Персональные данные уже давно перестали быть «чем-то из области юриспруденции». Сегодня это зона повышенного риска для бизнеса — финансового, репутационного и даже уголовного.
За последние годы требования закона №152-ФЗ заметно ужесточились: изменился подход к согласию, появились строгие правила локализации, а штрафы за нарушения стали особенно болезненными.
В этой статье мы рассказываем о том, что важно учитывать при работе с персональными данными, какие изменения нельзя игнорировать и за что чаще всего штрафуют компании в 2026 году.
Не забудьте нажать «лайк» и подписаться на Чёрную Бухгалтерию в Дзене, чтобы следить за другими полезными публикациями для бизнеса:
Что такое персональные данные и при чём тут бизнес
Многие компании ошибочно полагают, что персональные данные — всегда «очевидные» вещи вроде паспорта. Однако закон смотрит на это определение гораздо шире.
Согласно статье 3 закона №152-ФЗ «О персональных данных», это любая информация, которая прямо или косвенно позволяет определить человека. Причем не только сама по себе, но и в сочетании с другими данными.
В результате под это определение попадает почти все, с чем работает современный бизнес:
- Номера телефонов, email, мессенджеры;
- Данные клиентов в CRM и таблицах;
- IP-адреса, cookies, аналитика сайта;
- История заказов и обращений, переписки;
- Записи разговоров с клиентами.
Из-за этого возникает типичная ошибка: компания уверена, что не работает с персональными данными, хотя фактически делает это каждый день. В результате она не выполняет обязанности оператора, что приводит к штрафам со стороны Роскомнадзора.
Оператор персональных данных: особенности статуса в 2026 году
С учетом всей ответственности, возникает логичный вопрос — кто именно считается оператором и на кого распространяются требования.
Важно отметить, что для возникновения обязательств не нужен какой-то особый статус или регистрация. Оператором считается любой, кто:
- Определяет, зачем нужны данные;
- Решает, какие данные собираются;
- Управляет процессом их обработки.
Например, в эту категорию попадают:
- ООО с сотрудниками;
- Интернет-магазины;
- ИП с клиентской базой;
- Компании с CRM или рассылками.
Важно понимать: даже небольшой бизнес без «сложной IT-системы» является оператором. А значит, обязан соблюдать все требования закона, независимо от масштаба.
Таким образом, статус оператора возникает автоматически — по факту работы с данными. Как только вы начинаете их собирать или использовать, на вас распространяются требования закона — без уведомлений.
Изменения в законе «О персональных данных» в 2025–2026 годах
Последние изменения в 152-ФЗ — это не просто точечные правки, а полный пересмотр «правил игры». Теперь закон стал гораздо жестче, а контроль за его соблюдением — системнее.
Оформление согласия в отдельном виде
Одно из самых чувствительных изменений касается согласия на обработку персональных данных. С 1 сентября 2025 года запрещено:
- Включать согласие в текст договора;
- Прятать его в пользовательском соглашении;
- Считать согласием факт использования сайта.
Это означает, что привычные «галочки внизу страницы» не работают сами по себе. Согласие должно быть оформлено в виде отдельного документа или страницы, где четко указано:
- Какие данные собираются;
- С какой целью;
- Кто их обрабатывает.
Фактически бизнес оказался вынужден пересмотреть и формы на сайтах, и документооборот — иначе риски нарушений становятся постоянными.
Единая форма согласия для работы с биометрией
Распоряжение Правительства №856-р от 09.04.2024 закрепило единую форму согласия для Единой биометрической системы. Это касается как бумажных, так и электронных форм.
Требования распространяются на:
- Распознавание лица;
- Голосовую идентификацию;
- Любые биометрические решения.
Таким образом, требования стали унифицированными для бумажного и электронного формата.
Локализация данных: запрет на зарубежные сервисы
Одно из самых болезненных изменений — требования по локализации данных. С 1 июля 2025 года (п. 5 ст. 18 152-ФЗ) они стали еще строже.
Теперь все ключевые процессы с персональными данными граждан РФ должны происходить на территории России:
- Сбор и запись;
- Хранение;
- Систематизация.
На практике это означает, что использование зарубежных сервисов становится проблемой, если они работают с персональными данными.
Под удар попадают:
- CRM и облачные сервисы;
- Инструменты аналитики;
- Платформы рассылок;
- Системы хранения данных.
Бизнес становится вынужден либо переходить на российские решения, либо выстраивать очень сложную архитектуру с локализацией данных внутри страны.
Обезличенные данные: послабление с условиями
На фоне ужесточения правил появилось иодно важное послабление. С 1 сентября 2025 года действует статья 13.1 152-ФЗ, регулирующая работу с обезличенными данными.
Теперь такие данные можно использовать без согласия человека, если:
- Его личность невозможно восстановить;
- Соблюдены требования к обезличиванию.
Однако у операторов появилась новая обязанность: по запросу передавать обезличенные массивы данных в государственные системы.
Важно отметить, что при этом:
- Биометрия и медицинские данные не передаются;
- У граждан есть право отказаться от передачи в течение 30 дней.
У Чёрной Бухгалтерии есть полезная статья, посвященная лицам, ответственным за работу с персональными данными в 2026 году. Рекомендуем к прочтению всем владельцам бизнеса:
Обработка персональных данных: обязанности бизнеса в 2026 году
После ужесточения закона формального подхода стало недостаточно. Документы «для галочки» больше не спасают — проверяется именно фактическая работа с данными.
Уведомление Роскомнадзора
Перед началом обработки персональных данных оператор обязан уведомить Роскомнадзор (ст. 22 152-ФЗ)— это базовое требование.
Уведомление можно подать:
- Через Госуслуги;
- На сайте ведомства;
- В бумажном виде.
Обратите внимание: отсутствие уведомления считается отдельным нарушением, даже если остальные пункты выполнены правильно.
Политика обработки данных
Еще один обязательный элемент — публичная политика обработки персональных данных (ст. 18.1 152-ФЗ).
Это не просто формальность, а документ, который должен отражать реальную практику компании. В нем указываются:
- Цели обработки;
- Правовые основания;
- Сроки хранения;
- Контактные данные оператора.
Как правило, документ размещают на сайте. Его отсутствие — один из самых простых и частых поводов для штрафа.
Получение согласий и процесс обработки
После изменений 2025 года особое внимание уделяется согласиям — причем речь идет не только о форме документа, но и о процессе в целом.
Компания обязана:
- Получать согласие до начала обработки;
- Хранить подтверждение его получения;
- Обеспечивать возможность отзыва.
Если согласие есть «на бумаге», но фактически процесс устроен иначе — это тоже будет считаться нарушением.
Обеспечение безопасности данных
Статья 19 152-ФЗ обязывает защищать персональные данные не только юридически, но и технически. Это включает:
- Разграничение доступа сотрудников;
- Защиту информационных систем;
- Внутренние регламенты;
- Контроль и аудит.
Требования детализированы в Постановлении Правительства №1119 и нормативных актах ФСТЭК. Важно отметить, что в этом случае проверяют не столько наличие документов, сколько реальную защиту.
Право клиентов на отказ от обработки данных
Отдельный блок — это права субъектов персональных данных. Согласно статье 14 Федерального закона № 152-ФЗ, человек имеет право:
- Узнать, какие данные о нем обрабатываются;
- Потребовать их исправления;
- Добиться удаления;
- Отозвать согласие.
Для бизнеса это означает необходимость выстраивать процессы реагирования на подобные запросы. Игнорирование или формальные ответы часто заканчиваются жалобами в Роскомнадзор.
Автоматизация контроля за нарушениями
Если раньше многие рассчитывали “не попадаться”, то сейчас эта стратегия практически не работает.
Роскомнадзор получил инструменты:
- автоматического мониторинга сайтов;
- анализа утечек;
- отслеживания данных в открытых и закрытых источниках, включая даркнет.
Это означает, что нарушение может быть выявлено:
- без выездной проверки;
- без жалобы клиента;
- в автоматическом режиме.
Именно поэтому количество штрафов продолжает расти.
Закон «О персональных данных» № 152-ФЗ: штрафы в 2026 году
После принятия закон №420-ФЗ от 30.11.2024 ответственность за нарушения в сфере персональных данных выросла кратно. Причем теперь учитывается не только сам факт нарушения, но и масштаб, а также повторность.
Штраф за неуведомление Роскомнадзора
- Для организаций — 100 000–300 000 ₽
- Для должностных лиц — 30 000–50 000 ₽
- Для физических лиц — 5 000–10 000 ₽
Штраф за обработку персональных данных без согласия
- Для организаций — 150 000–300 000 ₽ (первое нарушение)
- Для организаций — 300 000–500 000 ₽ (повторное нарушение)
Штраф за утечку персональных данных
- Для организаций — 10–15 млн ₽ (при утечке более 100 000 субъектов)
- Для организаций — 1–3% годового оборота (при повторном нарушении)
- Минимальный штраф — 20 млн ₽
- Максимальный штраф — 500 млн ₽
Штраф за нарушения при работе с биометрическими данными
- Для организаций — до 20 млн ₽
- Для должностных лиц — до 1,5 млн ₽
- Для физических лиц — до 500 000 ₽
Уголовная ответственность за незаконную работу с данными
- Лишение свободы — до 10 лет (в отдельных случаях)
- Штраф — в зависимости от состава нарушения
Ключевой момент заключается в том, что риски теперь возникают не только из-за крупных нарушений, но и из-за повседневных процессов: форм на сайте, рассылок, хранения данных.
Если вы хотите развивать бизнес, не отвлекаясь на частые нововведения и сложности ведомствами — обратитесь к Чёрной Бухгалтерии!
Наша команда заберет на себя ведение учетов, расчет налогов и взносов, подачу отчетности, коммуникацию с ФНС и другие задачи с учетом всех изменений, чтобы вы работали без ошибок и штрафов.
Узнайте больше о компании, ознакомьтесь с услугами и оставьте заявку уже сейчас — на сайте чёрнаябухгалтерия.рф.
