152-ФЗ о защите персональных данных: требования и штрафы в 2026 году

Основные положения 152-ФЗ

Федеральный закон №152-ФЗ «О персональных данных», принятый в 2006 году, остается основополагающим нормативным актом, регулирующим обработку персональной информации в России. Этот закон устанавливает правовые и организационные основы защиты прав и свобод человека при обработке его персональных данных, включая сбор, систематизацию, накопление, хранение, уточнение, использование, передачу, обезличение, блокирование и удаление персональных данных.

Согласно 152-ФЗ, персональные данные — это любая информация, относящаяся к определенному или определяемому физическому лицу (субъекту персональных данных). Это может быть фамилия, имя, отчество, место рождения, биометрические данные, контактная информация, данные о членстве в организациях, медицинские сведения и многое другое.

Закон выделяет несколько категорий персональных данных, в зависимости от которых определяются требования по их защите:

• Персональные данные (ПДн)— любые сведения о физическом лице
• Специальные категории— раса, национальность, политические взгляды, религиозные убеждения
• Биометрические персональные данные— информация, используемая для идентификации (отпечатки пальцев, радужная оболочка глаза, ДНК)
• Данные о состоянии здоровья— медицинские сведения и диагнозы

Оператор персональных данных — это организация, индивидуальный предприниматель или физическое лицо, определяющие цели и способы обработки персональных данных и несущие ответственность за соблюдение требований закона.

Изменения в законодательстве 2026 года

В 2024-2025 годах в Федеральный закон №152-ФЗ были внесены существенные изменения, вступившие в силу с 30 мая 2025 года. Эти поправки (Закон №420-ФЗ) значительно ужесточают требования к обработке персональных данных и вводят новые механизмы ответственности, которые будут в полной мере действовать в 2026 году.

Расширение круга обязанных операторов. С 2025 года к категории операторов персональных данных относятся все организации, индивидуальные предприниматели и самозанятые, собирающие или обрабатывающие любые персональные данные — клиентов, сотрудников, пользователей сайтов и приложений. Это включает интернет-магазины, медицинские учреждения, образовательные платформы, финансовые организации и даже мелких предпринимателей.

Новые требования к согласию. С 1 сентября 2025 года согласие на обработку персональных данных должно оформляться как отдельный документ, а не как пункт в пользовательском соглашении. Согласие должно содержать конкретные цели и условия обработки данных. Также установлен принцип минимизации — сбор только тех данных, которые необходимы для конкретной цели.

Обязательная регистрация в реестре. Все операторы персональных данных обязаны пройти регистрацию в реестре операторов Роскомнадзора, если они осуществляют обработку персональных данных на территории России.

Локализация данных. Персональные данные должны храниться на серверах, расположенных на территории Российской Федерации. Использование зарубежных облачных сервисов без надлежащих мер защиты считается нарушением.

Усиление полномочий регуляторов. С 1 сентября 2025 года расширены полномочия органов контроля — Роскомнадзора, ФСТЭК и ФСБ. Внедряются автоматизированные системы анализа, которые позволяют дистанционно выявлять нарушения, такие как отсутствие политики обработки данных, использование зарубежных сервисов, недокументированные процессы обработки.

Требования ФСТЭК и Роскомнадзора

Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) — это основные органы, контролирующие соблюдение требований 152-ФЗ.

Требования ФСТЭК установлены в Приказе №21 от 18 февраля 2013 года и касаются технической защиты информации. ФСТЭК определяет классификацию информационных систем персональных данных (ИСПДн) по уровням защищенности:

• Уровень защищенности 1 (УЗ1)— наиболее высокий уровень, для критически важных данных, требует установки средств защиты высшего класса
• Уровень защищенности 2 (УЗ2)— для данных повышенной важности
• Уровень защищенности 3 (УЗ3)— средний уровень защиты
• Уровень защищенности 4 (УЗ4)— базовый уровень защиты, для некритичных данных

Уровень защищенности определяется на основе категории обрабатываемых данных (обычные, специальные, биометрические), количества субъектов данных (менее или более 100 тысяч человек) и наличия потенциальных угроз.

Для каждого уровня ФСТЭК установлены требования к:

• Использованию сертифицированных средств защиты информации (межсетевые экраны, системы обнаружения вторжений, средства антивирусной защиты)
• Криптографической защите данных при передаче
• Контролю доступа к информации
• Аудиту и журналированию всех операций с данными
• Обучению персонала вопросам информационной безопасности

Требования Роскомнадзора сосредоточены на организационных аспектах обработки данных:

• Уведомление Роскомнадзора.Оператор обязан уведомить Роскомнадзор о начале обработки персональных данных до того, как начнется сама обработка. Исключение составляют случаи, указанные в части 2 статьи 22 ФЗ-152.
• Политика обработки данных.Оператор должен разработать и опубликовать политику конфиденциальности, где описаны цели, способы и принципы обработки персональных данных.
• Документационное обеспечение.Организация должна вести реестр обработчиков персональных данных, акты согласий субъектов, приказы о назначении ответственного лица за обработку ПДн.
• Оповещение об утечках.При несанкционированной или случайной передаче персональных данных оператор обязан уведомить Роскомнадзор в течение 24 часов и уведомить потерпевших в течение 10 дней.
• Аттестация ИСПДн.Для государственных информационных систем аттестация ИСПДн обязательна. Для коммерческих организаций это добровольная процедура, но она подтверждает соответствие требованиям безопасности и может служить защитой при проверке.

Штрафы за утечки: от 100 тыс. до 3% выручки

С 30 мая 2025 года штрафная политика за нарушения в сфере защиты персональных данных была существенно ужесточена. Размеры штрафов теперь зависят от типа нарушения, категории нарушителя и масштаба утечки.

Штрафы за неуведомление Роскомнадзора

За отсутствие уведомления о начале обработки персональных данных:

• Для физических лиц: 10 000 рублей
• Для должностных лиц и ИП: 50 000 рублей
• Для организаций: 100 000–300 000 рублей

За несвоевременное уведомление об утечке персональных данных:

• Для физических лиц: 100 000 рублей
• Для должностных лиц: 800 000 рублей
• Для организаций: 1–3 млн рублей

Штрафы за обработку данных без согласия

За обработку персональных данных без надлежащего согласия субъекта:

• Для должностных лиц: 50 000–100 000 рублей
• Для ИП: 75 000–150 000 рублей
• Для организаций: 150 000–300 000 рублей

Штрафы за утечку обычных персональных данных

Размер штрафа зависит от количества пострадавших и количества идентификаторов:

При первой утечке:

При повторной утечке в течение года:

• Для организаций и ИП: от 1 до 3% от годовой выручки, но не менее 20 млн и не более 500 млн рублей
• Для физических лиц: 500 000 рублей

Штрафы за утечку специальных категорий данных

При утечке данных о расе, национальности, политических взглядах, религиозных убеждениях:

• За первую утечку: 10–15 млн рублей для организаций
• За повторную утечку: значительное увеличение

Штрафы за утечку биометрических данных

Биометрические данные защищены особо строго:

• За первую утечку: 15–20 млн рублей для организаций
• За повторную утечку: максимальные санкции вплоть до 500 млн рублей

Уголовная ответственность

Помимо административных штрафов, введена уголовная ответственность за незаконное использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные:

• Штраф: 300 000–400 000 рублей
• Принудительные работы: до 4 лет
• Лишение свободы: до 4 лет

За преступления в отношении данных несовершеннолетних или биометрических данных:

• Штраф: до 700 000 рублей
• Принудительные работы: до 5 лет
• Лишение свободы: до 5 лет

При тяжких последствиях или организованной группе:

• Лишение свободы: до 10 лет

Как DLP-система помогает соблюдать 152-ФЗ

DLP (Data Loss Prevention) — это система предотвращения потери и утечки данных, которая помогает операторам персональных данных соблюдать требования 152-ФЗ и защищать информацию от несанкционированной передачи, использования и хранения.

Контроль доступа к персональным данным

DLP-система позволяет:

• Классифицировать данные.Система автоматически определяет и маркирует персональные данные в зависимости от категории (обычные, специальные, биометрические).
• Управлять правами доступа.Каждый сотрудник получает доступ только к тем данным, которые необходимы для выполнения его функций.
• Отслеживать действия.DLP фиксирует все операции с персональными данными — открытие, копирование, редактирование, отправку.

Мониторинг передачи данных

DLP-система контролирует все каналы передачи информации:

• Электронная почта.Система анализирует содержимое писем и вложений, предотвращая отправку писем, содержащих персональные данные, на внешние адреса.
• Мессенджеры и облачные сервисы.Контролируется передача данных через Telegram, WhatsApp, Slack, Google Drive, Яндекс.Диск и прочие каналы.
• Внешние носители.Система блокирует копирование персональных данных на USB-накопители, внешние жесткие диски и прочие портативные устройства.
• Сетевые каналы.Контролируется отправка данных по сети, включая попытки их передачи на неавторизованные серверы.

Блокировка несанкционированной отправки

При обнаружении попытки передачи персональных данных DLP-система:

• Блокирует действие.Отправка письма или загрузка файла прерывается автоматически.
• Отправляет уведомление.Администратору информационной безопасности поступает оповещение о попытке нарушения политики.
• Записывает инцидент.Информация об инциденте логируется для последующего анализа.
• Требует санкционирования.В некоторых случаях система может попросить у пользователя обоснование необходимости отправки данных, которое затем проверяет администратор.

Журналирование всех операций

DLP-система ведет детальный журнал (лог) всех операций с персональными данными:

• Кто— какой сотрудник выполнил действие
• Что— какие данные были задействованы
• Когда— точное время операции
• Где— на каком устройстве произошла операция
• Как— каким способом (копирование, отправка, печать и т.д.)

Эта информация критически важна для:

• Доказательства соответствия требованиям 152-ФЗ.При проверке Роскомнадзора логи демонстрируют, что организация активно контролирует доступ к персональным данным.
• Расследования инцидентов.При утечке данных логи помогут выявить источник и способ утечки.
• Аудита безопасности.Журналы используются при аттестации ИСПДн и других проверках соответствия.

Дополнительные возможности DLP для защиты 152-ФЗ

Контентный анализ в реальном времени. DLP использует несколько технологий анализа данных:

• Определение паттернов (поиск номеров паспортов, СНИЛС, ИНН, номеров кредитных карт и т.д.)
• Лингвистический анализ (поиск ключевых слов, связанных с конфиденциальной информацией)
• Цифровые отпечатки (создание уникальной сигнатуры для критичных файлов и баз данных)
• Машинное обучение (система учится распознавать новые типы конфиденциальной информации)

Контроль USB и съемных носителей. Система может блокировать использование портов USB, предотвращая копирование персональных данных на внешние носители.

Контроль экрана и буфера обмена. DLP отслеживает и может блокировать операции копирования на уровне ОС (операционной системы), включая скриншоты и видео-запись экрана.

Интеграция с системами безопасности. DLP интегрируется с межсетевыми экранами, системами обнаружения вторжений, SIEM-системами и другими инструментами информационной безопасности, обеспечивая комплексный контроль.

Чек-лист для операторов персональных данных

Используйте этот чек-лист для проверки соответствия вашей организации требованиям 152-ФЗ:

Организационные меры

• Назначен ответственный за обработку персональных данных
• Разработана и опубликована политика конфиденциальности
• Организация зарегистрирована в реестре операторов Роскомнадзора
• Роскомнадзор уведомлен о начале обработки персональных данных
• Разработана процедура получения согласия на обработку (отдельный документ, содержащий цели и условия обработки)
• Ведется реестр обработчиков персональных данных (если используются третьи стороны)
• Составлены договоры с обработчиками персональных данных
• Разработаны и утверждены локальные нормативные акты по защите ПДн (политики, инструкции, регламенты)
• Проведено обучение персонала вопросам защиты персональных данных
• Определена процедура уведомления об утечке данных (включая уведомление Роскомнадзора в течение 24 часов)

Технические меры

• Определен уровень защищенности ИСПДн в соответствии с Постановлением Правительства №1119
• Установлены сертифицированные по требованиям ФСТЭК средства защиты информации
• Реализована система контроля доступа с использованием паролей, двухфакторной аутентификации, биометрии
• Персональные данные хранятся только на серверах на территории РФ
• Реализована криптографическая защита передачи данных (HTTPS, VPN и т.д.)
• Установлена и настроена система антивирусной защиты согласно требованиям ФСТЭК
• Развернуты и настроены системы обнаружения вторжений (IDS/IPS)
• Установлен межсетевой экран (брандмауэр) требуемого класса
• Реализована система архивирования (резервного копирования) персональных данных
• Установлена DLP-система для контроля передачи и использования персональных данных

Мониторинг и аудит

• Ведется журнал (логирование) всех операций с персональными данными
• Логи сохраняются в течение установленного нормативно-методическими документами времени
• Проводятся регулярные проверки логов на предмет аномальной активности
• Реализовано резервное копирование и защита логов от несанкционированного удаления
• Проводятся регулярные инспекции объемов обрабатываемых данных (минимизация)
• Выполняются плановые проверки соответствия требованиям безопасности
• Проведена аттестация ИСПДн (если требуется по типу системы)

Действия при утечке

• Разработан и утвержден план действий при выявлении утечки
• Определены ответственные за реагирование на инциденты
• Установлена процедура расследования инцидентов
• Уведомлены все контакты Роскомнадзора для уведомления об утечке
• Подготовлена форма уведомления пострадавших лиц
• Определены сроки уведомления (24 часа для Роскомнадзора, 10 дней для пострадавших)
• Разработана процедура документирования инцидентов для возможного судебного разбирательства

Подготовка к проверкам

• Собрана и систематизирована вся документация по защите ПДн
• Подготовлены ответы на типовые вопросы проверяющих органов
• Проведена внутренняя проверка соответствия требованиям (внутренний аудит)
• Определена контактная информация для взаимодействия с проверяющими органами
• Назначен или выбран адвокат для консультаций по правовым вопросам

Заключение

Защита персональных данных в соответствии с Федеральным законом №152-ФЗ — это не только юридическая обязанность, но и критический элемент репутационного и финансового благополучия организации. С ужесточением штрафов в 2026 году (максимально до 3% годовой выручки) и расширением полномочий регуляторов, компании, игнорирующие требования закона, рискуют столкнуться с серьезными санкциями и репутационными убытками.

Внедрение DLP-системы, такой как Стахановец, позволяет автоматизировать контроль передачи и использования персональных данных, значительно снижая риски утечек и демонстрируя проверяющим органам серьезное отношение к защите информации. Комплексный подход, включающий организационные меры, технические средства защиты и постоянный мониторинг, обеспечивает надежную защиту персональных данных и соответствие требованиям 152-ФЗ в 2026 году и далее.

Попробовать «Стахановец»