Персональные данные: итоги 2025 и что делать в 2026
Что изменилось в регулировании персональных данных в 2025 году и что нужно сделать оператору в 2026: крупные и оборотные штрафы за утечки (с 30 мая 2025), новые правила обезличивания (с 1 сентября 2025), уведомление Роскомнадзора об инцидентах, локализация и уведомление об обработке. Сводка изменений и практический чек-лист.
2025 год заметно ужесточил регулирование персональных данных: выросли штрафы, изменились правила обезличивания, усилился контроль. Соберём ключевые изменения в одном месте и составим чек-лист действий на 2026 год.
Что изменилось в 2025 году
| Изменение | Суть |
|---|---|
| Штрафы за утечки (с 30 мая 2025, 420-ФЗ) | Отдельные крупные штрафы для юрлиц за утечку ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., за повторную — оборотные; отдельно наказывается несвоевременное уведомление об инциденте. Подробнее — в статье о штрафах 2025. |
| Уведомление об утечке | Роскомнадзор уведомляется в течение 24 часов (предварительно) и 72 часов (результаты расследования). Порядок — в алгоритме действий при утечке. |
| Обезличивание (с 1 сентября 2025) | Обновлены правила обезличивания персональных данных. Что изменилось — в статье об обезличивании. |
| Уведомление об обработке | Подавать уведомление в Роскомнадзор обязано практически большинство операторов (после 266-ФЗ), в том числе обрабатывающие данные только работников. См. уведомление в РКН. |
| Локализация и трансграничная передача | Сохраняются требования локализации данных граждан РФ и уведомления о трансграничной передаче. Подробнее — в статье о трансграничной передаче. |
Чек-лист оператора на 2026 год
- подать или актуализировать уведомление об обработке ПДн в Роскомнадзор;
- проверить и обновить политику обработки ПДн и согласия под реальные процессы;
- убедиться, что данные граждан РФ хранятся в базах на территории России (локализация);
- подготовить процедуру реагирования на инциденты и уложиться в сроки уведомления (24 и 72 часа);
- оценить достаточность мер защиты и минимизировать состав собираемых данных;
- оценить готовность к проверке Роскомнадзора по проверочному листу.
Главное
Главные изменения 2025 года — резкий рост штрафов за утечки (с 30 мая 2025) и обновлённые правила обезличивания (с 1 сентября 2025), на фоне обязательного уведомления Роскомнадзора об обработке и жёстких сроков уведомления об инцидентах. В 2026 году оператору стоит актуализировать уведомление, политику и согласия, проверить локализацию, отладить реагирование на инциденты и оценить готовность к проверке.