Перейти к содержанию
аналитика 21 октября 2026 По состоянию на 21 октября 2026

Перспективы регулирования ПДн в России в 2027-2028

Регулирование персональных данных в России движется к ужесточению ответственности, расширению требований к локализации и автоматизации надзора РКН — циклы изменений сокращаются с 3–4 лет до 12–18 месяцев.
После вступления в силу ФЗ-420 (30.05.2025) и ФЗ-156 (01.09.2025) законодатель не останавливается: на рассмотрении находятся поправки, касающиеся автоматизированных решений, биометрии в коммерческом секторе и уголовной ответственности руководителей операторов. Для юриста, который сопровождает комплаенс по 152-ФЗ, горизонт 2027–2028 — не абстракция, а уже читаемый план изменений.
→ Если вы юрист и оцениваете правовые риски компании-оператора, ниже — разбор векторов регулирования с привязкой к нормам и судебной практике 2025–2026.

С 30 мая 2025 года ст. 13.11 КоАП насчитывает 18 частей вместо прежних семи. Оборотный штраф по ч. 15 достигает 500 млн ₽ за повторную утечку — эта цифра уже ориентирует компании на пересмотр бюджетов на информационную безопасность. Вместе с тем судебная практика 2025–2026 годов показывает: правоприменение пока точечное, суды накапливают опыт, а законодатель продолжает корректировать нормы. Данный материал разбирает, что юрист должен учесть при долгосрочном планировании комплаенса по 152-ФЗ на период 2027–2028 годов.

Какие нормы 152-ФЗ останутся базой, а что изменится в 2027-2028?

Ядро закона — ст. 3 (понятие ПДн и оператора), ст. 5 (семь принципов обработки), ст. 6 (правовые основания) и ст. 9 (согласие субъекта) — сохранится без принципиальных изменений. Эти нормы формируют архитектуру, на которой строится весь комплаенс. Обработка ПДн по-прежнему потребует законного основания: согласие субъекта (п. 1 ч. 1 ст. 6), исполнение договора (п. 5 ч. 1 ст. 6) или иное из одиннадцати оснований. Принципы ст. 5 — конкретность целей, соответствие объёма и сроки хранения — останутся точкой проверки при любой ревизии ОРД.

Изменения 2027–2028 годов ожидаются в трёх плоскостях. Первая — автоматизированные решения: аналог ст. 22 GDPR о праве не подвергаться профилированию обсуждается в профильных комитетах с 2024 года. Вторая — категории ПДн (ст. 10 ФЗ-152): расширение перечня специальных данных за счёт генетических и поведенческих профилей. Третья — ответственность субъекта обработки по поручению (ст. 6, п. 3): введение самостоятельной административной ответственности обработчика, а не только оператора.

«Ст. 5 ФЗ-152 устанавливает принципы обработки ПДн: законность и добросовестность, конкретность и заранее определённые цели, недопустимость объединения несовместимых баз, соответствие объёма целям, точность и достаточность, не дольше необходимого срока — с последующим уничтожением или обезличиванием.»

Юристу, который сопровождает оператора, важно зафиксировать: изменения не отменяют действующих требований, а надстраивают их. Правовые основания обработки, согласия по ст. 9 (с 01.09.2025 — отдельный документ по ФЗ-156), политика по ч. 2 ст. 18.1 — всё это остаётся обязательным и после 2027 года.

Нужна оценка текущего комплаенса перед новым циклом изменений?

Если вы юрист и готовите компанию к проверке РКН или пересматриваете ОРД с учётом поправок 2025–2026 годов, аудит соответствия 152-ФЗ позволит зафиксировать фактическое состояние до следующего законодательного цикла. Любой пропущенный документ в пакете ОРД — самостоятельное основание для протокола по ст. 13.11 КоАП.

Заказать аудит 152-ФЗ

Ответим в течение рабочего дня · +7 (983) 510-38-76 · info@vitveteam.ru

Как ужесточается ответственность по ст. 13.11 КоАП и что ждать дальше?

ФЗ-420 от 30.11.2024 переработал ст. 13.11 КоАП с семи до восемнадцати частей. Логика нового регулирования — дифференциация по масштабу инцидента: утечка от 1 000 до 10 000 субъектов (ч. 12) влечёт штраф 3–5 млн ₽, от 10 000 до 100 000 субъектов (ч. 13) — 5–10 млн ₽, более 100 000 субъектов (ч. 14) — 10–15 млн ₽. При повторности по тем же составам применяется оборотный штраф ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Судебная практика 2025–2026 годов пока осторожна. По данным InfoWatch за 2025 год, назначено шесть административных штрафов по новым нормам на общую сумму около 570 тыс. ₽. Арбитражный суд Москвы в деле о 26 миллионах утёкших записей (дело № А40-263126/2025) применил минимальный штраф 150 000 ₽, поскольку утечка произошла до 01.06.2025 и к ней применялись нормы в старой редакции. Этот прецедент важен: дата события определяет применимый санкционный блок, а не дата возбуждения дела.

«Ст. 13.11 ч. 15 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025): оборотный штраф за повторную утечку — от 1 до 3% совокупной выручки за предшествующий календарный год, но не менее 20 млн ₽ и не более 500 млн ₽.»

Для периода 2027–2028 года прогнозируется: расширение субъектного состава (введение ответственности обработчика как самостоятельного субъекта), снижение порогов для оборотных составов и возможное введение обязательного страхования ответственности операторов с оборотом свыше 1 млрд ₽. Ни одна из этих инициатив не принята, но все они находятся в документах профильных структур.

Что подготовить юристу уже сейчас

  • Провести аудит соответствия по действующим нормам: 38-пунктный чек-лист охватывает ст. 18.1, ст. 22, ст. 9 ФЗ-152 в текущей редакции.
  • Актуализировать согласия работников и клиентов — с 01.09.2025 согласие оформляется отдельным документом (ФЗ-156); не исключено ужесточение реквизитов в 2027 году.
  • Проверить статус уведомления в реестре РКН: несоответствие реальной обработки заявленным целям — нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽).
  • Оценить цепочку подрядчиков-обработчиков: договоры поручения по ст. 6 ФЗ-152 и ответственность за их действия лежат на операторе.
  • Зафиксировать расходы на ИБ: инвестиции не менее 0,1% выручки за три года снижают оборотный штраф по ч. 15 ст. 13.11 до 1/10 минимума (ст. 4.1 КоАП).

Что изменится в регулировании биометрии и автоматизированных решений?

Биометрические ПДн (ст. 11 ФЗ-152, ФЗ-572 о ЕБС) — наиболее активно регулируемый сегмент. С 01.06.2023 коммерческие операторы обязаны хранить биометрию исключительно в ГИС ЕБС. Действующая редакция ст. 13.11.3 КоАП предусматривает штраф до 1 млн ₽ за нарушение требований размещения в ЕБС. На горизонте 2027–2028 возможно распространение обязательной передачи в ЕБС на новые отрасли: ретейл, транспорт, телемедицину.

Отдельная тема — автоматизированные решения. Сейчас ст. 16 ФЗ-152 запрещает принятие решений, порождающих правовые последствия для субъекта, исключительно на основе автоматизированной обработки — без его согласия или прямого законного основания. Эта норма практически не применяется в судах, но с учётом развития ИИ-инструментов и профилирования клиентской базы её активация в 2027–2028 году реальна. Риск для юриста: скоринговые модели, рекомендательные системы и автоматизированные отказы в услугах могут попасть под расширенное толкование ст. 16.

Параллельно развивается регулирование обезличенных ПДн. ФЗ-233 от 08.08.2024 ввёл ст. 13.1 ФЗ-152, обязав операторов передавать обезличенные данные в ЕИП НСУД по требованию Минцифры. Методы обезличивания (5 методов по приказу РКН) должны соответствовать установленным требованиям — это создаёт новый вектор проверок в 2026–2027 годах.

Как практика РКН и судов формирует ожидаемую картину 2027-2028?

По данным РКН, в 2024 году зафиксировано 135 случаев компрометации баз с утечкой более 710 млн записей. В 2025 году InfoWatch насчитал 118 инцидентов с компрометацией и шесть административных штрафов по новым нормам. Разрыв между масштабом инцидентов и числом дел объясняется накоплением практики: суды и РКН формируют стандарты квалификации, прежде чем переходить к массовому правоприменению.

Два реальных дела 2026 года задают ориентиры. В деле АС Москвы № А40-351064/2025 (РЭШ) утечка более 100 000 субъектов квалифицирована по ч. 14 ст. 13.11, но с учётом статуса микропредприятия и расчётных правил штраф составил 400 000 ₽ вместо возможных 10–15 млн ₽. В деле АС Санкт-Петербурга и Ленинградской области № А56-4733/2026 утечка около 70 000 субъектов (ФИО, должность, служебный email, телефон) после хакерской атаки также квалифицирована по ч. 14 ст. 13.11 со смягчающими обстоятельствами.

Для горизонта 2027–2028 судебная практика означает следующее: смягчающие по ст. 4.1.1 КоАП (замена штрафа на предупреждение) будут применяться реже по мере накопления дел; ссылка на «первичность» перестанет быть универсальным инструментом. Одновременно практика ВС РФ закрепляет принцип: оператор несёт ответственность за утечку через подрядчика — это прямо влияет на структуру договоров поручения по ст. 6 ФЗ-152.

Если вы юрист и готовите ОРД для оператора под текущие и перспективные требования — пакет документов DATUM покрывает 38 позиций: политика, согласия, приказы, регламент реагирования, журналы. Следующий цикл изменений не потребует полной переработки.

Собрать ОРД под ключ

Типовые правовые ситуации для юриста: три сценария 2027-2028

Сценарий 1. Компания-оператор: уведомление в реестре РКН устарело. Ситуация: компания расширила состав обрабатываемых ПДн (добавила биометрию СКУД) и не обновила уведомление в реестре по ст. 22 ФЗ-152. При проверке РКН фиксирует расхождение. Доказательства: журналы СКУД, приказ о биометрии, действующее уведомление. Вероятный исход: протокол по ч. 1 ст. 13.11 (штраф 150–300 тыс. ₽) плюс требование об устранении. Стратегия: обновить уведомление до проверки; при возбуждённом деле — использовать ст. 4.1.1 КоАП, если нарушение первичное.

Сценарий 2. Подрядчик-обработчик без надлежащего договора поручения. Ситуация: CRM-система передана на сопровождение внешнему подрядчику, договор поручения по ч. 3 ст. 6 ФЗ-152 не заключён или не содержит обязательных условий. Утечка через подрядчика — ответственность несёт оператор. Доказательства: переписка с подрядчиком, договор, факт утечки. Вероятный исход: квалификация по ч. 12–14 ст. 13.11 в зависимости от масштаба. Стратегия: до события — заключить корректный договор поручения с перечнем мер защиты; после — зафиксировать вину подрядчика для регрессного требования.

Сценарий 3. Согласия работников в трудовом договоре после 01.09.2025. Ситуация: HR-директор не переоформил согласия работников, они по-прежнему включены в трудовой договор. С 01.09.2025 (ФЗ-156) это нарушает требование отдельного документа по ст. 9 ФЗ-152. Доказательства: текст трудового договора, дата заключения. Вероятный исход: протокол по ч. 2 ст. 13.11 (штраф 300–700 тыс. ₽ за юрлицо). Стратегия для юриста: инициировать переподписание согласий по ч. 9 ст. 9 ФЗ-152 до получения запроса РКН; при плановой проверке — предъявить новые согласия как доказательство устранения.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработкой считается любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Перечень открытый — даже просмотр базы сотрудником без последующих действий формально подпадает под «использование».

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 закрепляет одиннадцать правовых оснований. Наиболее распространённые: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5), исполнение возложенных обязанностей (п. 2). Согласие с 01.09.2025 оформляется отдельным документом (ФЗ-156). Важно: нельзя объединять согласие с трудовым договором, офертой или политикой конфиденциальности.

3. Что грозит за нарушение 152-ФЗ?

Ответственность трёх уровней. Административная — ст. 13.11 КоАП: от 30 000 ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф за повторную утечку). Уголовная — ст. 272.1 УК РФ (действует с 11.12.2024): до 10 лет лишения свободы по ч. 5 (тяжкие последствия). Гражданская — компенсация морального вреда субъектам через суд (практика Яндекс.Еда 2022–2023).

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 уведомление обязательно до начала обработки ПДн. Исключения перечислены в ч. 2 ст. 22 — они охватывают обработку в рамках трудового договора и без передачи третьим лицам. Если компания, даже малая, передаёт ПДн клиентов контрагентам или ведёт маркетинговые базы — исключения не применяются и уведомление подать необходимо. Неуведомление — штраф 100–300 тыс. ₽ по ч. 10 ст. 13.11.

5. С какого возраста нужно согласие на ПДн?

ФЗ-152 не устанавливает отдельного возрастного порога, однако согласие дееспособного субъекта предполагает возраст не менее 14 лет (ст. 26 ГК РФ). Для детей до 14 лет согласие дают родители или законные представители. В сфере образования и медицины действуют специальные требования, учитывающие нормы ФЗ «Об образовании» и ФЗ «Об охране здоровья».

Итог

Перспективы регулирования ПДн в России в 2027–2028 годах определяются уже принятыми нормами: ФЗ-420 ввёл оборотный штраф, ФЗ-156 обновил требования к согласию, ФЗ-572 выстроил инфраструктуру биометрии. Следующий цикл добавит автоматизированные решения, расширит ответственность обработчиков и, вероятно, введёт обязательную отчётность о состоянии защиты ПДн. Для юриста, сопровождающего оператора, это означает одно: комплаенс по 152-ФЗ перестал быть разовым проектом и превратился в непрерывный процесс с ежегодными циклами актуализации.

Практика DATUM охватывает полный цикл сопровождения операторов — от первичного аудита по 38 пунктам до представления интересов в РКН и арбитраже. Мы фиксируем изменения нормативной базы в режиме реального времени и включаем их в актуализацию ОРД клиентов без дополнительных запросов.

Смотрите также

ИБ
Игорь Беляев
Партнёр · РКН и арбитраж
Партнёр практики DATUM по взаимодействию с Роскомнадзором и арбитражной защите. Специализация — уведомления и проверки РКН, обжалование протоколов по ст. 13.11 КоАП, оборотные штрафы с 30.05.2025, подсудность мировым судьям после ФЗ-508 от 28.12.2025.