Кибероснова152-ФЗ

Изменения 152-ФЗ в 2026: что нужно знать оператору ПДн

2 сентября 2025 г.8 мин чтения

Федеральный закон № 152-ФЗ «О персональных данных» за последние два года претерпел самые масштабные изменения с момента принятия в 2006 году. Оборотные штрафы, обязательное уведомление об инцидентах за 24 часа, новые правила трансграничной передачи — всё это уже действует и затрагивает каждую организацию, которая работает с персональными данными. В этой статье собрали полный обзор всех изменений и пошаговый план действий.

Если раньше защита персональных данных воспринималась многими компаниями как формальность, то в 2026 году штрафы за нарушения выросли настолько, что игнорировать требования 152-ФЗ стало по-настоящему опасно для бизнеса.

Таймлайн изменений 152-ФЗ в 2024–2026

Изменения вносились несколькими федеральными законами и вступали в силу поэтапно. Вот хронология ключевых событий:

2024 год

1 марта 2024 — вступили в силу изменения в порядок уведомления Роскомнадзора об обработке персональных данных. Расширен перечень сведений, которые оператор обязан указывать в уведомлении: теперь необходимо описывать категории субъектов, правовые основания обработки каждой категории данных, сведения о трансграничной передаче и информацию об используемых средствах защиты.

1 сентября 2024 — ужесточены требования к содержанию согласия на обработку персональных данных. Введён запрет на объединение согласия на обработку ПДн с другими документами (договорами, офертами, пользовательскими соглашениями). Каждое согласие должно быть отдельным документом с конкретной целью обработки.

30 ноября 2024 — подписан Федеральный закон № 420-ФЗ, вводящий оборотные штрафы за утечки персональных данных. Закон предусматривает поэтапное вступление в силу новых санкций.

2025 год

1 марта 2025 — вступили в силу новые правила трансграничной передачи персональных данных. Передача данных в страны, не обеспечивающие адекватную защиту, теперь требует предварительного уведомления Роскомнадзора и получения специального разрешения.

30 мая 2025 — начали действовать повышенные фиксированные штрафы за утечки персональных данных. Штрафы для юридических лиц выросли до 3–15 млн рублей в зависимости от объёма утечки (ранее максимум составлял 300 тыс. рублей).

1 сентября 2025 — введена обязанность уведомлять Роскомнадзор об инцидентах безопасности персональных данных в течение 24 часов с момента обнаружения. Ранее конкретные сроки уведомления не были установлены.

30 ноября 2025 — вступили в силу оборотные штрафы за повторные утечки: от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей).

2026 год

С 1 января 2026 — все изменения действуют в полном объёме. Роскомнадзор активно проводит проверки соблюдения новых требований. Компании, не обновившие документы и процессы, рискуют получить штрафы по новым, значительно увеличенным ставкам.

Оборотные штрафы за утечку данных

Самое резонансное изменение — введение оборотных штрафов за повторные утечки персональных данных. Это принципиально новый подход к ответственности: размер штрафа привязан к финансовым показателям компании.

Как это работает

Система двухуровневая:

  1. Первая утечка — фиксированный штраф от 3 до 15 млн рублей для юридических лиц (в зависимости от объёма скомпрометированных данных)
  2. Повторная утечка — оборотный штраф от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей)

Для компании с выручкой 1 млрд рублей повторная утечка означает штраф от 15 до 30 млн рублей. Подробный разбор с формулами расчёта и примерами — в нашей статье «Оборотные штрафы за утечку ПДн: сколько и за что».

Смягчающие обстоятельства

Законодатель предусмотрел стимулы для добросовестных операторов. Размер штрафа может быть снижен, если компания:

  • Тратит на информационную безопасность не менее 0,1% от выручки на протяжении трёх лет
  • Использует сертифицированные средства защиты информации
  • Уведомила Роскомнадзор об инциденте в течение 24 часов
  • Полностью содействовала расследованию
  • Самостоятельно обнаружила и локализовала инцидент

Уголовная ответственность по ст. 272.1 УК РФ — самое жёсткое изменение

Помимо административных оборотных штрафов, 420-ФЗ от 30.11.2024 ввёл в Уголовный кодекс новую статью — 272.1 «Неправомерное использование персональных данных». Она вступила в силу 30 мая 2025 года и стала первой статьёй УК РФ, специально направленной против инсайдерских утечек и торговли базами данных.

Что наказывается по ст. 272.1 УК РФ

  • Незаконный сбор, передача, распространение или использование ПДн — до 4 лет лишения свободы или штраф до 300 000 ₽
  • Те же действия в крупном размере (свыше 100 000 субъектов) — до 5 лет лишения свободы + штраф до 700 000 ₽
  • С использованием служебного положения или в отношении биометрических ПДн / данных несовершеннолетних — до 8 лет
  • Особо крупный размер (свыше 1 млн субъектов) или с тяжкими последствиями — до 10 лет лишения свободы

Кого это касается

  • Сотрудников, которые копируют клиентские базы (даже после увольнения) — это умысел
  • Системных администраторов и DevOps, которые передают данные третьим лицам
  • Маркетологов, которые покупают или используют чужие базы для рассылок
  • Руководителей, которые лично организовали утечку или препятствовали уведомлению РКН

Компания при этом несёт параллельную административную ответственность по ст. 13.11 КоАП (оборотные штрафы), а конкретные сотрудники — уголовную. Подробнее — на странице уголовная ответственность по 152-ФЗ.

Важно: ст. 272.1 УК РФ применяется только за умышленные действия. Случайные утечки из-за технических ошибок остаются в зоне административной ответственности.

Автомониторинг сайтов «бот РКН» — новая практика контроля

С 2024 года Роскомнадзор активно использует автоматизированные системы мониторинга — собирательно называемые «бот РКН». Это не отдельная программа, а комплекс краулеров и парсеров, которые обходят миллионы сайтов и фиксируют нарушения 152-ФЗ.

Что проверяет автомониторинг

  • Наличие политики обработки ПДн на сайте и её доступность по прямой ссылке
  • Чекбоксы согласия в формах — не предзаполненные ли
  • Cookie-баннер с реальной возможностью отклонить (разъяснения РКН от 01.09.2023)
  • Зарубежные трекеры (Google Analytics, Meta Pixel, reCAPTCHA, Google Fonts)
  • Локализацию серверов хостинга
  • Регистрацию организации в реестре операторов РКН по ИНН

Полный разбор автомониторинга — в статье «Бот Роскомнадзора 2026: что проверяет автомониторинг». Проверить свой сайт по тем же параметрам — бесплатным сканером /audit за 15 секунд.

Новые требования к уведомлению в Роскомнадзор

С 1 марта 2024 года существенно расширен перечень сведений, которые оператор обязан включать в уведомление об обработке персональных данных (статья 22 152-ФЗ).

Что добавилось в уведомление

Помимо ранее требовавшихся сведений, теперь необходимо указывать:

  • Категории субъектов персональных данных (сотрудники, клиенты, контрагенты и т.д.)
  • Правовые основания обработки для каждой категории данных (согласие, договор, законный интерес, обязанность по закону)
  • Перечень действий с персональными данными (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение)
  • Сведения о трансграничной передаче — страны, основания, категории передаваемых данных
  • Информация о средствах защиты — используемые криптографические и иные средства защиты информации
  • Сведения об ответственном за обработку ПДн — ФИО, должность, контактные данные

Сроки подачи и обновления

Уведомление необходимо подать до начала обработки персональных данных. Если вы уже подавали уведомление ранее, его необходимо обновить, включив все новые обязательные сведения. Срок на актуализацию — 10 рабочих дней с момента изменения сведений.

Подготовить уведомление в соответствии с актуальными требованиями можно через конструктор документов — система автоматически включит все обязательные разделы.

Что грозит за отсутствие или неполноту уведомления

Непредоставление или несвоевременное предоставление уведомления по ч. 10 ст. 13.11 КоАП в ред. 420-ФЗ (действует с 30.05.2025):

  • Для юридических лиц — от 100 до 300 тыс. рублей
  • Для должностных лиц — от 30 до 50 тыс. рублей
  • Для ИП — от 30 до 60 тыс. рублей

До 30 мая 2025 года штраф за неуведомление для юрлиц был всего 3–5 тыс. ₽ (по ст. 19.7 КоАП). Рост в 60-100 раз — одно из самых резких изменений 420-ФЗ. Проверить, подавала ли ваша организация уведомление, можно бесплатно по ИНН за 5 секунд.

Усиление требований к согласию

Изменения 2024 года существенно ужесточили правила получения согласия на обработку персональных данных. Цель — сделать согласие по-настоящему осознанным, а не формальной галочкой.

Принцип конкретности

Каждое согласие должно быть привязано к конкретной цели обработки. Нельзя получить одно «универсальное» согласие на все случаи жизни. Примеры:

  • Согласие на обработку ПДн для исполнения договора — отдельный документ
  • Согласие на рассылку маркетинговых материалов — отдельный документ
  • Согласие на передачу данных партнёрам — отдельный документ

Запрет на «навязывание»

Теперь прямо запрещено:

  • Включать согласие на обработку ПДн в текст договора, оферты или пользовательского соглашения
  • Обуславливать оказание услуги получением согласия на цели, не связанные с этой услугой
  • Использовать заранее проставленные галочки (чекбоксы) в формах на сайте
  • Формулировать согласие так, что субъект не может понять, на что именно он соглашается

Обязательное содержание согласия

Согласие должно содержать:

  1. ФИО и контактные данные субъекта ПДн
  2. Наименование и адрес оператора
  3. Конкретную цель обработки
  4. Перечень обрабатываемых персональных данных
  5. Перечень действий с данными
  6. Срок действия согласия
  7. Способ отзыва согласия
  8. Подпись субъекта (для письменного согласия)

Если ваши формы согласия не соответствуют новым требованиям, их необходимо обновить. Все актуальные шаблоны доступны в разделе документов по 152-ФЗ.

Уведомление об инцидентах

Одно из самых практически значимых нововведений — обязанность оператора уведомлять Роскомнадзор о любых инцидентах безопасности, связанных с персональными данными.

Что считается инцидентом

Инцидент безопасности персональных данных — это любое событие, повлёкшее:

  • Неправомерный или случайный доступ к персональным данным
  • Уничтожение, изменение, блокирование, копирование персональных данных
  • Неправомерную передачу (распространение, предоставление) персональных данных
  • Иные неправомерные действия в отношении персональных данных

Порядок уведомления: две стадии

Стадия 1 — первичное уведомление (24 часа)

В течение 24 часов с момента обнаружения инцидента оператор обязан направить в Роскомнадзор уведомление, содержащее:

  • Описание характера инцидента
  • Предполагаемые причины
  • Предполагаемый объём скомпрометированных данных
  • Категории затронутых субъектов
  • Предпринятые меры по локализации инцидента
  • Контактное лицо для взаимодействия с РКН

Стадия 2 — результаты расследования (72 часа)

В течение 72 часов с момента обнаружения инцидента оператор обязан направить дополнительное уведомление с:

  • Результатами внутреннего расследования
  • Установленными причинами инцидента
  • Точным объёмом скомпрометированных данных
  • Предпринятыми мерами по минимизации последствий
  • Мерами по предотвращению подобных инцидентов в будущем

Зачем это нужно

Своевременное уведомление — это не только обязанность, но и смягчающее обстоятельство при назначении штрафа. Компании, которые уведомили РКН в срок, могут рассчитывать на снижение размера оборотного штрафа. И наоборот — сокрытие инцидента считается отягчающим обстоятельством.

Трансграничная передача данных

С 1 марта 2025 года существенно изменились правила передачи персональных данных за пределы Российской Федерации.

Новая классификация стран

Все страны разделены на три категории:

  1. Страны с адекватной защитой — государства из перечня Роскомнадзора, гарантирующие надлежащую защиту прав субъектов ПДн. Передача в эти страны проходит в общем порядке
  2. Страны с ограничениями — государства, передача данных в которые возможна при соблюдении дополнительных условий (согласие субъекта, договорные гарантии)
  3. Страны, куда передача запрещена — государства, в отношении которых действует запрет на передачу персональных данных

Обязанности оператора при трансграничной передаче

При передаче данных за рубеж оператор обязан:

  • Уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до её начала
  • Указать страны передачи, категории данных и субъектов, цели передачи
  • Обеспечить договорные обязательства получателя по защите данных
  • Прекратить передачу по требованию Роскомнадзора в срок, указанный в требовании

Что это означает для бизнеса

Компании, использующие зарубежные облачные сервисы, CRM-системы, почтовые платформы и аналитические инструменты, обязаны:

  • Провести аудит трансграничных потоков данных
  • Включить сведения о трансграничной передаче в уведомление оператора
  • Получить отдельное согласие субъектов на передачу данных в конкретные страны (если страна не входит в перечень стран с адекватной защитой)
  • При необходимости — перенести хранение и обработку данных на территорию РФ

Что нужно сделать организациям

Чтобы соответствовать всем изменениям 152-ФЗ к 2026 году, организациям необходимо пройти следующий чек-лист:

1. Обновить уведомление оператора в Роскомнадзоре

Проверьте, содержит ли ваше уведомление все обязательные сведения по новым требованиям. Если нет — подайте обновлённое уведомление в течение 10 рабочих дней. Подготовить уведомление по актуальной форме можно через наш конструктор.

2. Пересмотреть все согласия на обработку ПДн

Убедитесь, что каждое согласие:

  • Оформлено отдельным документом
  • Содержит конкретную цель обработки
  • Включает все обязательные реквизиты
  • Не включено в текст договора или оферты

3. Разработать регламент реагирования на инциденты

Создайте внутренний документ, описывающий:

  • Порядок обнаружения и классификации инцидентов
  • Ответственных лиц и их контакты
  • Шаблон уведомления в Роскомнадзор
  • Порядок проведения внутреннего расследования
  • Сроки (24 часа — первичное уведомление, 72 часа — результаты расследования)

4. Провести аудит трансграничных потоков данных

Составьте перечень всех случаев передачи данных за пределы РФ:

  • Облачные сервисы (AWS, Google Cloud, Azure)
  • SaaS-решения (CRM, почтовые рассылки, аналитика)
  • Передача данных в иностранные компании группы
  • Определите, в какие страны передаются данные, и проверьте их статус

5. Обеспечить бюджет на информационную безопасность

Запланируйте расходы на ИБ в размере не менее 0,1% от годовой выручки. Это:

  • Прямое требование для получения смягчающего обстоятельства при расчёте оборотного штрафа
  • Инвестиция в реальную защиту данных
  • Финансирование сертифицированных средств защиты, обучения персонала, регулярных аудитов

Как Кибероснова закрывает требования 420-ФЗ

Большая часть изменений — это обновление и расширение существующего пакета документов: уведомление оператора (новые поля), согласия (отдельные документы на каждую цель), регламент реагирования на инциденты (24/72 часа), документация по трансграничной передаче, отчётность по бюджету на ИБ. Самостоятельная переработка занимает 1-3 месяца. У консультанта — 200 000 – 700 000 ₽.

Сравнение способов обновления документов

ПараметрЮрист по ИБСамостоятельноКибероснова Документы
Стоимость переработки 15-25 документов200 000 – 700 000 ₽0 ₽ прямых затратБесплатно при регистрации, тариф под проект
Срок1-2 месяца2-4 месяца15-30 минут в конструкторе
Учёт 420-ФЗ + 272.1 УК + автомониторингЗависит от компетенцииСами отслеживайтеАвтоматически в SaaS
Регламент инцидентов 24/72 часаПлатный отдельный документСамостоятельноВключён в стандартный пакет
Расширенное уведомление РКНПлатноЗаполнять вручнуюГенерируется автоматически
Multi-org для группы компанийПлатно за каждое юрлицоДублирование вручнуюОдин аккаунт = много юрлиц

Чем Кибероснова отличается

  • 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ. Если у вас параллельно ПДн, ИСПДн, объект КИИ или государственная система — не нужно покупать три разных продукта.
  • Автоматические обновления под новые НПА. SaaS-модель: изменения 420-ФЗ, новые подзаконные акты, разъяснения РКН — учтены в текущих шаблонах без платного апгрейда.
  • Multi-org. Один аккаунт работает на несколько юрлиц холдинга — без отдельных подписок на каждое.
  • Единый пакет ОРД. Все 15-25 связанных документов (уведомление + согласия + регламент + перечни + журналы) генерируются комплексно с правильной перекрёстной структурой — не нужно сшивать 30-40 файлов вручную.

Создать обновлённый пакет документов с учётом всех изменений 420-ФЗ можно через конструктор за 15-30 минут.


Изменения в 152-ФЗ, вступившие в силу в 2024–2026 годах, — самая масштабная реформа законодательства о персональных данных за всю историю закона. Оборотные штрафы сделали последствия нарушений финансово ощутимыми для бизнеса любого масштаба. Но вместе с ужесточением санкций закон предусмотрел и чёткие критерии добросовестности: своевременные уведомления, инвестиции в ИБ, правильно оформленные документы.

Начните с главного — приведите документы в порядок. Конструктор документов по 152-ФЗ поможет подготовить политику обработки ПДн, согласия, уведомление оператора и другие обязательные документы за 15 минут. Это первый и самый важный шаг к соответствию новым требованиям закона.

Мишина Анна

Мишина Анна

Эксперт Киберосновы

Специалист по техническим мерам защиты персональных данных. Опыт внедрения средств защиты информации и подготовки документов для аттестации ИСПДн. Эксперт по требованиям ФСТЭК.

техническая защитаФСТЭКИСПДншифрование

Часто задаваемые вопросы

Главное — Федеральный закон 420-ФЗ от 30.11.2024, который вступил в силу поэтапно с 30 мая 2025 года. Ключевые изменения: введение оборотных штрафов за повторные утечки (до 3% годовой выручки), обязательное уведомление РКН об инцидентах в течение 24 часов, ужесточение требований к содержанию согласий на обработку ПДн, новые правила трансграничной передачи данных, расширение перечня обязательных сведений в уведомлении оператора и — впервые в истории — уголовная ответственность за неправомерное использование ПДн по ст. 272.1 УК РФ (до 10 лет лишения свободы за особо крупные размеры).
Повышенные фиксированные штрафы вступили в силу 30 мая 2025 года (за первую утечку — от 3 до 15 млн ₽ для юрлиц), а оборотные штрафы за повторные утечки — 30 ноября 2025 года. С этого момента повторная утечка грозит штрафом от 1% до 3% годовой выручки (минимум 20 млн ₽, максимум 500 млн ₽). Базовый закон-источник — 420-ФЗ от 30.11.2024, который внёс новые части 12-16 в статью 13.11 КоАП РФ. Подробный расчёт с примерами — в нашей статье <a href='/blog/oborotnye-shtrafy-utechka-pdn'>«Оборотные штрафы за утечку ПДн»</a>.
Необходимо: обновить все документы по персональным данным (политику обработки, политику конфиденциальности, согласия, уведомление в РКН), разработать регламент реагирования на инциденты с уведомлением РКН за 24 часа, пересмотреть основания трансграничной передачи данных, обеспечить расходы на ИБ не менее 0,1% от выручки на протяжении 3 лет (смягчающее обстоятельство при штрафе), провести аудит системы защиты ПДн и сайта. Полный чек-лист — в <a href='/blog/proverka-sajta-152fz'>статье «Как проверить сайт на 152-ФЗ»</a>, а готовые шаблоны документов с учётом 420-ФЗ — в <a href='/pricing#waitlist'>конструкторе</a> за 15 минут.
Да, требования существенно ужесточились. Теперь согласие должно быть конкретным (отдельное согласие на каждую цель), информированным (субъект должен понимать, какие данные и зачем обрабатываются), и однозначным. Запрещено объединять согласие на обработку ПДн с другими согласиями и условиями в одном документе. Штраф за обработку без согласия для юрлиц по ч. 2 ст. 13.11 КоАП в ред. 420-ФЗ — от 300 000 до 700 000 ₽.
Да. С 30 мая 2025 года действует новая статья **272.1 УК РФ** «Неправомерное использование персональных данных», введённая 420-ФЗ от 30.11.2024. Она предусматривает уголовную ответственность за умышленный незаконный сбор, передачу или использование ПДн в крупных размерах: до 5 лет лишения свободы; для деяний с особо отягчающими обстоятельствами (использование служебного положения, утечка биометрических ПДн или данных несовершеннолетних) — до 10 лет. Это первая статья УК РФ, специально направленная против инсайдерских утечек и торговли базами данных. Подробнее — на странице <a href='/shtrafy/ugolovnaya-otvetstvennost'>уголовная ответственность по 152-ФЗ</a>.
С 2024 года Роскомнадзор активно развивает автоматизированный мониторинг сайтов — собирательно называемый «бот РКН». Краулеры обходят миллионы сайтов круглосуточно и фиксируют нарушения: отсутствие политики обработки ПДн, неправильные формы согласия, cookie-баннеры без кнопки «Отклонить», зарубежные трекеры (Google Analytics, Meta Pixel), отсутствие в реестре операторов. Подробнее как это работает и как защититься — в нашей статье <a href='/blog/bot-roskomnadzora-2026'>«Бот Роскомнадзора 2026»</a>. Проверить свой сайт по тем же параметрам — бесплатным сканером <a href='/audit'>/audit</a> за 15 секунд.

Оформите документы по 152-ФЗ за 15 минут

Создайте пакет документов сами в конструкторе или закажите готовый комплект под ключ.

Создать документ

Связанные материалы