ГрамотаИБ ГрамотаИБ

Персональные данные: итоги 2025 и что делать в 2026

Редакция ГрамотаИБ · Опубликовано 04.07.2026

Что изменилось в регулировании персональных данных в 2025 году и что нужно сделать оператору в 2026: крупные и оборотные штрафы за утечки (с 30 мая 2025), новые правила обезличивания (с 1 сентября 2025), уведомление Роскомнадзора об инцидентах, локализация и уведомление об обработке. Сводка изменений и практический чек-лист.

2025 год заметно ужесточил регулирование персональных данных: выросли штрафы, изменились правила обезличивания, усилился контроль. Соберём ключевые изменения в одном месте и составим чек-лист действий на 2026 год.

Что изменилось в 2025 году

ИзменениеСуть
Штрафы за утечки (с 30 мая 2025, 420-ФЗ)Отдельные крупные штрафы для юрлиц за утечку ПДнПерсональные данные — Любая информация, относящаяся к прямо или косвенно определённому физическому лицу (субъекту ПДн)., за повторную — оборотные; отдельно наказывается несвоевременное уведомление об инциденте. Подробнее — в статье о штрафах 2025.
Уведомление об утечкеРоскомнадзор уведомляется в течение 24 часов (предварительно) и 72 часов (результаты расследования). Порядок — в алгоритме действий при утечке.
Обезличивание (с 1 сентября 2025)Обновлены правила обезличивания персональных данных. Что изменилось — в статье об обезличивании.
Уведомление об обработкеПодавать уведомление в Роскомнадзор обязано практически большинство операторов (после 266-ФЗ), в том числе обрабатывающие данные только работников. См. уведомление в РКН.
Локализация и трансграничная передачаСохраняются требования локализации данных граждан РФ и уведомления о трансграничной передаче. Подробнее — в статье о трансграничной передаче.

Чек-лист оператора на 2026 год

  • подать или актуализировать уведомление об обработке ПДн в Роскомнадзор;
  • проверить и обновить политику обработки ПДн и согласия под реальные процессы;
  • убедиться, что данные граждан РФ хранятся в базах на территории России (локализация);
  • подготовить процедуру реагирования на инциденты и уложиться в сроки уведомления (24 и 72 часа);
  • оценить достаточность мер защиты и минимизировать состав собираемых данных;
  • оценить готовность к проверке Роскомнадзора по проверочному листу.

Главное

Главные изменения 2025 года — резкий рост штрафов за утечки (с 30 мая 2025) и обновлённые правила обезличивания (с 1 сентября 2025), на фоне обязательного уведомления Роскомнадзора об обработке и жёстких сроков уведомления об инцидентах. В 2026 году оператору стоит актуализировать уведомление, политику и согласия, проверить локализацию, отладить реагирование на инциденты и оценить готовность к проверке.

Частые вопросы

Какие главные изменения по персональным данным произошли в 2025 году?

Крупные и оборотные штрафы за утечки (с 30 мая 2025 года), обновлённые правила обезличивания (с 1 сентября 2025 года) и жёсткие сроки уведомления Роскомнадзора об инцидентах (24 и 72 часа).

Что сделать оператору в 2026 году?

Актуализировать уведомление в Роскомнадзор, политику обработки и согласия, проверить локализацию данных граждан РФ, отладить реагирование на инциденты и оценить готовность к проверке.

Нужно подготовить документы и меры по защите данных под свой профиль?

Собрать в ГрамотаИБ

Новые правила обезличивания персональных данных с 1 сентября 2025 года

Что изменилось в обезличивании персональных данных с 1 сентября 2025 года: обновлённые требования к обезличиванию, обработка обезличенных данных для формирования составов данных в государственной информационной системе и обязанности оператора по обезличиванию и предоставлению данных по требованию уполномоченного органа. Что это значит для операторов на практике.

Биометрия и ЕБС: сбор, хранение и согласие по 152-ФЗ и 572-ФЗ

Как организации законно работать с биометрическими персональными данными: биометрия как отдельная категория ПДн (статья 11 152-ФЗ), письменное согласие и добровольность, Единая биометрическая система (ЕБС) и Федеральный закон №572-ФЗ, требования к носителям биометрии (ПП-512). Когда вправе собирать биометрию и что нельзя делать.

Достаточность и обоснованность персональных данных: как понять, сколько собирать

Что такое достаточность и обоснованность персональных данных с точки зрения Роскомнадзора: принципы статьи 5 152-ФЗ (соответствие объёма целям и недопустимость избыточности, достаточность данных для цели) и как оператору понять, в каком объёме собирать данные. Практический алгоритм определения состава под цель, частые ошибки избыточного сбора и как обосновать состав документально.

Сколько хранить персональные данные

Сколько времени оператор должен хранить персональные данные: почему единого срока в 152-ФЗ нет, как срок зависит от цели обработки, основания и требований других законов (налоговых, бухгалтерских, кадровых), ориентиры по типам данных (кадры по перечню Росархива, бухгалтерия и налоги — 5 лет, договоры — срок исковой давности), что делать по истечении срока (уничтожение или обезличивание) и как составить номенклатуру сроков.