В 2026 году российский бизнес ожидают значительные изменения в сфере работы с персональными данными. Эти нововведения потребуют от компаний и ИП пересмотра внутренних процессов, обновления документации и усиления технических мер защиты. Вот обзор ключевых изменений и практические шаги по подготовке.
Одним из самых важных изменений, вступивших в силу еще 1 сентября 2025 года, является требование к оформлению согласия на обработку персональных данных. Теперь его нельзя включать в состав других документов, таких как трудовой договор, заявление или пользовательское соглашение на сайте.
Что нужно сделать: Согласие должно быть оформлено в виде самостоятельного документа — отдельной бумаги, электронной формы или четко выделенного чек-бокса на сайте. Это сделано для защиты граждан от скрытого получения их согласия.
Обязательные реквизиты: В согласии должны быть указаны все данные, требуемые законом № 152-ФЗ: сведения о субъекте и операторе, цель обработки, перечень данных, перечень действий с данными, срок действия и порядок его отзыва.
Проверка: Необходимо проверить все действующие согласия и при необходимости переоформить их в соответствии с новыми правилами. За нарушение требований к согласию компаниям грозят штрафы от 300 000 до 700 000 рублей.
С 1 июля 2025 года ужесточились требования к локализации первичной обработки персональных данных на территории России и их трансграничной передаче.
Запрет на использование иностранного ПО: Операторам запрещено использовать программное обеспечение, учетные системы и серверы, расположенные за рубежом, если они нарушают российское законодательство. Под запрет могут попадать популярные сервисы, такие как Google Analytics, Google Forms, карты и reCAPTCHA, а также формы, передающие данные в мессенджеры WhatsApp и Telegram, если данные первично не обрабатываются в РФ.
Действия для бизнеса: Необходимо провести аудит сайта и ИТ-инфраструктуры на наличие элементов, которые могут осуществлять незаконную трансграничную передачу данных, и заменить их на российские аналоги. Штрафы за такие нарушения для организаций могут достигать 6 млн рублей, а при повторном нарушении — 18 млн рублей.
С 1 сентября 2025 года к надзору за обработкой персональных данных, помимо Роскомнадзора, подключились силовые структуры.
ФСБ России получила право проверять, насколько корректно компании внедряют технические и организационные меры защиты данных.
ФСТЭК России занимается разработкой методик и сертификацией средств защиты.
Последствия для бизнеса: Это означает значительное повышение рисков внеплановых проверок и ужесточение требований к ИТ-инфраструктуре. Нарушения, выявленные этими органами, могут трактоваться не только как административные, но и как угрозы национальной безопасности.
Помимо уже вступивших в силу норм, 2026 год принесет новые важные нововведения.
Реестр центров обработки данных (ЦОД): С 1 марта 2026 года начнет работу государственный реестр ЦОД. Операторы персональных данных смогут использовать для хранения информации только те центры, которые включены в этот реестр. Это потребует от бизнеса проверки своих хостинг-провайдеров на соответствие новым требованиям.
Аккредитация для обработки биометрии: С 2026 года обработку биометрических данных (отпечатки пальцев, фото, голос) смогут осуществлять только компании, прошедшие специальную аккредитацию в Минцифры. Это особенно важно для банков, финтеха и медицинских организаций.
Оборотные штрафы: В КоАП планируется внедрить оборотные штрафы за повторные или систематические нарушения в сфере персональных данных — до 3% от годовой выручки компании. Это делает риски несоблюдения закона чрезвычайно высокими для крупного бизнеса.
Усиление автоматического контроля: Роскомнадзор продолжает развивать систему автоматического мониторинга утечек и нарушений с помощью искусственного интеллекта. Алгоритмы будут выявлять сайты, собирающие данные без согласия или использующие запрещенные иностранные сервисы.
Чтобы минимизировать риски и обеспечить соответствие новым требованиям, рекомендуется предпринять следующие шаги:
Проведите аудит документов и процессов. Проверьте все шаблоны согласий, политику конфиденциальности и внутренние регламенты на соответствие новым нормам.
Назначьте ответственного. Назначьте сотрудника, который будет контролировать обработку персональных данных и соблюдение законодательства.
Обновите ИТ-инфраструктуру. Убедитесь, что ваши системы хранения и обработки данных соответствуют требованиям локализации и используют сертифицированные средства защиты.
Обучите сотрудников. Проведите обучение для сотрудников, работающих с персональными данными, чтобы донести до них новые правила и меры ответственности.
Внедрите культуру конфиденциальности (privacy culture). Развивайте внутри компании ответственное отношение к защите данных, выходящее за рамки формального соблюдения закона.
