аналитика 14 октября 2026 По состоянию на 14 октября 2026

Закон о персональных данных 2026: полный гид по 152-ФЗ

Федеральный закон № 152-ФЗ «О персональных данных» — основной регуляторный документ для любой компании, которая собирает, хранит или передаёт сведения о людях.

С 30 мая 2025 года действует новая редакция ст. 13.11 КоАП: штраф за повторную утечку — от 1 до 3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽. Параллельно с 11 декабря 2024 года введена уголовная ответственность по ст. 272.1 УК — до 10 лет лишения свободы.

Если вы CEO и не уверены, что компания соответствует 152-ФЗ в редакции 2025–2026 годов, — этот гид даст системную картину требований и рисков. → Читайте дальше или сразу закажите аудит.

В 2026 году закон о персональных данных — это уже не формальный документооборот, а источник реального финансового риска для CEO. За 2024 год РКН зафиксировал более 135 случаев компрометации баз данных и свыше 710 млн утёкших записей. Практика назначения оборотных штрафов по ч. 15 ст. 13.11 КоАП только формируется, однако минимальный порог в 20 млн ₽ делает любую повторную утечку угрозой для бюджета компании. Ниже — разбор ключевых норм, принципов и изменений, которые нужно знать в 2026 году.

Что такое персональные данные по ст. 3 152-ФЗ и кто за них отвечает?

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу (субъекту ПДн). Это понятие из ст. 3 ФЗ-152 охватывает не только паспортные данные и телефоны, но и cookies, IP-адреса, идентификаторы устройств — если через них можно установить личность конкретного человека.

Оператор ПДн — государственный или муниципальный орган, юридическое лицо или физическое лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки персональных данных. Если компания собирает анкеты клиентов, ведёт кадровый учёт или использует CRM с контактами — она является оператором и несёт всю полноту ответственности по 152-ФЗ.

Обработка ПДн включает любое действие или совокупность действий с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Важно: даже простое хранение базы клиентов в Excel — это обработка, требующая соблюдения всех требований закона.

«Ст. 3 ФЗ-152 определяет оператора как лицо, самостоятельно или совместно с другими организующее и осуществляющее обработку ПДн, а также определяющее её цели и состав.»

Отдельно закон выделяет лицо, осуществляющее обработку по поручению оператора, — это контрагент (подрядчик, облачный провайдер, аутсорсер), которому оператор передаёт данные для конкретных задач. Ключевой момент: ответственность перед субъектом и РКН при этом остаётся у оператора. Подрядчик утечёт — штраф получит ваша компания.

Какие принципы обработки ПДн устанавливает ст. 5 152-ФЗ?

Статья 5 ФЗ-152 закрепляет семь принципов, нарушение любого из которых — самостоятельное основание для штрафа по ст. 13.11 КоАП.

Законность и справедливость. Обработка должна иметь правовое основание. Нельзя собирать данные «на всякий случай» без чёткой цели и документального оформления.

Конкретность целей. Цели обработки определяются до начала сбора данных и фиксируются в документах. Нельзя использовать данные, собранные для одной цели, для другой несовместимой цели.

Недопустимость объединения баз. Запрещено объединять базы, созданные для несовместимых целей. Клиентская база маркетинга и база кадрового учёта не могут быть слиты в единый датасет без отдельного правового основания.

Соответствие объёма целям. Состав и объём данных должны соответствовать заявленным целям. Если цель — доставка товара, нет основания собирать дату рождения или СНИЛС клиента.

Точность и достаточность. Данные должны быть точными, достаточными и актуальными. Устаревшие, неточные сведения подлежат уточнению или удалению.

Ограничение срока хранения. ПДн хранятся не дольше, чем это необходимо для достижения целей обработки. Как только цель достигнута — данные подлежат уничтожению или обезличиванию.

Защита данных. Оператор обязан принимать организационные и технические меры для защиты ПДн от несанкционированного доступа, уничтожения, изменения и распространения.

Компания работает с ПДн, но документальное оформление не проверялось годами?

Среднестатистический аудит выявляет 12–18 нарушений принципов ст. 5 ФЗ-152 только на уровне локальных актов. Каждое нарушение — отдельный состав по ст. 13.11 КоАП. Штраф по ч. 1 — от 150 000 до 300 000 ₽ за каждый эпизод. Сумма нарастает быстро. Юристы DATUM проведут аудит соответствия по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

На каком основании можно обрабатывать персональные данные?

Статья 6 ФЗ-152 устанавливает 11 правовых оснований для обработки ПДн. На практике бизнес чаще всего использует три из них.

Согласие субъекта (п. 1 ч. 1 ст. 6 ФЗ-152). Наиболее распространённое основание. С 1 сентября 2025 года согласие должно быть оформлено отдельным документом — это требование ФЗ-156 от 24 июня 2025 года. Согласие нельзя включить в договор, оферту или политику конфиденциальности. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО и контакты субъекта, наименование оператора, цель обработки, перечень данных, перечень действий, срок действия и способ отзыва.

Исполнение договора (п. 5 ч. 1 ст. 6 ФЗ-152). Если субъект является стороной договора или выгодоприобретателем — оператор вправе обрабатывать данные, необходимые для исполнения этого договора, без отдельного согласия. Ключевое слово: «необходимые». Данные сверх того, что нужно для договора, этим основанием не покрываются.

Исполнение обязанностей оператора (п. 2 ч. 1 ст. 6 ФЗ-152). Обработка предусмотрена федеральным законом. Это основание для обработки данных работников в рамках ТК РФ, налоговой отчётности, воинского учёта и других обязательных процедур.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку ПДн — отдельный документ. Объединение с договором, офертой или политикой конфиденциальности не допускается с 01.09.2025.»

Если компания работает по основанию «согласие», а согласие составлено до 1 сентября 2025 года по старой форме — оно не требует немедленного переоформления. Обратной силы ФЗ-156 не имеет. Но новые согласия, получаемые с 1 сентября 2025 года, обязаны соответствовать новым требованиям. Проверьте, какие формы сейчас в ходу: если согласие вшито в договор или согласие пользователя на сайте получается через «галочку» об акцепте оферты — нарушение уже есть.

Какие категории ПДн требуют особой защиты?

Закон разграничивает три уровня чувствительности данных, и от этого зависит как набор мер защиты, так и размер штрафа при утечке.

Специальные категории (ст. 10 ФЗ-152). Расовая и национальная принадлежность, политические взгляды, религиозные и философские убеждения, состояние здоровья, интимная жизнь, судимость. Обработка по общему правилу запрещена — разрешена лишь при наличии оснований из исчерпывающего перечня п. 2 ст. 10. Для медицинских организаций это основная рабочая категория: диагнозы, медкарты, результаты анализов — всё это специальные ПДн.

Биометрические ПДн (ст. 11 ФЗ-152). Физиологические и биологические характеристики, по которым можно установить личность: изображение лица, голос, отпечатки пальцев, рисунок радужки, ДНК. Обработка — только с письменного согласия. С 1 июня 2023 года хранение исходной биометрии вне Единой биометрической системы (ФЗ-572) ограничено. Штраф за нарушение — от 15 до 20 млн ₽ по ч. 17 ст. 13.11 КоАП.

Общедоступные и иные ПДн. Базовый уровень — имена, контакты, адреса, профессиональная информация. Обрабатываются при наличии правового основания из ст. 6 ФЗ-152. При утечке свыше 100 000 субъектов — штраф от 10 до 15 млн ₽ по ч. 14 ст. 13.11 КоАП.

Что изменилось в 152-ФЗ в 2024–2025 годах?

За два года законодательство о ПДн претерпело наибольшие изменения со времени принятия закона в 2006 году. Ниже — ключевые нормы, которые непосредственно влияют на риски компании.

ФЗ-420 от 30 ноября 2024 года (действует с 30 мая 2025). Статья 13.11 КоАП расширена с 7 до 18 частей. Введён оборотный штраф по ч. 15: за повторную утечку — 1–3% совокупной годовой выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽. Для компании с выручкой 1 млрд ₽ минимальный оборотный штраф при повторности — 20 млн ₽. При выручке 5 млрд ₽ — уже 50–150 млн ₽.

ФЗ-421 от 30 ноября 2024 года (действует с 11 декабря 2024). В Уголовный кодекс введена ст. 272.1 — незаконное использование, передача, сбор или хранение компьютерной информации, содержащей ПДн. По ч. 5 (тяжкие последствия) — лишение свободы до 10 лет. Уголовная ответственность распространяется на конкретных исполнителей: IT-директора, системного администратора, сотрудника, допустившего утечку.

ФЗ-156 от 24 июня 2025 года (действует с 1 сентября 2025). Согласие на обработку ПДн — обязательно отдельный документ. Нарушение формы согласия — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за каждый случай.

Реагирование на утечки (ч. 3.1 ст. 21 ФЗ-152 + Приказ РКН №187). При обнаружении инцидента оператор обязан направить первичное уведомление в РКН в течение 24 часов. Через 72 часа — отчёт о результатах внутреннего расследования. Неуведомление — штраф от 1 до 3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Если вы CEO и компания обрабатывает данные тысяч клиентов — у вас есть 24 часа на уведомление РКН после обнаружения утечки. Срок не восстанавливается. Пропущенный дедлайн — отдельный штраф 1–3 млн ₽ поверх штрафа за саму утечку.

Заказать аудит 152-ФЗ

Какие обязанности оператора закреплены в ст. 18.1 и 22 152-ФЗ?

Помимо требований к обработке, закон устанавливает организационные обязанности, за неисполнение которых штрафуют отдельно.

Уведомление РКН (ст. 22 ФЗ-152). До начала обработки ПДн оператор обязан уведомить Роскомнадзор. Форма подаётся через портал pd.rkn.gov.ru. Срок включения в реестр операторов — до 30 дней. Обработка без уведомления или без своевременного обновления сведений — штраф от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

Меры обеспечения (ст. 18.1 ФЗ-152). Оператор обязан принять комплекс мер: назначить ответственного за организацию обработки (ст. 22.1), разработать и опубликовать политику обработки ПДн, принять локальные акты, ознакомить работников, провести оценку вреда субъектам. Отсутствие политики на сайте — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.

Технические меры (ст. 19 ФЗ-152). Конкретный набор определяется уровнем защищённости информационной системы (УЗ-1 до УЗ-4 по ПП РФ №1119 от 01.11.2012) и мерами из Приказа ФСТЭК №21 от 18.02.2013. Уровень зависит от категории ПДн, типа угроз и числа субъектов: при общих данных свыше 100 000 человек применяется УЗ-3.

Локализация (ч. 5 ст. 18 ФЗ-152). Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн российских граждан должны осуществляться в базах данных на территории России. За нарушение — штраф от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторном нарушении — от 6 до 18 млн ₽.

Что подготовить для базового соответствия 152-ФЗ

Уведомление в реестре операторов РКН — проверить актуальность и полноту сведений на pd.rkn.gov.ru
Политика обработки ПДн, опубликованная на сайте компании, с реквизитами по ч. 2 ст. 18.1 ФЗ-152
Отдельные согласия субъектов по новым требованиям ст. 9 ФЗ-152 (в редакции ФЗ-156 с 01.09.2025)
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152
Регламент реагирования на инциденты с ПДн с процедурой 24-часового уведомления РКН

Типовые ситуации: как закон работает на практике

Ситуация 1. Компания не подавала уведомление в РКН, но обрабатывает данные клиентов. Отсутствие в реестре операторов — нарушение ч. 1 ст. 22 ФЗ-152. РКН проверяет реестр по собственным индикаторам риска: наличие сайта с формой сбора данных без записи в реестре — повод для внеплановой проверки. Последствие — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Решение: подать уведомление до проверки. Уведомление после получения предписания не снимает штраф, но учитывается судом как смягчающее обстоятельство.

Ситуация 2. Утечка данных через подрядчика. IT-компания Сибирского федерального округа (осень 2025 года) передала базу клиентов на обработку маркетинговому агентству без заключения договора поручения обработки ПДн по п. 3 ст. 6 ФЗ-152. В результате инцидента у агентства утекло около 15 000 записей клиентов. Штраф предъявлен оператору — компании-заказчику — по ч. 12 ст. 13.11 КоАП (утечка 1 000–10 000 субъектов — 3–5 млн ₽). Наличие договора поручения не освобождает оператора от ответственности, но существенно влияет на позицию при обжаловании: без договора аргументов для смягчения практически нет.

Ситуация 3. Согласия работников вшиты в трудовой договор. Промышленное предприятие Уральского федерального округа (начало 2026 года) проверяется РКН по жалобе уволенного сотрудника. В ходе проверки выявлено: согласие на обработку ПДн работника включено в текст трудового договора. Нарушение — ч. 2 ст. 13.11 КоАП (обработка без согласия надлежащей формы) — штраф 300 000–700 000 ₽. С 1 сентября 2025 года требование об отдельном согласии стало императивным. Отдел кадров, не переоформивший форму — источник регуляторного риска для всей компании.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 обработка — это любое действие или совокупность действий с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение. Обработка охватывает как автоматизированные, так и неавтоматизированные способы. Простое хранение файла с контактами сотрудников или клиентов — уже обработка, требующая соблюдения всех требований закона.

2. На основании чего можно обрабатывать ПДн?

Статья 6 ФЗ-152 содержит 11 оснований. На практике наиболее распространены три: согласие субъекта (п. 1), исполнение договора с субъектом (п. 5) и исполнение законодательно установленных обязанностей оператора (п. 2). С 1 сентября 2025 года согласие как основание требует отдельного документа по ст. 9 ФЗ-152 в редакции ФЗ-156 — не галочки в договоре и не пункта в оферте. Выбор основания определяет весь дальнейший документооборот.

3. Что грозит за нарушение 152-ФЗ?

С 30 мая 2025 года статья 13.11 КоАП содержит 18 частей с диапазонами штрафов для юридических лиц от 30 000 ₽ (ч. 3, отсутствие политики) до 500 млн ₽ (ч. 15, оборотный штраф при повторной утечке). За утечку свыше 100 000 субъектов — от 10 до 15 млн ₽ по ч. 14. При повторности — 1–3% годовой выручки, минимум 20 млн ₽. С 11 декабря 2024 года дополнительно действует уголовная ответственность по ст. 272.1 УК — до 10 лет лишения свободы по ч. 5.

4. Нужно ли уведомлять РКН малому бизнесу?

Да, если компания обрабатывает ПДн и не подпадает под исключения ч. 2 ст. 22 ФЗ-152. Исключения касаются строго ограниченных случаев: обработка только в рамках трудовых отношений, данные членов общественных объединений и ряд других. Интернет-магазин, сервисная компания или работодатель с CRM под исключения, как правило, не попадают. Штраф за работу без уведомления — от 100 000 до 300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

Для несовершеннолетних до 18 лет согласие даёт законный представитель — родитель или опекун. Это требование прямо следует из ст. 9 ФЗ-152, поскольку самостоятельная дееспособность наступает с 18 лет. Для образовательных и медицинских организаций это критичный момент: обрабатывать данные ребёнка без согласия родителя нельзя. Форма согласия должна содержать данные представителя, а не только ребёнка.

Итог

Закон о персональных данных в редакции 2025–2026 годов — это три уровня ответственности одновременно: административные штрафы до 500 млн ₽, уголовная ответственность до 10 лет лишения свободы и репутационные потери при публичной утечке. Для CEO критически важно понимать: требования 152-ФЗ предъявляются не к IT-департаменту в отдельности, а к компании как оператору ПДн в целом.

DATUM сопровождает операторов ПДн в части соответствия 152-ФЗ: аудит, разработка ОРД, DPO-аутсорсинг, подготовка к проверкам РКН и защита в арбитраже по ст. 13.11 КоАП. Практика ведётся с 2014 года в рамках сети «Ветров и партнёры».

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по чек-листу 38 пунктов, приоритизированный план устранения
Комплект ОРД под ключ — полный пакет организационно-распорядительной документации
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонентском обслуживании

АС

Анна Соколова

Партнёр · ПДн в HR

Партнёр практики DATUM. Специализация — согласия работников по ст. 9 152-ФЗ в редакции с 01.09.2025 (ФЗ-156), КЭДО, биометрия в СКУД, сопровождение проверок РКН в HR-департаментах.

14 октября 2026 года