Если Ваша компания нанимает сотрудников, работает с клиентами или просто имеет сайт с формой обратной связи — вы являетесь оператором персональных данных по смыслу Федерального закона № 152-ФЗ «О персональных данных». Закон об обработке персональных данных налагает на Вас обязательные требования по взаимодействию с персональными данными, несоблюдение которых влечёт значительные санкции.
В 2025 году в России произошли масштабные законодательные изменения в сфере защиты персональных данных. Штрафы за нарушение 152-ФЗ выросли в десятки раз, появились новые обязанности, а Роскомнадзор приступил к системным проверкам операторов персональных данных — в том числе малого бизнеса.
В соответствии с положениями Закона № 152-ФЗ бизнес (оператор персональных данных) обязан соблюдать ряд требований при обработке персональных данных:
1. Регистрация в качестве оператора обработки персональных данных в Роскомнадзоре.
Первое и базовое требование закона — уведомить Роскомнадзор о том, что вы обрабатываете персональные данные. Уведомление об обработке персональных данных нужно подать до начала фактической обработки, то есть ещё до того, как вы возьмёте первую анкету клиента или оформите первого сотрудника.
При этом, уведомление — это финальный шаг, а не первый. До его подачи необходимо сформировать внутреннюю документацию, назначить ответственного сотрудника и выстроить систему защиты данных.
Освобождение от уведомления действует только в трёх случаях: если данные обрабатываются исключительно вручную (без ЭВМ), в целях государственной безопасности или транспортной безопасности. Для обычного коммерческого бизнеса таких исключений нет.
С 30 мая 2025 года штрафы за неподачу уведомления для организаций составляют от 100 000 до 300 000 рублей, а для руководителя — от 50 000 до 100 000 рублей.
2. Наличие необходимой внутренней документации.
Наличие правильно оформленных документов по персональным данным — одно из ключевых требований, по которому Роскомнадзор оценивает работу оператора при проверке. В 2026 году проверяются не отдельные бумаги, а целостность и логичность всей системы документооборота в сфере персональных данных.
Обязательный минимум документов включает:
• Политику обработки персональных данных
• Положение об обработке персональных данных (для юридических лиц)
• Приказ о назначении ответственного за организацию обработки данных
• Перечень систем и баз данных, содержащих персональные данные
• Согласия на обработку персональных данных от каждой категории субъектов
• Регламент действий при утечке персональных данных
• Договоры с третьими лицами, по которым передаются персональные данные
Ключевое изменение 2026 года: документы перестали быть «пакетом для проверки». Роскомнадзор сегодня оценивает, отражают ли они реальные бизнес-процессы. Если политика обработки данных написана «под копирку» из интернета и не соответствует тому, что происходит в компании на самом деле — это нарушение, несмотря на наличие такой документации.
3. Получение согласия на обработку персональных данных.
С 1 сентября 2025 года согласие на обработку персональных данных обязано быть отдельным самостоятельным документом. Включать его в текст трудового договора, пользовательского соглашения, анкеты или любого другого документа — запрещено. Требования к согласию на обработку персональных данных теперь строго регламентированы: при этом не нужно переоформлять согласия, полученные иным способом до указанной даты.
Что должно содержать согласие:
• ФИО и адрес субъекта персональных данных
• Наименование и адрес оператора
• Цель обработки персональных данных
• Конкретный перечень данных, на обработку которых даётся согласие
• Срок действия согласия и способ его отзыва
Согласие может быть оформлено на бумаге с личной подписью или в виде электронного документа, подписанного квалифицированной электронной подписью.
Отдельное согласие теперь требуется и для сбора поведенческой аналитики: если ваш сайт отслеживает клики, время просмотра страниц, маршруты пользователей — это тоже обработка персональных данных, требующая самостоятельного согласия.
4. Хранение данных должно осуществляться только на территории РФ.
С 1 июля 2025 года вступила в силу часть 5 статьи 18 152-ФЗ о локализации баз данных. Согласно закону первичный сбор, запись и хранение персональных данных российских граждан должны осуществляться на серверах, расположенных на территории Российской Федерации.
На практике требование о локализации персональных данных означает необходимость аудита всех используемых технических решений и их замены на отечественные аналоги или сертифицированные российские облачные сервисы. Бизнес, продолжающий использовать запрещённые инструменты, рискует штрафами и предписаниями Роскомнадзора.
5. Осуществление защиты персональных данных.
152-ФЗ обязывает операторов принимать организационные и технические меры для защиты персональных данных. Безопасность персональных данных должна обеспечиваться на всех этапах их обработки.
К таким мерам относятся:
• разграничение доступа сотрудников;
• использование систем защиты информации;
• шифрование данных;
• резервное копирование;
• контроль доступа к информационным системам.
В 2026 году особое внимание при проверках уделяется готовности компании реагировать на утечку персональных данных и осуществлению их качественной защиты.
Практический чек-лист для бизнеса
Ниже — перечень действий, которые необходимо выполнить, чтобы привести работу с персональными данными в соответствие с требованиями 152-ФЗ в 2026 году.
Это минимальный стандарт соответствия закону о персональных данных для любого бизнеса.
• Проведите аудит персональных данных: определите, где и какие персональные данные обрабатываются в вашей компании.
• Зарегистрируйтесь в реестре операторов: подайте уведомление в Роскомнадзор (если ещё не сделали этого).
• Оформите документацию: разработайте политику обработки персональных данных, положения, приказы, регламенты.
• Переведите согласия в отдельные документы: уберите пункты о согласии из договоров и соглашений.
• Проверьте сайт: откажитесь от запрещённых иностранных сервисов, настройте корректный сбор согласий на cookies.
• Убедитесь в локализации данных: все персональные данные граждан РФ должны первично храниться на российских серверах.
• Назначьте ответственного: выделите сотрудника, отвечающего за соблюдение требований 152-ФЗ.
• Разработайте план реагирования на утечки: пропишите алгоритм действий с соблюдением сроков.
• Введите журнал обращений субъектов персональных данных: фиксируйте все запросы граждан на доступ, исправление или удаление их данных.
• Проверьте договоры с подрядчиками: если вы передаёте данные третьим лицам (например, колл-центру или облачному сервису), в договоре должны быть прописаны обязательства по защите передаваемых данных.
Заключение
В 2026 году требования закона о персональных данных стали значительно строже. Законодательство требует от бизнеса не только формального наличия документов и регламентов, но и полноценной системы управления и взаимодействия с персональными данными. Соответствие требованиям 152-ФЗ — это не разовая задача, а непрерывный процесс.
Рекомендация: если вы ещё не проводили аудит соответствия требованиям 152-ФЗ о персональных данных, начните с него. Стоимость превентивной работы несопоставимо меньше возможных штрафов за нарушение закона о персональных данных и репутационных потерь от утечки данных.
«Юридическая компания «ЮЭСКОМ» может оказать Вам такие услуги качественно и своевременно, дабы избежать возможных нарушений и штрафов.
Автор: Владимир Царев
