Изменения 152-ФЗ в 2025–2026 годах: что нового для бизнеса
Обзор ключевых изменений в законе о персональных данных 152-ФЗ за 2025–2026 годы: новые штрафы, требования к согласиям, локализация данных, обезличивание.
Изменения 152-ФЗ в 2025–2026 годах: что нового для бизнеса
2025 год стал переломным для закона о персональных данных — сразу несколько масштабных поправок кардинально изменили правила игры. 2026 год — это уже фаза активного правоприменения: проверки, штрафы, прецеденты. Разбираемся, что произошло и как бизнесу адаптироваться.
Хронология ключевых изменений
| Дата | Что изменилось |
|---|---|
| 30 мая 2025 | Многократное увеличение штрафов, до 20 млн ₽ для юрлиц |
| 1 июля 2025 | Полный запрет на хранение ПДн россиян за рубежом |
| 1 сентября 2025 | Новые требования к оформлению согласий на обработку ПДн |
| 1 сентября 2025 | Новые методы обезличивания данных (Приказ РКН №140) |
| 2026 | Активное правоприменение всех новых норм |
1. Увеличение штрафов: с 30 мая 2025
Это самое болезненное изменение. Штрафы выросли в разы:
- Максимальный штраф для юрлиц теперь достигает 20 млн рублей
- Для повторных утечек сохранены оборотные штрафы от 1% до 3% годовой выручки (минимум 15 млн ₽)
- За отсутствие уведомления в Роскомнадзор — до 300 000 ₽
Важно: В 2026 году Роскомнадзор активно применяет новые размеры штрафов. По данным ведомства, количество проверок по сравнению с 2024 годом выросло более чем на 40%.
2. Локализация данных: с 1 июля 2025
С 1 июля 2025 года полностью запрещено использование зарубежных баз данных для хранения персональных данных российских граждан.
Что это означает на практике:
- Первичный сбор, запись, систематизация, накопление и хранение ПДн — исключительно на территории России
- CRM-системы с серверами за рубежом (Salesforce, HubSpot) нужно заменить или перенести данные
- Облачные хранилища должны находиться в российских дата-центрах
- Трансграничная передача данных возможна, но только при соблюдении строгих условий
Кого это касается в первую очередь:
- Компании, использующие зарубежные SaaS-решения
- Международные компании с российскими клиентами
- Интернет-магазины, обрабатывающие заказы через зарубежные платформы
3. Новые требования к согласиям: с 1 сентября 2025
Одно из самых важных изменений для повседневной практики:
Согласие должно быть отдельным документом. Нельзя включать его в:
- Трудовой договор
- Анкету клиента
- NDA или другой договор
- Общие условия обслуживания
Что должно содержать согласие:
- Чёткие цели обработки (перечислены конкретно)
- Перечень обрабатываемых данных
- Срок обработки и порядок отзыва
- Информация о лицах, которым передаются данные
- Способы обработки данных
На практике: Если у вас на сайте чекбокс «Согласен на обработку ПДн» ведёт на политику конфиденциальности — этого уже недостаточно. Нужен именно текст согласия с конкретными целями и перечнем данных.
4. Обезличивание данных: новые методы
Приказ Роскомнадзора №140 от 19.06.2025 (вступил в силу 1 сентября 2025) заменил устаревший приказ №996 от 2013 года. Теперь утверждены пять методов обезличивания:
- Введение идентификаторов — замена ПДн на символы и номера
- Изменение состава данных — удаление части атрибутов
- Изменение семантики — замена значений на обобщённые
- Декомпозиция — разбиение массива данных на части
- Перемешивание — случайное переставление значений между записями
Ключевое требование: обезличенные данные и исходные нельзя хранить совместно. Локальные акты о методах обезличивания не должны быть доступны третьим лицам.
5. Расширение реестра операторов
С 2025 года расширен перечень лиц, обязанных уведомлять Роскомнадзор. Теперь любое лицо, собирающее или обрабатывающее персональные данные, обязано зарегистрироваться в реестре операторов ПДн.
Это касается:
- ИП с одним сайтом
- Самозанятых, собирающих данные клиентов
- НКО и общественных организаций
- Образовательных учреждений
- Медицинских кабинетов и частных практик
Что делать бизнесу прямо сейчас
Срочные меры (сделать сегодня)
- Проверьте согласия — они должны быть отдельными документами, а не частью договоров
- Проверьте, где хранятся данные — все ПДн россиян должны быть на территории РФ
- Убедитесь, что вы в реестре РКН — проверить можно на pd.rkn.gov.ru
Среднесрочные меры (в течение месяца)
- Обновите политику обработки ПДн — она должна отражать актуальные нормы 2025–2026
- Проведите аудит CRM и облачных сервисов — составьте реестр всех систем, где обрабатываются ПДн
- Переоформите согласия сотрудников — старые форматы «в составе трудового договора» уже невалидны
Стратегические меры
- Разработайте модель угроз — актуальную, по методике ФСТЭК 2021 года
- Назначьте ответственного за ПДн — приказом руководителя
- Проведите обучение сотрудников — особенно тех, кто работает с данными клиентов
Стоимость приведения в соответствие
| Мера | Ориентировочная стоимость |
|---|---|
| Обновление комплекта документов | от 15 000 ₽ |
| Полный аудит + приведение в соответствие | от 60 000 ₽ |
| Аудит + модель угроз + ФСТЭК | от 120 000 ₽ |
| Годовое сопровождение | от 250 000 ₽ |
Для сравнения: минимальный штраф за нарушение — от 100 000 ₽, максимальный — до 20 млн ₽ или 3% оборота.
Не знаете, соответствует ли ваша компания новым требованиям? Пройдите бесплатный экспресс-аудит — за 5 минут узнаете, что нужно исправить. Или оставьте заявку на консультацию эксперта.