности (LIA‑подход).
«Антифрод‑2» и цифровизация согласий
Законопроект «Антифрод‑2» предполагает:
- возможность и в отдельных случаях обязанность предоставления и отзыва согласий через ЕСИА и портал Госуслуг, с передачей сведений обо всех согласиях в государственную систему;
- возможность обжалования обработки, основанной на согласии, через ЕПГУ, что усиливает регуляторный и общественный контроль над операторами.
Дополнительно планируется считать избыточное использование согласия (там, где достаточно закона или договора) признаком высокорисковой деятельности для целей риск‑ориентированного контроля.
Это напрямую стимулирует компании отказаться от подхода «на всякий случай возьмем согласие» и внедрить формализованные процедуры оценки законного интереса.
Исследовательская деятельность и рыночные данные
Локализация исследовательских массивов
Федеральный закон от 31.07.2025 №351‑ФЗ, вступающий в силу 1 марта 2026 года, вводит специальный режим для исследований товарных рынков и сопоставимых исследований.
Ключевое требование — обработка данных, собранных в рамках таких исследований, должна осуществляться на технических средствах, расположенных на территории РФ.
Для маркетинговых и социологических проектов это означает:
- Невозможность сценариев, при которых массивы данных российских респондентов хранятся и обрабатываются исключительно в зарубежной инфраструктуре подрядчиков или аффилированных лиц.
- Необходимость прямого закрепления в договорах с исследовательскими агентствами обязательства локализовать обработку на российских технических средствах и ограничить доступ иностранных подразделений к исходным массивам.
Нарушение этих требований влечет риски ответственности и претензии к законности трансграничной передачи и последующей обработки исследовательских данных.
Усиление требований к информационной безопасности
Управление уязвимостями и инцидентами
Новые подходы ФСТЭК и изменения по линии законодательства о защите информации повышают планку требований к информационной безопасности, включая персональные данные.
Даже если информационные системы формально не подпадают под действие специальных актов, регуляторные ожидания к управлению уязвимостями и инцидентами становятся заметно выше.
Практически это означает, что компаниям необходимо:
- Внедрить целевые сроки устранения уязвимостей по их критичности, регулярное сканирование и контроль исполнения.
- Формализовать процедуры реагирования на инциденты, включая критерии уведомления регуляторов, порядок взаимодействия ИТ, ИБ, юридической службы и PR, а также запрет на использование «утекших» баз и иных неправомерно полученных данных.
Невыполнение этих требований усиливает как технические риски утечек, так и вероятность значимых санкций за нарушения требований к защите информации.
Что делать компаниям уже сейчас
Шаг 1. Инвентаризация систем и процессов
Первый шаг — полная инвентаризация:
- информационных систем и сервисов, в которых обрабатываются персональные данные, с фиксацией мест размещения, типа ПО и роли систем;
- бизнес‑процессов, основанных исключительно на согласии, с оценкой возможности перехода на договор, закон или законный интерес;
- действующих и планируемых исследовательских проектов и подрядчиков на предмет соответствия требованиям локализации.
Шаг 2. Обновление политик и договоров
На следующем этапе имеет смысл обновить:
- политику обработки персональных данных и публичные уведомления с учетом усиления ответственности, локализации, минимизации и реформы согласий;
- реестр операций обработки данных, включая фиксацию правовых оснований, сроков хранения и режима трансграничной передачи;
- договоры с ИТ‑подрядчиками, исследовательскими организациями, платформами и маркетплейсами, закрепив требования к локализации, обезличиванию и распределению ответственности.
Шаг 3. План миграции и организационные меры
Завершающий блок — стратегическое и организационное выстраивание системы управления персональными данными:
- Разработка плана миграции с иностранных облаков и ПО в контуре персональных данных на российские решения с горизонтом 2026–2027 годов.
- Введение формализованного процесса оценки законного интереса (LIA‑подход), усиление роли ответственного за обработку персональных данных и обучение ключевых подразделений новым требованиям.
Такая системная работа позволяет не только снизить регуляторные и технологические риски, но и выстроить более устойчивую, прозрачную и управляемую архитектуру обработки персональных данных в условиях быстро меняющегося законодательства.