Что изменилось в работе с персональными данными в 2025–2026 годах

2025–2026 годы стали периодом самого серьёзного за всю историю 152-ФЗ ужесточения ответственности за обращение с персональными данными. Изменения затронули и административную, и уголовную сферу. Ниже — систематизированный обзор и рекомендации.

1. Оборотные штрафы за утечки (Закон 420-ФЗ)

Федеральный закон от 30.11.2024 № 420-ФЗ ввёл новую редакцию статьи 13.11 КоАП, действующую с 30 мая 2025 года. Размер штрафа за утечку поставлен в зависимость от объёма пострадавших субъектов, а за повторную утечку введён оборотный штраф.

Нарушение	Штраф для организаций
Утечка от 1 000 до 10 000 субъектов	3–5 млн рублей
Утечка от 10 000 до 100 000 субъектов	5–10 млн рублей
Утечка свыше 100 000 субъектов	10–15 млн рублей
Повторная утечка (оборотный штраф)	1–3% годовой выручки, от 20 до 500 млн рублей
Неуведомление об обработке (ст. 22)	100 000–300 000 рублей
Несвоевременное уведомление об утечке	1–3 млн рублей

2. Уголовная ответственность (ст. 272.1 УК)

Федеральный закон от 30.11.2024 № 421-ФЗ ввёл новую статью 272.1 УК, вступившую в силу 11 декабря 2024 года. Она устанавливает уголовную ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, а также за создание ресурсов для их незаконного оборота. Для квалифицированных составов (данные несовершеннолетних, специальные категории, биометрия, трансграничная передача, группа лиц) предусмотрены штрафы до сотен тысяч рублей, принудительные работы и лишение свободы. Теперь за торговлю «слитыми» базами отвечают не только организации штрафом, но и конкретные лица — уголовно.

3. Обязательное уведомление об утечке за 24/72 часа

При выявлении инцидента (утечки) оператор обязан уведомить Роскомнадзор: в течение 24 часов — о самом факте утечки, и в течение 72 часов — представить результаты внутреннего расследования (причины, последствия, принятые меры). Несоблюдение сроков теперь отдельно наказуемо. Это требует заранее выстроенного процесса реагирования на инциденты.

4. Расширение круга операторов, обязанных уведомлять

После отмены прежних исключений (266-ФЗ, с 1 сентября 2022 года) уведомлять Роскомнадзор о намерении обрабатывать ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн). обязаны почти все операторы, включая малый бизнес и ИП. Подробнее — в статье «Нужно ли ИП и компании регистрироваться оператором персональных данных».

5. Согласия, локализация, трансграничная передача

• Согласия должны быть конкретными, информированными и оформляться отдельно; нельзя отказывать в услуге за непредоставление избыточного согласия;
• Локализация (ст. 18) — базы данных с ПДн граждан РФ должны размещаться на территории России;
• Трансграничная передача — требует предварительного уведомления Роскомнадзора и оценки уровня защиты в стране-получателе.

Выводы

Стоимость несоблюдения требований выросла в разы: утечка перестала быть «репутационным» риском и стала прямым финансовым и уголовным. При этом контроль смещается от формальной проверки документов к реальной способности оператора предотвращать и расследовать инциденты.

Рекомендации

1. подайте уведомление в Роскомнадзор, если ещё не в реестре операторов;
2. приведите в порядок документы — политику, согласия, модель угроз, журналы (см. про организационные меры);
3. опишите процесс реагирования на утечку с учётом сроков 24/72 часа и назначьте ответственных;
4. проверьте локализацию баз данных и основания любой передачи данных третьим лицам;
5. минимизируйте состав и срок хранения ПДн — что не хранится, то не утекает;
6. регулярно пересматривайте меры защиты под актуальные угрозы.

Пройти этот чек-лист по шагам и собрать доказательную базу для проверки помогает ГрамотаИБ.