Что изменилось в 152-ФЗ в 2025-2026: 7 ключевых поправок
С 2025 года 152-ФЗ изменился сильнее, чем за предыдущие пять лет. Одновременно вступили в силу три федеральных закона (ФЗ-420, ФЗ-421, ФЗ-156), пересмотрено уголовное законодательство, ужесточена локализация и введено регулирование обезличенных данных. Юристу, который сопровождает компанию по ст. 13.11 КоАП или готовит ОРД, нужно знать все семь изменений — иначе появятся пробелы в защите клиента.
Почему 2025 год стал переломным для 152-ФЗ?
До 2025 года ст. 13.11 КоАП состояла из семи частей, максимальный штраф для юрлица не превышал 500 000 ₽, а уголовная ответственность за незаконный оборот персональных данных строилась на старых нормах ст. 137 и ст. 272 УК. Этот баланс сохранялся с 2017 года.
Резкий рост числа утечек изменил позицию законодателя. По данным РКН, в 2024 году зафиксировано 135 случаев компрометации баз, пострадало более 710 млн записей. В ответ на это в ноябре 2024 года были подписаны два закона — ФЗ-420 и ФЗ-421, которые вступили в силу в 2025 году. Следом пришли поправки в ст. 9 ФЗ-152 (ФЗ-156) и ужесточение требований к локализации.
Судебная практика пока накапливается. По данным InfoWatch за 2025 год, суды вынесли шесть постановлений по новым нормам на общую сумму около 570 тыс. ₽. Это объясняется тем, что большинство утечек произошли до 30.05.2025 и рассматриваются по старым нормам. Применение полных санкций ФЗ-420 — вопрос 2026 года.
Какие 7 поправок к 152-ФЗ вступили в силу в 2025-2026?
Ниже — каждая из семи поправок с датой вступления в силу, изменённой нормой и практическим последствием для оператора.
1. Оборотные штрафы за утечки (ФЗ-420, действует с 30.05.2025)
Ст. 13.11 КоАП расширена до 18 частей. Ключевое — ч. 15: при повторной утечке ПДн (после привлечения по ч. 12–14) штраф составляет 1–3% совокупной годовой выручки за прошлый год, но не менее 20 млн ₽ и не более 500 млн ₽. Единовременная утечка от 1 000 до 10 000 субъектов — ч. 12, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, 5–10 млн ₽; более 100 000 — ч. 14, 10–15 млн ₽.
Инвестиции в ИБ в размере не менее 0,1% совокупной выручки за три предшествующих года снижают оборотный штраф до 1/10 минимального размера (но не менее 15 млн ₽ и не более 50 млн ₽) — ст. 4.1 КоАП, примечание к редакции ФЗ-420.
2. Уголовная ответственность по ст. 272.1 УК (ФЗ-421, действует с 11.12.2024)
Введена новая статья — незаконные использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. Базовый состав — до 4 лет лишения свободы; при тяжких последствиях (ч. 5) — до 10 лет. Трансграничная передача незаконно полученных ПДн (ч. 4) — до 8 лет.
Это меняет профиль риска для сотрудников, которые администрируют базы данных или выгружают их по запросу. Для юриста — расширение периметра сопровождения: теперь нужно проверять не только административный, но и уголовный вектор при инцидентах.
3. Отдельное согласие на обработку ПДн (ФЗ-156 от 24.06.2025, действует с 01.09.2025)
Ст. 9 ФЗ-152 изменена: с 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом. Его нельзя встраивать в трудовой договор, пользовательское соглашение, договор оказания услуг или политику конфиденциальности.
Ранее полученные согласия, включённые в другие документы, не требуют принудительного переоформления — обратной силы норма не имеет. Но любое новое согласие, собираемое после 01.09.2025, должно быть самостоятельным документом с обязательными реквизитами: ФИО субъекта, контактные данные, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.
Ещё не проверили, соответствуют ли согласия новым требованиям?
Если вы юрист компании и собираете согласия работников или клиентов — с 01.09.2025 каждая форма, встроенная в договор, создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (до 700 тыс. ₽ за отсутствие или несоответствие состава согласия). Специалисты DATUM проведут аудит форм согласий и ОРД под новые требования ФЗ-156 и выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
4. Ужесточение локализации персональных данных (ФЗ-233 от 08.08.2024, с 01.07.2025)
Ч. 5 ст. 18 ФЗ-152 действовала с 2015 года, но в 2025 году требования уточнены: запрет распространён на первичный сбор ПДн граждан РФ за рубежом. Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ допустимы только в базах данных на территории России.
Нарушение локализации — ч. 8 ст. 13.11 КоАП, штраф для юрлица 1–6 млн ₽; повторное нарушение (ч. 9) — 6–18 млн ₽. Под удар попадают CRM, HRM, маркетинговые платформы с зарубежным хранением, облачные сервисы (Salesforce, HubSpot, аналоги), у которых основная база данных находится за пределами РФ.
5. Регулирование обезличенных персональных данных (ФЗ-233, ст. 13.1 ФЗ-152)
Ст. 13.1 ФЗ-152 введена в 2024 году и регулирует оборот обезличенных ПДн. Установлены пять методов обезличивания: введение идентификаторов, изменение состава и семантики, декомпозиция, перемешивание, обобщение и агрегация. Методы закреплены подзаконным актом РКН (с 01.09.2025).
Обезличенные ПДн могут передаваться в Единую информационную платформу национальной системы управления данными (ЕИП НСУД) по требованию Минцифры. Для компаний, использующих ПДн в аналитике и машинном обучении, это означает обязанность применять только утверждённые методы — иначе передача данных в ML-пайплайн квалифицируется как обработка без надлежащего основания.
6. Новые составы по биометрии (ФЗ-420, ч. 16–18 ст. 13.11 КоАП)
Три новых части ст. 13.11 КоАП посвящены биометрическим ПДн. Ч. 16 — обработка биометрии с нарушением требований ст. 11 ФЗ-152 (без письменного согласия). Ч. 17 — утечка биометрических данных: штраф для юрлица 15–20 млн ₽. Ч. 18 — повторная утечка биометрии: оборотный штраф, аналогичный ч. 15.
Отдельную статью КоАП (13.11.3) получили нарушения при размещении биометрии в ЕБС: для юрлиц штраф 500 тыс. — 1 млн ₽. Банки, МФЦ, работодатели с СКУД на основе распознавания лиц — в зоне риска по трём составам одновременно.
7. Возврат подсудности мировым судьям (ФЗ-508 от 28.12.2025)
С 30.05.2025 по 27.12.2025 дела по ст. 13.11 КоАП рассматривались арбитражными судами. ФЗ-508 от 28.12.2025 вернул подсудность мировым судьям. Это процессуально важное изменение для стратегии защиты: мировой суд — другой инстанционный путь обжалования, иные сроки давности привлечения, иная практика применения ст. 4.1.1 КоАП (замена штрафа на предупреждение).
Что проверить юристу компании после 7 поправок
- Согласия на обработку ПДн: выделены ли в отдельный документ после 01.09.2025, соответствуют ли реквизиты ст. 9 ФЗ-152 в редакции ФЗ-156.
- Реестр операторов РКН: совпадает ли фактическая обработка с тем, что указано в уведомлении по ст. 22 ФЗ-152 (форма приказа РКН №180).
- Локализация: где физически хранятся базы с ПДн граждан РФ — выявить зарубежные хранилища и оценить риск по ч. 8 ст. 13.11 КоАП.
- Биометрия: есть ли в компании СКУД с распознаванием лица или голоса — проверить наличие письменных согласий по ст. 11 ФЗ-152.
- Политика обработки ПДн: опубликована ли на сайте, включает ли разделы по ч. 2 ст. 18.1 ФЗ-152 — при отсутствии штраф по ч. 3 ст. 13.11 (30–60 тыс. ₽).
Как суды применяют новые нормы: практика 2025-2026?
Первые дела по нормам ФЗ-420 показывают, что суды применяют новые составы осторожно — особенно там, где утечка произошла до 30.05.2025. Дело АС Москвы № А40-263126/2025: утечка 26 млн записей, но поскольку инцидент произошёл до вступления в силу ФЗ-420, суд применил старые нормы — назначен минимальный штраф 150 тыс. ₽ по ч. 1 ст. 13.11 в прежней редакции.
Первые дела уже по новым нормам — дела № А40-351064/2025 (РЭШ) и № А56-4733/2026. В деле РЭШ утечка затронула более 100 000 субъектов; применена ч. 14 ст. 13.11 КоАП (штраф 10–15 млн ₽), но с учётом статуса микропредприятия по ст. 4.1.2 КоАП фактический штраф составил 400 тыс. ₽. В деле петербургской платформы «ПКР Аналитика» (утечка ~70 000 субъектов, квалификация по ч. 14) применены смягчающие обстоятельства.
Вывод из практики: смягчающие — документальное сотрудничество с РКН, быстрое уведомление (24 и 72 часа по Приказу РКН №187), наличие утверждённой политики и назначенного ответственного по ст. 22.1 ФЗ-152. Отсутствие ОРД при уже возбуждённом деле лишает большинства смягчающих аргументов.
Если юрист получил запрос РКН или у компании начата проверка — у вас ограниченное время на сбор доказательной базы. Специалисты DATUM оценят текущий комплаенс, подготовят позицию и документы для взаимодействия с регулятором.
Заказать аудит 152-ФЗКак реагировать юристу: матрица типовых ситуаций
Ситуация 1: обнаружена утечка ПДн, компания ещё не уведомила РКН. Ч. 3.1 ст. 21 ФЗ-152 и Приказ РКН №187 устанавливают срок первичного уведомления — 24 часа с момента обнаружения. Через 72 часа — отчёт о результатах внутреннего расследования. Неуведомление — ч. 11 ст. 13.11 КоАП, штраф 1–3 млн ₽. Срок восстановлению не подлежит. Стратегия: зафиксировать момент обнаружения документально, немедленно подать первичное уведомление через pd.rkn.gov.ru, параллельно собирать данные для 72-часового отчёта. Наличие задокументированных мер реагирования — основной аргумент для смягчения при последующем рассмотрении дела.
Ситуация 2: согласия работников собраны до 01.09.2025 путём включения в трудовой договор. Норма ФЗ-156 не имеет обратной силы — ранее полученные согласия недействительными не становятся автоматически. Риск возникает при проверке РКН: инспектор может квалифицировать включение согласия в договор как нарушение ч. 2 ст. 9 ФЗ-152 (состав ст. 13.11 ч. 2 — штраф 300–700 тыс. ₽). Стратегия: поэтапно переоформить согласия при очередном обновлении трудовой документации; приоритет — согласия на передачу третьим лицам (банки зарплатного проекта, страховщики), поскольку именно они чаще проверяются.
Ситуация 3: компания использует зарубежный SaaS с хранением данных за рубежом. Ч. 5 ст. 18 ФЗ-152 в редакции ФЗ-233 с 01.07.2025 охватывает первичный сбор. Если ПДн граждан РФ попадают сначала в зарубежную базу, а потом реплицируются в Россию — это нарушение локализации, ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽. Стратегия: провести инвентаризацию SaaS-стека, выявить системы с зарубежным primary storage, составить план миграции или замены; уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 не закрывает проблему локализации — это разные обязанности.
Что изменилось в основных статьях 152-ФЗ: краткий справочник
Для работы с нормативной базой полезно понимать, какие статьи ФЗ-152 затронули поправки напрямую, а какие — через подзаконные акты.
Ст. 9 (согласие) — изменена ФЗ-156: отдельный документ с 01.09.2025. Ст. 12 (трансграничная передача) — уточнены процедуры уведомления РКН. Ст. 13.1 (обезличенные ПДн) — новая статья, введена ФЗ-233, методы закреплены подзаконным актом РКН. Ст. 18 ч. 5 (локализация) — ужесточена с 01.07.2025. Ст. 18.1 (меры обеспечения) и ст. 22.1 (ответственный за обработку) — требования не изменились, но стали точками проверки при разборе дел по новым составам.
Понятийный аппарат ст. 3 (оператор, субъект ПДн, обработка, трансграничная передача) и принципы ст. 5 (законность, конкретные цели, соответствие объёма, не дольше необходимого) остались прежними. Правовые основания обработки по ст. 6 — 11 оснований, без изменений. Специальные категории ПДн по ст. 10 (здоровье, судимость, взгляды) — состав не менялся, но санкции за их утечку возросли кратно через новые части ст. 13.11 КоАП.
Кейс 1. Юрист торговой компании (Центральный ФО, начало 2026) проводил плановый аудит перед продлением контракта с зарубежным CRM-провайдером. В ходе проверки выявлено: первичный сбор контактов клиентов шёл через форму на лендинге, данные записывались напрямую в облако провайдера в ЕС, репликация в российский дата-центр — с задержкой 15 минут. После консультации с DATUM компания приняла решение сменить архитектуру до получения предписания РКН: первичная запись переведена в отечественный облачный сервис, что исключило состав по ч. 8 ст. 13.11 КоАП (риск штрафа 1–6 млн ₽).
Кейс 2. В деле о повторной утечке ПДн клиентов (логистическая компания, Сибирский ФО, осень 2025) оператор не имел утверждённой политики обработки ПДн и не уведомил РКН в течение 24 часов. При рассмотрении дела суд отказал в применении ст. 4.1.1 КоАП (замена штрафа на предупреждение): отсутствие ОРД и нарушение срока уведомления стали отягчающими обстоятельствами. Итог — штраф в диапазоне нескольких миллионов рублей по ч. 12 ст. 13.11 КоАП в редакции ФЗ-420.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка по 38-пунктному чек-листу с отчётом и планом устранения нарушений
- Комплект ОРД под ключ — политика, согласия, приказы, журналы под новые требования ФЗ-156 и ФЗ-420
- DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании
Частые вопросы
1. Что считается обработкой ПДн по 152-ФЗ?
По ст. 3 ФЗ-152 обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Просмотр базы сотрудником — обработка. Загрузка файла Excel с контактами в облако — обработка. Закон охватывает как автоматизированную, так и неавтоматизированную обработку.
2. На основании чего можно обрабатывать ПДн?
Ст. 6 ФЗ-152 закрепляет 11 правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение оператором обязанности по закону (п. 2), судопроизводство и исполнение судебного акта (п. 3). Согласие — не единственное основание. Если обработка необходима для исполнения договора с субъектом, получать отдельное согласие не требуется. Ошибочный выбор основания создаёт состав по ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).
3. Что грозит за нарушение 152-ФЗ?
Административная ответственность — ст. 13.11 КоАП в редакции ФЗ-420 (действует с 30.05.2025): 18 частей, штрафы от 30 тыс. до 500 млн ₽ (оборотный состав ч. 15). Уголовная ответственность — ст. 272.1 УК (введена с 11.12.2024): незаконный оборот компьютерной информации с ПДн, максимум по ч. 5 — 10 лет лишения свободы. Гражданско-правовая — компенсация морального вреда субъектам: судебная практика показывает взыскания от 5 тыс. до десятков тысяч рублей за одного субъекта.
4. Нужно ли уведомлять РКН малому бизнесу?
По ст. 22 ФЗ-152 уведомлять РКН обязан любой оператор до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22: в частности, освобождены операторы, обрабатывающие ПДн только своих работников, или получившие ПДн не для автоматизированной обработки. Однако ч. 2 ст. 22 не освобождает от остальных обязанностей по 152-ФЗ. Неуведомление при фактической обработке — ч. 10 ст. 13.11 КоАП, штраф 100–300 тыс. ₽ для юрлица.
5. С какого возраста нужно согласие на ПДн?
152-ФЗ не устанавливает возрастной ценз прямо. По общей норме ст. 26 ГК РФ несовершеннолетние от 14 до 18 лет дееспособны частично, и их согласие на обработку ПДн требует одобрения законного представителя при значимых действиях. Для ПДн детей до 14 лет согласие даёт родитель или опекун. В образовательных и медицинских организациях действуют специальные требования к форме согласия с учётом возраста субъекта.
Итог
Семь поправок 2025–2026 годов изменили 152-ФЗ по всем ключевым направлениям: санкции, согласие, локализация, биометрия, уголовная ответственность, обезличивание, процессуальная подсудность. Каждая из семи поправок имеет конкретный состав правонарушения и санкцию. Отсутствие актуального комплаенса — это не абстрактный риск, а готовый протокол при первой же проверке РКН.
Специалисты DATUM сопровождают операторов ПДн с 2014 года: аудит под новые нормы ФЗ-420 и ФЗ-156, ОРД под ключ, защита при штрафах по ст. 13.11 КоАП, реагирование на утечки за 24 часа.
20 октября 2026 года