За первый квартал 2026 года российские компании заплатили сотни миллионов рублей штрафов за нарушения правил обработки персональных данных. С 1 июля 2026 года вводится обязательная сертификация ПО для работы с персональными данными, а штрафы за утечки достигают 500 миллионов рублей. При этом 152-ФЗ — лишь один из нескольких стандартов, которым должен соответствовать бизнес. Ниже разбираются ключевые нормативные требования, актуальные для российских компаний: 152-ФЗ, GDPR, PCI DSS и стандарт Банка России СТО БР ИББС, а также даются практические рекомендации по выстраиванию compliance без лишних затрат
152-ФЗ «О персональных данных»: главный российский стандарт
Федеральный закон № 152-ФЗ — это базовый нормативный акт, определяющий, как компании должны собирать, хранить, обрабатывать и защищать персональные данные (ПД) граждан РФ. Под персональными данными понимается любая информация, позволяющая идентифицировать человека: ФИО, контакты, паспортные данные, IP-адрес, биометрия и даже история покупок. Оператором ПД признаётся любая организация или ИП, которая решает, зачем нужны данные и что с ними делать.
С середины 2025 года в закон внесли масштабные изменения. Ключевые требования, обязательные к исполнению в 2026 году, включают несколько пунктов.
- Во-первых, это обязательная регистрация в реестре операторов Роскомнадзора. Любая компания или ИП, которые собирают или обрабатывают персональные данные, обязаны пройти эту регистрацию независимо от масштаба деятельности. Позиция о том, что малый бизнес или стартапы могут не уведомлять Роскомнадзор из-за «небольшого объёма данных», больше не соответствует действующему законодательству. Штраф за отсутствие регистрации достигает 300 тысяч рублей для юридических лиц.
- Во-вторых, с 1 сентября 2025 года согласие на обработку персональных данных оформляется только как отдельный документ — его нельзя «вшивать» в текст договора или пользовательского соглашения. Если после этой даты продолжить использовать старый формат, согласие будет считаться неполученным, а это прямой путь к штрафу до 700 тысяч рублей.
- В-третьих, все личные данные граждан РФ должны храниться на серверах, физически расположенных на территории России. Использование иностранных облаков или зарубежных сервисов без уведомления и первичного размещения данных на российских ресурсах недопустимо.
- В-четвёртых, закон требует минимизации сбора данных: компания вправе собирать только те сведения, которые действительно нужны для конкретной цели.
Штрафы за нарушения 152-ФЗ в 2026 году существенно выросли. За отсутствие регистрации грозит до 300 тысяч рублей, за утечку данных — до 3 миллионов рублей, а за повторное нарушение — до 500 миллионов. Кроме того, возможна приостановка деятельности по обработке данных или блокировка сервиса. С 1 июля 2026 года вводится обязательная сертификация ПО для обработки персональных данных.
GDPR: европейский стандарт с экстерриториальным действием
General Data Protection Regulation (GDPR) — это общий регламент по защите данных, действующий на территории Европейского союза с мая 2018 года. Его главная особенность — экстерриториальный характер: требования GDPR распространяются на любую компанию в мире, которая обрабатывает персональные данные граждан ЕС, независимо от физического местонахождения самой компании. Для российского бизнеса это актуально при работе с европейскими клиентами, партнёрами или при использовании сервисов, ориентированных на европейский рынок.
GDPR базируется на нескольких ключевых принципах: законность и прозрачность обработки, целевое ограничение (данные собираются только для конкретных целей), минимизация данных, точность, ограничение хранения и целостность с конфиденциальностью. Отдельно регламент требует обязательного уведомления регулятора об утечках данных в течение 72 часов с момента обнаружения инцидента.
Штрафы за нарушения GDPR могут достигать 20 миллионов евро или 4% от глобального годового оборота компании — в зависимости от того, какая сумма окажется больше. В первом квартале 2026 года общая сумма штрафов достигла 68,18 миллиона евро, причём 94% всех взысканий пришлось на Францию и Великобританию.
Важно отметить, что GDPR является скорее сводом принципов, а не жёстких правил. В отличие от американского подхода или российского законодательства, европейский регламент не содержит детальных инструкций по каждому аспекту, а задаёт общие требования и ожидает от компаний самостоятельного выстраивания процессов комплаенса с учётом отраслевой специфики и масштаба деятельности.
PCI DSS: стандарт для работы с платёжными данными
Payment Card Industry Data Security Standard (PCI DSS) — это отраслевой стандарт, разработанный международными платёжными системами (Visa, Mastercard и другими). Он обязателен для всех организаций, которые обрабатывают, хранят или передают данные банковских карт. Стандарт содержит 12 ключевых требований, охватывающих управление доступом, шифрование, мониторинг и регулярное тестирование безопасности.
Версия PCI DSS 4.0, переход на которую стал обязательным с 31 марта 2025 года, ввела ряд новых требований. Среди них — обязательная многофакторная аутентификация для любого доступа в среду данных держателей карт, более строгие правила управления учётными записями, усиленный контроль за изменениями в системе, а также требование к документированию и отслеживанию всех криптографических алгоритмов и протоколов. При этом 13 новых требований версии 4.0 стали обязательными с 1 апреля 2025 года, а остальные 50 требований ожидаются к поэтапному внедрению.
Несмотря на то, что PCI DSS не является законом в прямом смысле, его несоблюдение влечёт серьёзные последствия: штрафы от платёжных систем, приостановку возможности принимать карты к оплате, повышенные комиссии за эквайринг, обязательные дорогостоящие аудиты и репутационные потери.
СТО БР ИББС: отраслевой стандарт Банка России
СТО БР ИББС — это комплекс документов Банка России, описывающий единый подход к построению системы обеспечения информационной безопасности организаций банковской системы РФ. Стандарт разработан с учётом требований российского законодательства и специфики финансовой отрасли. Федеральным законом «О техническом регулировании» установлен рекомендательный статус стандартов, однако в соответствии с тем же законом стандарты подлежат обязательному исполнению в организациях, которые добровольно приняли решение об их применении.
Основной документ комплекса — СТО БР ИББС-1.0 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Основные положения». Он задаёт комплексный подход к обеспечению информационной безопасности на всех этапах банковских автоматизированных систем с использованием как технических средств защиты информации, так и организационных мер.
СТО БР ИББС включает требования по выявлению инцидентов ИБ и реагированию на них, управлению рисками, защите информации при взаимодействии с платёжными системами и контрагентами, а также по обеспечению непрерывности бизнеса. Стандарт ориентирован в первую очередь на кредитные организации, однако его методология применима и в других отраслях с высокими требованиями к информационной безопасности.
Практические рекомендации по compliance
Выстраивание системы соответствия нормативным требованиям — это не разовый проект, а непрерывный процесс. Бюджет на защиту персональных данных в 2026 году можно представить как три ключевых направления. Первое — это анализ текущего состояния: понимание того, где и какие данные хранятся, кто с ними работает, где находятся основные риски. Второе — контроль доступов, обезличивание и работа с подрядчиками. Третье — внедрение DLP-систем для предотвращения утечек.
Отраслевая практика показывает, что все три инструмента — DLP, DCAP и обезличивание — одновременно используют только 15% компаний, работающих с персональными данными, хотя ещё пять лет назад таких компаний было в три раза меньше.
Для снижения рисков бизнесу необходимо выстроить систему комплаенса, включающую несколько обязательных элементов. Важно назначить ответственного за организацию обработки персональных данных и разработать полный пакет внутренней документации: политику обработки ПД, приказы о назначении ответственных лиц, типовые формы согласий, уведомлений и разъяснений. Операторам, осуществляющим трансграничную передачу данных, необходимо получить предварительное согласие Роскомнадзора до начала такой передачи. Если ведётся дистанционный сбор персональных данных через сайт, требуется опубликовать политику конфиденциальности и разместить согласие на обработку ПД в виде отдельного документа.
Кроме того, привлечение внешних консультантов и аутсорсинг обработки данных становится всё более разумным решением для малого и среднего бизнеса — особенно в условиях растущих штрафов и нехватки внутренней экспертизы.
Российская специфика и ужесточение регулирования
Ключевой тренд в России — это переход от формального соответствия к реальной защищённости. Регуляторы всё чаще оценивают не просто наличие документов, а то, насколько эффективно выстроена система защиты. Штрафы за утечки достигли уровня, при котором даже крупный бизнес вынужден пересматривать бюджеты на информационную безопасность. С 30 мая 2025 года вступили в силу ключевые поправки к закону №152-ФЗ, а с 1 июля 2026 года вводится обязательная сертификация ПО для обработки персональных данных.
Российский рынок облачных услуг также демонстрирует устойчивый рост: по прогнозам, в 2026 году он превысит 30%. Среди ключевых драйверов — дефицит оборудования, переход бизнеса на OPEX-модель и усиление требований к кибербезопасности, включая требования 152-ФЗ о локализации данных на территории РФ.
Типовой сценарий: приведение к compliance региональной компании
Региональная компания из сферы розничной торговли, около 300 сотрудников, долгое время работала по устаревшим процессам: согласия на обработку персональных данных были «вшиты» в текст договора, реестр операторов РКН отсутствовал, а данные клиентов хранились в облачном сервисе, серверы которого располагались за пределами РФ. В ходе плановой проверки в начале 2026 года компания получила предписание об устранении нарушений со сроком исполнения 90 дней.
За этот период был разработан полный пакет документов: политика обработки ПД, приказы о назначении ответственных лиц, новые формы согласий в виде отдельных документов. Компания прошла регистрацию в реестре операторов РКН, перенесла хранение данных на российские серверы и настроила систему защиты в соответствии с отраслевыми стандартами. Прямые затраты на приведение к compliance составили около полутора миллионов рублей, однако они оказались значительно ниже потенциальных штрафов, которые могли бы достигнуть нескольких миллионов.
Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.
Вопрос для обсуждения: С какими основными сложностями сталкивались при приведении бизнеса к compliance: нехватка ресурсов, сложность нормативной базы или отсутствие внутренней экспертизы?