Персональные данные: полный гайд на 2026 год

Рассказываем, как компании правильно обрабатывать персональные данные в 2026 году: какие документы нужны, как защитить сведения о сотрудниках и клиентах, когда уведомлять Роскомнадзор и за что сегодня штрафуют на миллионы.

Какие данные считаются персональными

Персональные данные (ПДн) — это любая информация, по которой можно идентифицировать физлицо (ст.3 ФЗ от 27.07.2006 №152-ФЗ). Например, просто фамилия — это еще не ПДн, а вот ФИО и номер телефона — уже ПДн. 

На практике ПДн принято делить на несколько категорий. 

1. Общие: например, ФИО, дата рождения, адрес, номер телефона и т.д.
2. Специальные: сведения о нацпринадлежности, политических взглядах и иная информация, указанная в ст.10 ФЗ №152-ФЗ. 
3. Биометрия: изображение лица, отпечатки пальцев и иные ПДн, которые используются для идентификации.
4. Другие категории: например, персональные электронные данные, которые собирают сайты и приложения, и т.д. 

Соблюдать ФЗ №152-ФЗ должны все операторы

Причем форма ведения бизнеса и масштаб роли не играют.

К таким операторам относятся, в частности:

1. онлайн-магазины и маркетплейсы;
2. муниципальные и частные школы, детские сады;
3. промышленные и производственные предприятия;
4. медицинские клиники и лаборатории;
5. банки и финансовые сервисы;
6. сервисные компании и подрядчики;
7. работодатели любого масштаба — даже ИП без сотрудников. 

Что обязан сделать оператор в 2026 году

Разработать пакет документов

В 2026 году нельзя работать с ПДн без правильно оформленных документов. Универсального списка не существует: у небольшого онлайн-сервиса и у крупного производственного предприятия требования будут разными. На практике пакет документов по персональным данным может включать до 60–70 позиций — все зависит от объема обработки, числа сотрудников, категорий данных и используемых информационных систем.

Документы условно делят на несколько блоков, которые регулируют отдельные аспекты.

1. Обработку ПДн. Это базовый набор. По нему можно понять, какие данные вы собираете, для каких целей, как защищаете. Например, это Политика обработки ПДн, положения и т.д. 
2. Доступ и ответственность. Важно не только описать процесс работы с ПДн, но и зафиксировать, кто именно имеет право работать с ними. Обычно сюда входят должностные инструкции работников, регламенты, соглашения о неразглашении и т.д. 
3. Жизненный цикл ПДн. Оператор должен не только получать согласие тогда, когда оно требуется, но и уметь подтвердить, что оно взято по всем правилам. Понадобятся формы согласий, шаблон акта об уничтожении ПДн, регламенты хранения и т.д. 
4. Защиту. Этот блок подтверждает, что оператор принял реальные меры для защиты данных. В него входит перечень ИСПДн, модель угроз, план мероприятий по обеспечению защиты, акты классификации ИСПДн и т.д. 
5. Иные локальные акты. Они подтверждают, что оператор выстроил систему работы с ПДн в соответствии с ФЗ №152-ФЗ: приказы, правила, журналы, инструкции и т.д. 

Подпись: Так выглядит пакет документов по ПДн

Альт: Документы по ПДн

Подать уведомление в Роскомнадзор

Еще до сбора ПДн оператор обязан подать уведомление о начале обработки, чтобы его добавили в реестр операторов. Уведомление подается на официальном сайте Роскомнадзора. По результатам рассмотрения ведомство добавит оператора в реестр в течение 30 календарных дней, проверить это можно также на сайте. 

Уведомление не требуется, если обработка проводится:

1. исключительно без средств автоматизации;
2. в ГИС, созданных для госбезопасности и обеспечения общественного порядка;
3. в целях транспортной безопасности.

Локализовать обработку в РФ

По закону данные россиян должны собираться и храниться внутри страны (части 5 статьи 18 ФЗ № 152-ФЗ). Использовать зарубежные базы на этапе сбора нельзя. То есть вы не можете сразу записывать, хранить или обрабатывать ПДн в иностранных системах, даже если они удобнее или дешевле. 

Что необходимо учитывать:

1. Локализация касается не только хранения, но и всего первичного цикла работы с данными. Если форма на сайте отправляет данные сразу на иностранный сервер, а российская база подключается «потом», это нарушение. 
2. Локализация обязательна для всех способов сбора данных:

1. через сайт и мобильные приложения;
2. через CRM и сервисы учета;
3. при приеме сотрудников на работу;
4. при обработке заявок, обращений, регистраций и подписок.

1. Использование иностранных сервисов не запрещено полностью, но возможно только при соблюдении логики «сначала Россия — потом все остальное». Иностранный сервис может получать данные уже после того, как они были записаны и сохранены в российской базе. Но для этого нужно подать уведомление о намерении осуществлять трансграничную передачу данных. 

Пример:

Интернет-магазин собирает ПДн клиентов через сайт, при этом CRM и база находятся на зарубежном сервере.

В такой ситуации оператор нарушает требования ч. 5 ст. 18 ФЗ №152-ФЗ. Даже если сервер используется только для хранения и данные не передаются третьим лицам, сам факт записи и хранения ПДн за пределами страны при их первичном сборе уже считается нарушением.

Брать отдельные согласия

С 1 сентября 2025 года согласие оформляется отдельным документом. Включать его в договор, как раньше, теперь нельзя. При этом согласие на работу с персональными данными в договоре, подписанном до этой даты, переоформлять не нужно.

При составлении согласия на обработку персональных данных в 2026 году нужно учитывать следующее:

1. Указывайте четкую цель. Она должна быть конкретной: например, «Добровольное медицинское страхование» или «Проведение статистического учета». Общие формулировки лучше не использовать. 
2. Определите перечень ПДн. Не «любые данные», а конкретный набор: например, ФИО, телефон, электронная почта, паспортные данные, ИНН — только то, что реально используется.
3. Пропишите действия с данными. Сбор, запись, систематизация, хранение, уточнение, передача, удаление и т.д. Если предусмотрена передача, укажите, кому именно ПДн будут передаваться и для каких целей.
4. Укажите срок действия согласия. Бессрочные согласия — зона риска. Безопаснее привязывать срок к договору, достижению целей или до отзыва субъектом.
5. Закрепите порядок отзыва согласия. Субъект должен понимать, куда и каким способом он может направить отзыв. Это указывается и в Политике, но лучше продублировать и в согласии. 
6. Сохраните подтверждение согласия. Подпись на бумаге, электронная подпись, галочка с логированием в ИС — оператор должен уметь доказать, что согласие действительно получено.

Обеспечить защиту персональных данных

Под защитой подразумевается комплекс организационных и технических мер, направленных на предотвращение утечек, несанкционированного доступа и других нарушений закона. Рассмотрим более подробно, что сюда входит. 

Организационные меры. Они фиксируют ответственность сотрудников и правила работы с данными:

1. Назначение ответственного за организацию работы с ПДн — лицо, контролирующее соблюдение законодательства и выполнение регламентов, организующее обучение сотрудников правилам работы с ПДн.
2. Разграничение доступа — закрепление прав на доступ к данным по ролям сотрудников. Не каждый работник должен видеть все ПДн: например, кадровику не нужны сведения о клиентах компании, а менеджеру по работе с клиентами — информация о других сотрудниках. 
3. Должностные инструкции и регламенты — подробно описывают обязанности сотрудников, правила работы с данными и порядок действий при инцидентах.
4. Внутренний контроль и аудит — периодические проверки соблюдения правил, оценка рисков и фиксация результатов в журналах. Его рекомендуется проводить не реже одного раза в год. 

Технические меры обеспечивают информационную безопасность персональных данных и предотвращают несанкционированный доступ:

1. Шифрование данных — как при хранении, так и при передаче, включая облачные сервисы и электронную почту.
2. Системы аутентификации и контроля доступа — уникальные учетные записи, сложные пароли, двухфакторная аутентификация.
3. Антивирусная защита и контроль уязвимостей — регулярные обновления, мониторинг потенциальных угроз.
4. Резервное копирование и восстановление данных — дублирование критически важных баз, периодическое тестирование восстановления.
5. Логирование действий пользователей и операций с данными — фиксация, кто и когда изменял, удалял или копировал данные.
6. Обезличивание и блокирование данных — там, где это возможно, сведения, не требующие идентификации, нужно обезличивать или временно блокировать.

Какие изменения вступят в силу в 2026 году

На начало 2026-го конкретные изменения в ФЗ №152-ФЗ продолжают формироваться, но уже известны важные тренды:

1. С 01 марта 2026 года начнет работать реестр центров обработки данных, который будет вести Минцифры. В первую очередь это затрагивает операторов связи, облачных провайдеров и операторов ЦОД..
2. Усиление автоматизированного контроля со стороны Роскомнадзора. Уже сейчас ведомство использует нейросеть (АС МПДн) для мониторинга сайтов. Заявленная точность выявленных нарушений — 84%. Но любые системы имеют свойство совершенствоваться, поэтому проверки будут ужесточаться. 

Полный перечень изменений продолжает обсуждаться экспертным сообществом и законодателями.

Самые масштабные поправки все же были в 2025 году: штрафы за нарушения повысились, операторов обязали брать отдельное согласие на обработку, появились требования к локализации баз с ПДн граждан РФ на территории России. Операторам связи, банкам и иным финансовым учреждениям запретили использовать иностранные мессенджеры для общения с клиентами, а также отправлять СМС с кодом во время телефонного звонка. 

За что и когда могут оштрафовать

Еще с мая 2025 года ответственность за нарушения в сфере персональных данных стала жестче, особенно для ИП и юрлиц. Вы можете убедиться в этом, посмотрев на самые распространенные причины для штрафов:

1. Не оформлено корректное согласие — штраф до 700 000 рублей, повторно — до 1.5 млн рублей (ч.2 и ч.2.1 ст.13.11 КоАП РФ). 
2. Нет Политики обработки ПДн или она есть, но не размещена на сайте — до 60 000 рублей (ч.3 ст.13.11 КоАП РФ).
3. Не соблюдаются требования к локализации баз с ПДн — штраф до 6 млн рублей, повторно — до 18 млн рублей (ч.8 и ч.9 ст.13.11 КоАП РФ).
4. Не уведомили РКН о начале обработки ПДн — штраф до 300 000 рублей, об утечке ПДн — до 3 млн рублей (ч.10 и ч.11 ст.13.11 КоАП РФ). 
5. Утечка ПДн — штраф до 20 млн рублей. При повторной утечке применяются оборотные штрафы — от 1 до 3% годового оборота компании, но не менее 25 млн и не более 500 млн рублей (ч.18 ст.13.11 КоАП РФ). 

Пример:

Организация, предоставляющая услуги, собирала данные клиентов через сайт. Согласие на было включено в текст договора-оферты. Также на сайте не было Политики. В итоге компании пришлось платить сразу два штрафа: первый — 300 000 рублей, второй — 35 000 рублей. 

Подпись: Так выглядит постановление суда о привлечении к ответственности по ст.13.11 КоАП РФ

Альт: Постановление суда о привлечении к ответственности за нарушение ФЗ №152-ФЗ

Полезные советы юриста

В 2026 году операторы при обработке персональных данных должны строить процессы строго по закону, учитывая все требования. Мы подготовили основные правила, которые помогут вам сократить риски:

1. Разделяйте категории данных и меры защиты. Не все данные одинаково чувствительны. Для общих данных (ФИО, телефон и т.д.) достаточно базовой защиты, а для спецкатегорий и биометрии уже нужна усиленная.
2. Используйте системы контроля. Внедрите журналирование действий с данными: кто, когда и какие операции выполнял. Периодически проверяйте соответствие фактических действий утвержденным положениям.
3. Проверяйте работу подрядчиков, которым поручена работа с ПДн. Любой подрядчик, которому передаются данные, должен соблюдать ФЗ №152-ФЗ. Однако перед субъектами в этом случае все равно отвечает оператор.
4. Регулярно обновляйте документы и процедуры. Законы постоянно меняются, появляются новые требования к защите и согласиям. То, что было допустимо еще вчера, сегодня уже может считаться нарушением.