Кибероснова | 152-ФЗ — документы по защите персональных данных

Изменения 152-ФЗ в 2026: что нужно знать

16 февраля 2026 г.8 мин чтения

Федеральный закон № 152-ФЗ «О персональных данных» за последние два года претерпел самые масштабные изменения с момента принятия в 2006 году. Оборотные штрафы, обязательное уведомление об инцидентах за 24 часа, новые правила трансграничной передачи — всё это уже действует и затрагивает каждую организацию, которая работает с персональными данными. В этой статье собрали полный обзор всех изменений и пошаговый план действий.

Если раньше защита персональных данных воспринималась многими компаниями как формальность, то в 2026 году штрафы за нарушения выросли настолько, что игнорировать требования 152-ФЗ стало по-настоящему опасно для бизнеса.

Таймлайн изменений 152-ФЗ в 2024–2026

Изменения вносились несколькими федеральными законами и вступали в силу поэтапно. Вот хронология ключевых событий:

2024 год

1 марта 2024 — вступили в силу изменения в порядок уведомления Роскомнадзора об обработке персональных данных. Расширен перечень сведений, которые оператор обязан указывать в уведомлении: теперь необходимо описывать категории субъектов, правовые основания обработки каждой категории данных, сведения о трансграничной передаче и информацию об используемых средствах защиты.

1 сентября 2024 — ужесточены требования к содержанию согласия на обработку персональных данных. Введён запрет на объединение согласия на обработку ПДн с другими документами (договорами, офертами, пользовательскими соглашениями). Каждое согласие должно быть отдельным документом с конкретной целью обработки.

30 ноября 2024 — подписан Федеральный закон № 420-ФЗ, вводящий оборотные штрафы за утечки персональных данных. Закон предусматривает поэтапное вступление в силу новых санкций.

2025 год

1 марта 2025 — вступили в силу новые правила трансграничной передачи персональных данных. Передача данных в страны, не обеспечивающие адекватную защиту, теперь требует предварительного уведомления Роскомнадзора и получения специального разрешения.

30 мая 2025 — начали действовать повышенные фиксированные штрафы за утечки персональных данных. Штрафы для юридических лиц выросли до 3–15 млн рублей в зависимости от объёма утечки (ранее максимум составлял 300 тыс. рублей).

1 сентября 2025 — введена обязанность уведомлять Роскомнадзор об инцидентах безопасности персональных данных в течение 24 часов с момента обнаружения. Ранее конкретные сроки уведомления не были установлены.

30 ноября 2025 — вступили в силу оборотные штрафы за повторные утечки: от 1% до 3% годовой выручки (минимум 15 млн, максимум 500 млн рублей).

2026 год

С 1 января 2026 — все изменения действуют в полном объёме. Роскомнадзор активно проводит проверки соблюдения новых требований. Компании, не обновившие документы и процессы, рискуют получить штрафы по новым, значительно увеличенным ставкам.

Оборотные штрафы за утечку данных

Самое резонансное изменение — введение оборотных штрафов за повторные утечки персональных данных. Это принципиально новый подход к ответственности: размер штрафа привязан к финансовым показателям компании.

Как это работает

Система двухуровневая:

  1. Первая утечка — фиксированный штраф от 3 до 15 млн рублей для юридических лиц (в зависимости от объёма скомпрометированных данных)
  2. Повторная утечка — оборотный штраф от 1% до 3% годовой выручки (минимум 15 млн, максимум 500 млн рублей)

Для компании с выручкой 1 млрд рублей повторная утечка означает штраф от 15 до 30 млн рублей. Подробный разбор с формулами расчёта и примерами — в нашей статье «Оборотные штрафы за утечку ПДн: сколько и за что».

Смягчающие обстоятельства

Законодатель предусмотрел стимулы для добросовестных операторов. Размер штрафа может быть снижен, если компания:

  • Тратит на информационную безопасность не менее 0,1% от выручки на протяжении трёх лет
  • Использует сертифицированные средства защиты информации
  • Уведомила Роскомнадзор об инциденте в течение 24 часов
  • Полностью содействовала расследованию
  • Самостоятельно обнаружила и локализовала инцидент

Новые требования к уведомлению в Роскомнадзор

С 1 марта 2024 года существенно расширен перечень сведений, которые оператор обязан включать в уведомление об обработке персональных данных (статья 22 152-ФЗ).

Что добавилось в уведомление

Помимо ранее требовавшихся сведений, теперь необходимо указывать:

  • Категории субъектов персональных данных (сотрудники, клиенты, контрагенты и т.д.)
  • Правовые основания обработки для каждой категории данных (согласие, договор, законный интерес, обязанность по закону)
  • Перечень действий с персональными данными (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение)
  • Сведения о трансграничной передаче — страны, основания, категории передаваемых данных
  • Информация о средствах защиты — используемые криптографические и иные средства защиты информации
  • Сведения об ответственном за обработку ПДн — ФИО, должность, контактные данные

Сроки подачи и обновления

Уведомление необходимо подать до начала обработки персональных данных. Если вы уже подавали уведомление ранее, его необходимо обновить, включив все новые обязательные сведения. Срок на актуализацию — 10 рабочих дней с момента изменения сведений.

Подготовить уведомление в соответствии с актуальными требованиями можно через конструктор документов — система автоматически включит все обязательные разделы.

Что грозит за отсутствие или неполноту уведомления

Непредоставление или несвоевременное предоставление уведомления влечёт штраф:

  • Для юридических лиц — от 100 до 300 тыс. рублей
  • Для должностных лиц — от 30 до 50 тыс. рублей

Усиление требований к согласию

Изменения 2024 года существенно ужесточили правила получения согласия на обработку персональных данных. Цель — сделать согласие по-настоящему осознанным, а не формальной галочкой.

Принцип конкретности

Каждое согласие должно быть привязано к конкретной цели обработки. Нельзя получить одно «универсальное» согласие на все случаи жизни. Примеры:

  • Согласие на обработку ПДн для исполнения договора — отдельный документ
  • Согласие на рассылку маркетинговых материалов — отдельный документ
  • Согласие на передачу данных партнёрам — отдельный документ

Запрет на «навязывание»

Теперь прямо запрещено:

  • Включать согласие на обработку ПДн в текст договора, оферты или пользовательского соглашения
  • Обуславливать оказание услуги получением согласия на цели, не связанные с этой услугой
  • Использовать заранее проставленные галочки (чекбоксы) в формах на сайте
  • Формулировать согласие так, что субъект не может понять, на что именно он соглашается

Обязательное содержание согласия

Согласие должно содержать:

  1. ФИО и контактные данные субъекта ПДн
  2. Наименование и адрес оператора
  3. Конкретную цель обработки
  4. Перечень обрабатываемых персональных данных
  5. Перечень действий с данными
  6. Срок действия согласия
  7. Способ отзыва согласия
  8. Подпись субъекта (для письменного согласия)

Если ваши формы согласия не соответствуют новым требованиям, их необходимо обновить. Все актуальные шаблоны доступны в разделе документов по 152-ФЗ.

Уведомление об инцидентах

Одно из самых практически значимых нововведений — обязанность оператора уведомлять Роскомнадзор о любых инцидентах безопасности, связанных с персональными данными.

Что считается инцидентом

Инцидент безопасности персональных данных — это любое событие, повлёкшее:

  • Неправомерный или случайный доступ к персональным данным
  • Уничтожение, изменение, блокирование, копирование персональных данных
  • Неправомерную передачу (распространение, предоставление) персональных данных
  • Иные неправомерные действия в отношении персональных данных

Порядок уведомления: две стадии

Стадия 1 — первичное уведомление (24 часа)

В течение 24 часов с момента обнаружения инцидента оператор обязан направить в Роскомнадзор уведомление, содержащее:

  • Описание характера инцидента
  • Предполагаемые причины
  • Предполагаемый объём скомпрометированных данных
  • Категории затронутых субъектов
  • Предпринятые меры по локализации инцидента
  • Контактное лицо для взаимодействия с РКН

Стадия 2 — результаты расследования (72 часа)

В течение 72 часов с момента обнаружения инцидента оператор обязан направить дополнительное уведомление с:

  • Результатами внутреннего расследования
  • Установленными причинами инцидента
  • Точным объёмом скомпрометированных данных
  • Предпринятыми мерами по минимизации последствий
  • Мерами по предотвращению подобных инцидентов в будущем

Зачем это нужно

Своевременное уведомление — это не только обязанность, но и смягчающее обстоятельство при назначении штрафа. Компании, которые уведомили РКН в срок, могут рассчитывать на снижение размера оборотного штрафа. И наоборот — сокрытие инцидента является отягчающим обстоятельством.

Трансграничная передача данных

С 1 марта 2025 года существенно изменились правила передачи персональных данных за пределы Российской Федерации.

Новая классификация стран

Все страны разделены на три категории:

  1. Страны с адекватной защитой — государства из перечня Роскомнадзора, обеспечивающие надлежащую защиту прав субъектов ПДн. Передача в эти страны осуществляется в общем порядке
  2. Страны с ограничениями — государства, передача данных в которые возможна при соблюдении дополнительных условий (согласие субъекта, договорные гарантии)
  3. Страны, куда передача запрещена — государства, в отношении которых действует запрет на передачу персональных данных

Обязанности оператора при трансграничной передаче

При передаче данных за рубеж оператор обязан:

  • Уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до её начала
  • Указать страны передачи, категории данных и субъектов, цели передачи
  • Обеспечить договорные обязательства получателя по защите данных
  • Прекратить передачу по требованию Роскомнадзора в срок, указанный в требовании

Что это означает для бизнеса

Компании, использующие зарубежные облачные сервисы, CRM-системы, почтовые платформы и аналитические инструменты, обязаны:

  • Провести аудит трансграничных потоков данных
  • Включить сведения о трансграничной передаче в уведомление оператора
  • Получить отдельное согласие субъектов на передачу данных в конкретные страны (если страна не входит в перечень стран с адекватной защитой)
  • При необходимости — перенести хранение и обработку данных на территорию РФ

Что нужно сделать организациям

Чтобы соответствовать всем изменениям 152-ФЗ к 2026 году, организациям необходимо пройти следующий чек-лист:

1. Обновить уведомление оператора в Роскомнадзоре

Проверьте, содержит ли ваше уведомление все обязательные сведения по новым требованиям. Если нет — подайте обновлённое уведомление в течение 10 рабочих дней. Подготовить уведомление по актуальной форме можно через наш конструктор.

2. Пересмотреть все согласия на обработку ПДн

Убедитесь, что каждое согласие:

  • Оформлено отдельным документом
  • Содержит конкретную цель обработки
  • Включает все обязательные реквизиты
  • Не включено в текст договора или оферты

3. Разработать регламент реагирования на инциденты

Создайте внутренний документ, описывающий:

  • Порядок обнаружения и классификации инцидентов
  • Ответственных лиц и их контакты
  • Шаблон уведомления в Роскомнадзор
  • Порядок проведения внутреннего расследования
  • Сроки (24 часа — первичное уведомление, 72 часа — результаты расследования)

4. Провести аудит трансграничных потоков данных

Составьте перечень всех случаев передачи данных за пределы РФ:

  • Облачные сервисы (AWS, Google Cloud, Azure)
  • SaaS-решения (CRM, почтовые рассылки, аналитика)
  • Передача данных в иностранные компании группы
  • Определите, в какие страны передаются данные, и проверьте их статус

5. Обеспечить бюджет на информационную безопасность

Запланируйте расходы на ИБ в размере не менее 0,1% от годовой выручки. Это:

  • Прямое требование для получения смягчающего обстоятельства при расчёте оборотного штрафа
  • Инвестиция в реальную защиту данных
  • Финансирование сертифицированных средств защиты, обучения персонала, регулярных аудитов

Изменения в 152-ФЗ, вступившие в силу в 2024–2026 годах, — самая масштабная реформа законодательства о персональных данных за всю историю закона. Оборотные штрафы сделали последствия нарушений финансово ощутимыми для бизнеса любого масштаба. Но вместе с ужесточением санкций закон предусмотрел и чёткие критерии добросовестности: своевременные уведомления, инвестиции в ИБ, правильно оформленные документы.

Начните с главного — приведите документы в порядок. Конструктор документов по 152-ФЗ поможет подготовить политику обработки ПДн, согласия, уведомление оператора и другие обязательные документы за 15 минут. Это первый и самый важный шаг к соответствию новым требованиям закона.

Мишина Анна

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Ключевые изменения: введение оборотных штрафов за повторные утечки (до 3% годовой выручки), обязательное уведомление РКН об инцидентах в течение 24 часов, ужесточение требований к содержанию согласий на обработку ПДн, новые правила трансграничной передачи данных и расширение перечня обязательных сведений в уведомлении оператора.
Повышенные фиксированные штрафы вступили в силу 30 мая 2025 года, а оборотные штрафы за повторные утечки — 30 ноября 2025 года. С этого момента повторная утечка грозит штрафом от 1% до 3% годовой выручки (минимум 15 млн, максимум 500 млн рублей).
Необходимо: обновить все документы по персональным данным (политику, согласия, уведомления), разработать регламент реагирования на инциденты с уведомлением РКН за 24 часа, пересмотреть основания трансграничной передачи данных, обеспечить расходы на ИБ не менее 0,1% от выручки и провести аудит системы защиты ПДн.
Да, требования существенно ужесточились. Теперь согласие должно быть конкретным (отдельное согласие на каждую цель), информированным (субъект должен понимать, какие данные и зачем обрабатываются), и однозначным. Запрещено объединять согласие на обработку ПДн с другими согласиями и условиями в одном документе.

Оформите документы по 152-ФЗ за 5 минут

Конструктор создаст полный пакет документов под вашу организацию. Соответствие закону, актуальные формы, понятные шаблоны.

Создать документВсе документы

Связанные материалы

Все штрафы за персональные данныеОборотные штрафы за утечку ПДнДокументы по 152-ФЗКонструктор документов по 152-ФЗ