22 подписчика

Персональные данные в 2026: ключевые изменения в законодательстве и новая позиция Верховного Суда

18 марта18 мар

2 мин

2025 год стал поворотным в регулировании персональных данных в России. Штрафы увеличились кратно, за повторные утечки введены оборотные санкции до 500 млн рублей, а передача информации подрядчику больше не освобождает оператора от ответственности. Рассказываем о главных нововведениях и их значении для бизнеса. В 2025 году вступило в силу несколько значимых поправок. С мая ужесточены санкции за утечки: утрата данных 1–10 тыс. лиц наказывается штрафом 3–5 млн рублей, 10–100 тыс. — 5–10 млн, свыше 100 тыс. — 10–15 млн. При повторной утечке применяется оборотный штраф — от 0,1% до 3% годовой выручки (но не менее 15 млн и не более 500 млн рублей). С июля действует требование о размещении первичных записей данных россиян на серверах внутри страны. С сентября согласие на обработку должно оформляться как отдельный документ, его нельзя скрывать в тексте договора или оферты. Запрещены заранее проставленные отметки. Штраф за нарушение — от 300 до 700 тыс. рублей, при повторе — до 1,5 млн. С январ

Оглавление

Что изменилось с прошлого года
Уголовная ответственность
Верховный Суд: ответственность оператора не перекладывается

Что изменилось с прошлого года

В 2025 году вступило в силу несколько значимых поправок. С мая ужесточены санкции за утечки: утрата данных 1–10 тыс. лиц наказывается штрафом 3–5 млн рублей, 10–100 тыс. — 5–10 млн, свыше 100 тыс. — 10–15 млн. При повторной утечке применяется оборотный штраф — от 0,1% до 3% годовой выручки (но не менее 15 млн и не более 500 млн рублей).

С июля действует требование о размещении первичных записей данных россиян на серверах внутри страны. С сентября согласие на обработку должно оформляться как отдельный документ, его нельзя скрывать в тексте договора или оферты. Запрещены заранее проставленные отметки. Штраф за нарушение — от 300 до 700 тыс. рублей, при повторе — до 1,5 млн.

С января 2026 года начали действовать новые нормативы ФСТЭК для госорганов и бюджетных учреждений.

Уголовная ответственность

Федеральный закон № 421-ФЗ дополнил УК статьёй 272.1, устанавливающей наказание за незаконные сбор, хранение, использование и распространение персональных данных. Максимум — до 10 лет лишения свободы со штрафом до 3 млн рублей.

Верховный Суд: ответственность оператора не перекладывается

В январе 2026 года Верховный Суд рассмотрел дело о штрафе Минтруда после утечки 1,4 тыс. записей. Ведомство пыталось переложить вину на взломанного подрядчика, однако суды всех уровней заняли иную позицию:

оператор обязан контролировать действия подрядчика, договор не снимает эту обязанность, а только фиксирует её;
отсутствие подтверждения принятых мер защиты — самостоятельное нарушение;
несвоевременное информирование Роскомнадзора об утечке — ещё одно основание для взыскания.

Верховный Суд подчеркнул: ответственность оператора связана с его собственным бездействием, а не с действиями третьих лиц.

Что это означает для компаний

Правовая позиция высшей инстанции будет применяться ко всем организациям. Выводы:

за подрядчика отвечает оператор;
необходима система контроля за обработкой данных и мониторинга инцидентов;
договор с подрядчиком должен содержать чёткие требования к защите информации, но контроль их соблюдения — обязанность самого оператора.

Порядок действий при утечке

В случае инцидента важно действовать незамедлительно:

локализовать угрозу и прекратить несанкционированный доступ;
сформировать оперативную группу (специалисты по безопасности, IT, юристы);
в течение 24 часов уведомить Роскомнадзор;
провести внутреннее расследование и выявить причины;
в срок до 72 часов представить в РКН отчёт с указанием причин и плана корректирующих мер.

Специалисты Acsour рекомендуют:

оценить текущие процессы обработки персональных данных;
проанализировать договоры с подрядчиками и выстроить систему контроля;
подготовить необходимые внутренние документы, включая политики и формы согласий.