Федеральный закон № 152-ФЗ «О персональных данных» за последние два года претерпел самые масштабные изменения с момента принятия в 2006 году. Оборотные штрафы, обязательное уведомление об инцидентах за 24 часа, новые правила трансграничной передачи — всё это уже действует и затрагивает каждую организацию, которая работает с персональными данными. В этой статье собрали полный обзор всех изменений и пошаговый план действий.
Если раньше защита персональных данных воспринималась многими компаниями как формальность, то в 2026 году штрафы за нарушения выросли настолько, что игнорировать требования 152-ФЗ стало по-настоящему опасно для бизнеса.
Таймлайн изменений 152-ФЗ в 2024–2026
Изменения вносились несколькими федеральными законами и вступали в силу поэтапно. Вот хронология ключевых событий:
2024 год
1 марта 2024 — вступили в силу изменения в порядок уведомления Роскомнадзора об обработке персональных данных. Расширен перечень сведений, которые оператор обязан указывать в уведомлении: теперь необходимо описывать категории субъектов, правовые основания обработки каждой категории данных, сведения о трансграничной передаче и информацию об используемых средствах защиты.
1 сентября 2024 — ужесточены требования к содержанию согласия на обработку персональных данных. Введён запрет на объединение согласия на обработку ПДн с другими документами (договорами, офертами, пользовательскими соглашениями). Каждое согласие должно быть отдельным документом с конкретной целью обработки.
30 ноября 2024 — подписан Федеральный закон № 420-ФЗ, вводящий оборотные штрафы за утечки персональных данных. Закон предусматривает поэтапное вступление в силу новых санкций.
2025 год
1 марта 2025 — вступили в силу новые правила трансграничной передачи персональных данных. Передача данных в страны, не обеспечивающие адекватную защиту, теперь требует предварительного уведомления Роскомнадзора и получения специального разрешения.
30 мая 2025 — начали действовать повышенные фиксированные штрафы за утечки персональных данных. Штрафы для юридических лиц выросли до 3–15 млн рублей в зависимости от объёма утечки (ранее максимум составлял 300 тыс. рублей).
1 сентября 2025 — введена обязанность уведомлять Роскомнадзор об инцидентах безопасности персональных данных в течение 24 часов с момента обнаружения. Ранее конкретные сроки уведомления не были установлены.
30 ноября 2025 — вступили в силу оборотные штрафы за повторные утечки: от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей).
2026 год
С 1 января 2026 — все изменения действуют в полном объёме. Роскомнадзор активно проводит проверки соблюдения новых требований. Компании, не обновившие документы и процессы, рискуют получить штрафы по новым, значительно увеличенным ставкам.
Оборотные штрафы за утечку данных
Самое резонансное изменение — введение оборотных штрафов за повторные утечки персональных данных. Это принципиально новый подход к ответственности: размер штрафа привязан к финансовым показателям компании.
Как это работает
Система двухуровневая:
- Первая утечка — фиксированный штраф от 3 до 15 млн рублей для юридических лиц (в зависимости от объёма скомпрометированных данных)
- Повторная утечка — оборотный штраф от 1% до 3% годовой выручки (минимум 20 млн, максимум 500 млн рублей)
Для компании с выручкой 1 млрд рублей повторная утечка означает штраф от 15 до 30 млн рублей. Подробный разбор с формулами расчёта и примерами — в нашей статье «Оборотные штрафы за утечку ПДн: сколько и за что».
Смягчающие обстоятельства
Законодатель предусмотрел стимулы для добросовестных операторов. Размер штрафа может быть снижен, если компания:
- Тратит на информационную безопасность не менее 0,1% от выручки на протяжении трёх лет
- Использует сертифицированные средства защиты информации
- Уведомила Роскомнадзор об инциденте в течение 24 часов
- Полностью содействовала расследованию
- Самостоятельно обнаружила и локализовала инцидент
Уголовная ответственность по ст. 272.1 УК РФ — самое жёсткое изменение
Помимо административных оборотных штрафов, 420-ФЗ от 30.11.2024 ввёл в Уголовный кодекс новую статью — 272.1 «Неправомерное использование персональных данных». Она вступила в силу 30 мая 2025 года и стала первой статьёй УК РФ, специально направленной против инсайдерских утечек и торговли базами данных.
Что наказывается по ст. 272.1 УК РФ
- Незаконный сбор, передача, распространение или использование ПДн — до 4 лет лишения свободы или штраф до 300 000 ₽
- Те же действия в крупном размере (свыше 100 000 субъектов) — до 5 лет лишения свободы + штраф до 700 000 ₽
- С использованием служебного положения или в отношении биометрических ПДн / данных несовершеннолетних — до 8 лет
- Особо крупный размер (свыше 1 млн субъектов) или с тяжкими последствиями — до 10 лет лишения свободы
Кого это касается
- Сотрудников, которые копируют клиентские базы (даже после увольнения) — это умысел
- Системных администраторов и DevOps, которые передают данные третьим лицам
- Маркетологов, которые покупают или используют чужие базы для рассылок
- Руководителей, которые лично организовали утечку или препятствовали уведомлению РКН
Компания при этом несёт параллельную административную ответственность по ст. 13.11 КоАП (оборотные штрафы), а конкретные сотрудники — уголовную. Подробнее — на странице уголовная ответственность по 152-ФЗ.
Важно: ст. 272.1 УК РФ применяется только за умышленные действия. Случайные утечки из-за технических ошибок остаются в зоне административной ответственности.
Автомониторинг сайтов «бот РКН» — новая практика контроля
С 2024 года Роскомнадзор активно использует автоматизированные системы мониторинга — собирательно называемые «бот РКН». Это не отдельная программа, а комплекс краулеров и парсеров, которые обходят миллионы сайтов и фиксируют нарушения 152-ФЗ.
Что проверяет автомониторинг
- Наличие политики обработки ПДн на сайте и её доступность по прямой ссылке
- Чекбоксы согласия в формах — не предзаполненные ли
- Cookie-баннер с реальной возможностью отклонить (разъяснения РКН от 01.09.2023)
- Зарубежные трекеры (Google Analytics, Meta Pixel, reCAPTCHA, Google Fonts)
- Локализацию серверов хостинга
- Регистрацию организации в реестре операторов РКН по ИНН
Полный разбор автомониторинга — в статье «Бот Роскомнадзора 2026: что проверяет автомониторинг». Проверить свой сайт по тем же параметрам — бесплатным сканером /audit за 15 секунд.
Новые требования к уведомлению в Роскомнадзор
С 1 марта 2024 года существенно расширен перечень сведений, которые оператор обязан включать в уведомление об обработке персональных данных (статья 22 152-ФЗ).
Что добавилось в уведомление
Помимо ранее требовавшихся сведений, теперь необходимо указывать:
- Категории субъектов персональных данных (сотрудники, клиенты, контрагенты и т.д.)
- Правовые основания обработки для каждой категории данных (согласие, договор, законный интерес, обязанность по закону)
- Перечень действий с персональными данными (сбор, запись, систематизация, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение)
- Сведения о трансграничной передаче — страны, основания, категории передаваемых данных
- Информация о средствах защиты — используемые криптографические и иные средства защиты информации
- Сведения об ответственном за обработку ПДн — ФИО, должность, контактные данные
Сроки подачи и обновления
Уведомление необходимо подать до начала обработки персональных данных. Если вы уже подавали уведомление ранее, его необходимо обновить, включив все новые обязательные сведения. Срок на актуализацию — 10 рабочих дней с момента изменения сведений.
Подготовить уведомление в соответствии с актуальными требованиями можно через конструктор документов — система автоматически включит все обязательные разделы.
Что грозит за отсутствие или неполноту уведомления
Непредоставление или несвоевременное предоставление уведомления по ч. 10 ст. 13.11 КоАП в ред. 420-ФЗ (действует с 30.05.2025):
- Для юридических лиц — от 100 до 300 тыс. рублей
- Для должностных лиц — от 30 до 50 тыс. рублей
- Для ИП — от 30 до 60 тыс. рублей
До 30 мая 2025 года штраф за неуведомление для юрлиц был всего 3–5 тыс. ₽ (по ст. 19.7 КоАП). Рост в 60-100 раз — одно из самых резких изменений 420-ФЗ. Проверить, подавала ли ваша организация уведомление, можно бесплатно по ИНН за 5 секунд.
Усиление требований к согласию
Изменения 2024 года существенно ужесточили правила получения согласия на обработку персональных данных. Цель — сделать согласие по-настоящему осознанным, а не формальной галочкой.
Принцип конкретности
Каждое согласие должно быть привязано к конкретной цели обработки. Нельзя получить одно «универсальное» согласие на все случаи жизни. Примеры:
- Согласие на обработку ПДн для исполнения договора — отдельный документ
- Согласие на рассылку маркетинговых материалов — отдельный документ
- Согласие на передачу данных партнёрам — отдельный документ
Запрет на «навязывание»
Теперь прямо запрещено:
- Включать согласие на обработку ПДн в текст договора, оферты или пользовательского соглашения
- Обуславливать оказание услуги получением согласия на цели, не связанные с этой услугой
- Использовать заранее проставленные галочки (чекбоксы) в формах на сайте
- Формулировать согласие так, что субъект не может понять, на что именно он соглашается
Обязательное содержание согласия
Согласие должно содержать:
- ФИО и контактные данные субъекта ПДн
- Наименование и адрес оператора
- Конкретную цель обработки
- Перечень обрабатываемых персональных данных
- Перечень действий с данными
- Срок действия согласия
- Способ отзыва согласия
- Подпись субъекта (для письменного согласия)
Если ваши формы согласия не соответствуют новым требованиям, их необходимо обновить. Все актуальные шаблоны доступны в разделе документов по 152-ФЗ.
Уведомление об инцидентах
Одно из самых практически значимых нововведений — обязанность оператора уведомлять Роскомнадзор о любых инцидентах безопасности, связанных с персональными данными.
Что считается инцидентом
Инцидент безопасности персональных данных — это любое событие, повлёкшее:
- Неправомерный или случайный доступ к персональным данным
- Уничтожение, изменение, блокирование, копирование персональных данных
- Неправомерную передачу (распространение, предоставление) персональных данных
- Иные неправомерные действия в отношении персональных данных
Порядок уведомления: две стадии
Стадия 1 — первичное уведомление (24 часа)
В течение 24 часов с момента обнаружения инцидента оператор обязан направить в Роскомнадзор уведомление, содержащее:
- Описание характера инцидента
- Предполагаемые причины
- Предполагаемый объём скомпрометированных данных
- Категории затронутых субъектов
- Предпринятые меры по локализации инцидента
- Контактное лицо для взаимодействия с РКН
Стадия 2 — результаты расследования (72 часа)
В течение 72 часов с момента обнаружения инцидента оператор обязан направить дополнительное уведомление с:
- Результатами внутреннего расследования
- Установленными причинами инцидента
- Точным объёмом скомпрометированных данных
- Предпринятыми мерами по минимизации последствий
- Мерами по предотвращению подобных инцидентов в будущем
Зачем это нужно
Своевременное уведомление — это не только обязанность, но и смягчающее обстоятельство при назначении штрафа. Компании, которые уведомили РКН в срок, могут рассчитывать на снижение размера оборотного штрафа. И наоборот — сокрытие инцидента считается отягчающим обстоятельством.
Трансграничная передача данных
С 1 марта 2025 года существенно изменились правила передачи персональных данных за пределы Российской Федерации.
Новая классификация стран
Все страны разделены на три категории:
- Страны с адекватной защитой — государства из перечня Роскомнадзора, гарантирующие надлежащую защиту прав субъектов ПДн. Передача в эти страны проходит в общем порядке
- Страны с ограничениями — государства, передача данных в которые возможна при соблюдении дополнительных условий (согласие субъекта, договорные гарантии)
- Страны, куда передача запрещена — государства, в отношении которых действует запрет на передачу персональных данных
Обязанности оператора при трансграничной передаче
При передаче данных за рубеж оператор обязан:
- Уведомить Роскомнадзор о намерении осуществлять трансграничную передачу до её начала
- Указать страны передачи, категории данных и субъектов, цели передачи
- Обеспечить договорные обязательства получателя по защите данных
- Прекратить передачу по требованию Роскомнадзора в срок, указанный в требовании
Что это означает для бизнеса
Компании, использующие зарубежные облачные сервисы, CRM-системы, почтовые платформы и аналитические инструменты, обязаны:
- Провести аудит трансграничных потоков данных
- Включить сведения о трансграничной передаче в уведомление оператора
- Получить отдельное согласие субъектов на передачу данных в конкретные страны (если страна не входит в перечень стран с адекватной защитой)
- При необходимости — перенести хранение и обработку данных на территорию РФ
Что нужно сделать организациям
Чтобы соответствовать всем изменениям 152-ФЗ к 2026 году, организациям необходимо пройти следующий чек-лист:
1. Обновить уведомление оператора в Роскомнадзоре
Проверьте, содержит ли ваше уведомление все обязательные сведения по новым требованиям. Если нет — подайте обновлённое уведомление в течение 10 рабочих дней. Подготовить уведомление по актуальной форме можно через наш конструктор.
2. Пересмотреть все согласия на обработку ПДн
Убедитесь, что каждое согласие:
- Оформлено отдельным документом
- Содержит конкретную цель обработки
- Включает все обязательные реквизиты
- Не включено в текст договора или оферты
3. Разработать регламент реагирования на инциденты
Создайте внутренний документ, описывающий:
- Порядок обнаружения и классификации инцидентов
- Ответственных лиц и их контакты
- Шаблон уведомления в Роскомнадзор
- Порядок проведения внутреннего расследования
- Сроки (24 часа — первичное уведомление, 72 часа — результаты расследования)
4. Провести аудит трансграничных потоков данных
Составьте перечень всех случаев передачи данных за пределы РФ:
- Облачные сервисы (AWS, Google Cloud, Azure)
- SaaS-решения (CRM, почтовые рассылки, аналитика)
- Передача данных в иностранные компании группы
- Определите, в какие страны передаются данные, и проверьте их статус
5. Обеспечить бюджет на информационную безопасность
Запланируйте расходы на ИБ в размере не менее 0,1% от годовой выручки. Это:
- Прямое требование для получения смягчающего обстоятельства при расчёте оборотного штрафа
- Инвестиция в реальную защиту данных
- Финансирование сертифицированных средств защиты, обучения персонала, регулярных аудитов
Как Кибероснова закрывает требования 420-ФЗ
Большая часть изменений — это обновление и расширение существующего пакета документов: уведомление оператора (новые поля), согласия (отдельные документы на каждую цель), регламент реагирования на инциденты (24/72 часа), документация по трансграничной передаче, отчётность по бюджету на ИБ. Самостоятельная переработка занимает 1-3 месяца. У консультанта — 200 000 – 700 000 ₽.
Сравнение способов обновления документов
| Параметр | Юрист по ИБ | Самостоятельно | Кибероснова Документы |
|---|---|---|---|
| Стоимость переработки 15-25 документов | 200 000 – 700 000 ₽ | 0 ₽ прямых затрат | Бесплатно при регистрации, тариф под проект |
| Срок | 1-2 месяца | 2-4 месяца | 15-30 минут в конструкторе |
| Учёт 420-ФЗ + 272.1 УК + автомониторинг | Зависит от компетенции | Сами отслеживайте | Автоматически в SaaS |
| Регламент инцидентов 24/72 часа | Платный отдельный документ | Самостоятельно | Включён в стандартный пакет |
| Расширенное уведомление РКН | Платно | Заполнять вручную | Генерируется автоматически |
| Multi-org для группы компаний | Платно за каждое юрлицо | Дублирование вручную | Один аккаунт = много юрлиц |
Чем Кибероснова отличается
- 6 регуляторных областей в одной подписке — 152-ФЗ, ФСТЭК Приказы №21, №117, №239, ПП РФ №1119, 187-ФЗ. Конкуренты (b-152, 152doc) — только 152-ФЗ. Если у вас параллельно ПДн, ИСПДн, объект КИИ или государственная система — не нужно покупать три разных продукта.
- Автоматические обновления под новые НПА. SaaS-модель: изменения 420-ФЗ, новые подзаконные акты, разъяснения РКН — учтены в текущих шаблонах без платного апгрейда.
- Multi-org. Один аккаунт работает на несколько юрлиц холдинга — без отдельных подписок на каждое.
- Единый пакет ОРД. Все 15-25 связанных документов (уведомление + согласия + регламент + перечни + журналы) генерируются комплексно с правильной перекрёстной структурой — не нужно сшивать 30-40 файлов вручную.
Создать обновлённый пакет документов с учётом всех изменений 420-ФЗ можно через конструктор за 15-30 минут.
Изменения в 152-ФЗ, вступившие в силу в 2024–2026 годах, — самая масштабная реформа законодательства о персональных данных за всю историю закона. Оборотные штрафы сделали последствия нарушений финансово ощутимыми для бизнеса любого масштаба. Но вместе с ужесточением санкций закон предусмотрел и чёткие критерии добросовестности: своевременные уведомления, инвестиции в ИБ, правильно оформленные документы.
Начните с главного — приведите документы в порядок. Конструктор документов по 152-ФЗ поможет подготовить политику обработки ПДн, согласия, уведомление оператора и другие обязательные документы за 15 минут. Это первый и самый важный шаг к соответствию новым требованиям закона.
