Базовый минимум защиты против многомиллионных потерь: почему формальный подход к 152-ФЗ в 2026 году обходится бизнесу непомерно дорого

Базовый минимум защиты против многомиллионных потерь: почему формальный подход к 152-ФЗ в 2026 году обходится бизнесу непомерно дорого

Изображение: recraft

В первом полугодии 2026 года изменений, меняющих правила игры, в основополагающий Федеральный закон № 152-ФЗ «О персональных данных» законодатель не вносил. Однако ситуацию меняет правоприменительная практика, точечные поправки в КоАП РФ и принятие новых подзаконных актов, которые де-факто подталкивают бизнес менять подход к работе с персональными данными в 2026 году.

Главная тенденция, которая наблюдается на 2026 год – компании уходят от формального получения согласий и готовят реальный подход к защите данных. Компании серьезнее относятся к рискам утечки и неправомерной передачи персональных данных.

Всё дело в том, что теперь закрепились оборотные штрафы и уголовная ответственность за утечки (Федеральный закон от 30.11.2024 № 420-ФЗ и Федеральный закон от 30.11.2024 № 421-ФЗ).

Хотя законы были приняты в конце 2024 года, их правоприменение в полную силу началось именно в 2025–2026 годах.

Что изменилось: ответственность за утечку баз данных теперь напрямую зависит от объема скомпрометированных записей и совершения повторного нарушения (если ранее лицо было привлечено к ответственности), а в уголовном законодательстве (ст. 272.1 УК РФ) за незаконное использование и оборот конфиденциальной информации с ПДн установлена мера ответственности вплоть до 10 лет лишения свободы.

Также наблюдается ужесточение трансграничной передачи. Ранее любой оператор был обязан уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до её начала. Режим передачи зависел от страны получателя. Приказом Роскомнадзора от 05.08.2022 № 128 был установлен перечень стран, обеспечивающих адекватную защиту персональных данных.

Однако в Российском законодательстве стремительно продолжается курс на локализацию данных. В 2026 году планируется расширение перечня «недружественных» юрисдикций, куда запрещена передача данных без предварительного получения заключения Роскомнадзора о правовом режиме и разрешения на передачу.

8 июля 2026 года в третьем чтении Госдумой принят законопроект, меняющий условия включения иностранных государств в перечень стран, обеспечивающих адекватную защиту прав субъектов персональных данных.

Если раньше можно было передать данные за рубеж после простого уведомления РКН и получения ответа, то теперь, согласно актуальной правоприменительной практике, отсутствие прямого запрета не считается разрешением. Бизнес обязан убедиться, что в стране-получателе обеспечена «реальная адекватная защита» на уровне не ниже российского.

Что же сейчас срочно сделать бизнесу? Базовый минимум.

• Сейчас практически каждый бизнес в той или иной части обрабатывает персональные данные субъектов, как минимум такую категорию субъектов персональных данных, как «работники».

Определите в компании, в каком объеме обрабатываются персональные данные, каких категорий субъектов персональных данных и в каких целях происходит обработка. Подайте уведомление в Роскомнадзор перед началом обработки ПДн. После подачи Роскомнадзор внесёт сведения о вашем бизнесе как об операторе в реестр операторов обработки ПДн. Не забывайте подавать сведения об изменениях в Роскомнадзор, если объем обрабатываемых ПДн, категорий субъектов и целей меняется или ваш бизнес начал производить трансграничную передачу.

• Проведите инвентаризацию и аудит по собранным и собираемым согласиям на обработку ПДн.

Проверьте все формы согласий (на обработку, рекламную рассылку, сбор куки-файлов) на сайте и в офлайн-формате. Уберите «предустановленные» галочки с форм, в общем доступе опубликуйте политику обработки персональных данных. Важно, чтобы согласия были информативные и не содержали процессов, которые не работают в вашем бизнесе.

Если вы передаете ПДн третьим лицам, важно указывать, каким именно лицам и в каком объеме персональные данные передаются.

Не забывайте про важный момент – всё, что у вас обрабатывается в компании должно совпадать с поданным уведомлением в Роскомнадзор об обработке персональных данных. Таким образом, содержание согласий на обработку персональных данных должно четко совпадать с объемом сведений и целями обработки из уведомления, поданного в Роскомнадзор.

• Проверьте, есть ли у вас процессы, связанные с трансграничной передачей.

Проверьте, куда уходят данные ваших сотрудников и клиентов. Возможно, вы используется метрические зарубежные системы на своем сайте или передаете данные партнерам за рубежом или используется чат-боты в зарубежных мессенджерах. Технически данные уходят на серверы за пределы РФ.

Особое внимание стоит сейчас обратить — есть ли на вашем сайте авторизация через иностранную почту или зарубежные системы. Ведь помимо того, что это будет считаться трансграничной передачей, после вступления в силу законопроекта, принятого Госдумой, бизнес может получить штраф до 700 тысяч рублей за использование данных способов авторизации. Поэтому уже сейчас на своем сайте необходимо изменить способы авторизации, используя отечественные инструменты и ресурсы.

Если же процессы, связанные с передачей ПДн за пределы РФ являются неотъемлемыми для вашего бизнеса, в первую очередь необходимо подать уведомление о намерении осуществлять трансграничную передачу ПД и дождаться соответствующего разрешения от Роскомнадзора.

Если же данные процессы не являются важными для бизнеса, то необходимо немедленно прекратить использование зарубежных инструментов, которые собирают и обрабатывают ПДн субъектов и найти отечественные аналоги.

• Не забывайте, что Роскомнадзор не только надзорный орган.

Роскомнадзор, так же, как и ваш бизнес, заинтересован в том, чтобы обеспечить защиту ПДн и соблюдение действующего законодательства. Вы всегда можете позвонить на горячую линию Роскомнадзора или посетить дни открытых дверей Роскомнадзора, где сможете получить консультацию по вопросу, связанному с защитой и обработкой персональных данных.

И, конечно, не забывайте обращаться за помощью в решении вопроса по правомерной обработке персональных данных к профессиональным консультантам и специалистам. Поскольку не всегда процессы и документы, которые нужны вашему бизнесу, могут быть составлены и работать в соответствии с буквой закона.

Таким образом, в 2026 году уже невозможно «оставаться в стороне» при обработке персональных данных, ведь цена риска выросла с сотен тысяч рублей до десятков миллионов и уголовной ответственности. А при беспечном подходе бизнес рискует получить как большие финансовые потери, так и репутационные, а такая цена не стоит того, чтобы минимально обеспечивать защиту и обработку персональных данных. Уже сейчас Роскомнадзор использует Автоматизированную систему мониторинга персональных данных — бота с элементами искусственного интеллекта, который мониторит сайты и выявляет нарушения в области защиты ПДн. Поэтому важно защитить обрабатываемые ПДн надлежащим образом уже сейчас, а также уберечь свой бизнес от потерь и разбирательств.

Авторы: Полина Иванова, генеральный директор TS Solution, Александра Рыбинец, ведущий юрисконсульт TS Solution

TS Solution
Автор: TS Solution
TS Solution - это группа компаний (системные интеграторы TS Solution и Neptunit; техническая поддержка CP Support; учебный центр NTC; образовательный портал TS University), которая уже более 10 лет обеспечивают безопасность информационных систем персональных данных различного уровня сложности.
Комментарии: