Российский бизнес долгое время относился к персональным данным как к бесплатному сырью. Собирали всё, хранили кое-как, защищали по остаточному принципу. Но в 2025–2026 годах ситуация изменилась радикально. Сегодня утечка базы клиентов — это не просто репутационный удар. Это прямой путь к разорению. Штрафы в 500 миллионов рублей и уголовные дела стали реальностью. Разберемся, что именно требует закон и как не попасть под каток контролирующих органов.
Персональные данные: что изменилось в правовом поле
Федеральный закон №152-ФЗ действует почти двадцать лет. Но только сейчас он заработал в полную силу. Поправки 2025 года (известные как закон №420-ФЗ) превратили его из декларации о намерениях в рабочий инструмент давления на недобросовестных операторов. Закон по-прежнему делит данные на категории. Есть обычные сведения — фамилия, телефон, адрес. Есть специальные — национальность, религия, политические взгляды. Есть биометрия — отпечатки пальцев, снимки сетчатки, записи голоса. Отдельно стоят медицинские данные. Чем чувствительнее информация, тем жестче требования к ее защите.
Ключевое изменение 2025 года: оператором считается любой, кто собирает данные. Интернет-магазин, стоматологическая клиника, фитнес-клуб, служба доставки, самозанятый репетитор. Раньше многие мелкие игроки думали, что закон писан только для гигантов вроде банков или сотовых операторов. Теперь так не получится.
Три главных требования, которые нельзя игнорировать
Первое. Согласие на обработку должно быть отдельным документом. Запрещено прятать его в пользовательском соглашении, которое никто не читает. Человек должен подписать бумагу или поставить галочку именно под согласием, где черным по белому написано, зачем вы берете его данные и что собираетесь с ними делать.
Второе. Данные россиян должны храниться в России. Использование зарубежных облачных серверов без локализации стало грубейшим нарушением. Если ваш сайт лежит на хостинге в Европе, а база клиентов — там же, готовьтесь к проблемам.
Третье. О каждой утечке надо сообщать в Роскомнадзор в течение суток. Причем сообщать официально, с документами и объяснениями. Если вы узнали, что база утекла в пятницу вечером, у вас есть время до вечера субботы, чтобы отправить уведомление. Промедление приравнивается к сокрытию и карается отдельно.
Техническая защита: требования ФСТЭК без прикрас
Роскомнадзор следит за юридической чистотой. ФСТЭК отвечает за техническую сторону. И здесь начинается самое интересное для тех, кто привык экономить на безопасности. ФСТЭК требует классифицировать информационную систему по уровням защищенности. Их четыре. Первый уровень — для критически важных данных, где требуются средства защиты высшего класса. Четвертый — базовый, для несложных систем. Но классификация — это только начало. Дальше нужно выполнить конкретные требования. Установить сертифицированные межсетевые экраны. Настроить системы обнаружения вторжений. Внедрить антивирусы, одобренные регулятором. Обеспечить криптографическую защиту при передаче данных. Вести логи всех операций с персональными данными.
Многие коммерческие компании думают, что аттестация информационной системы для них необязательна, ведь это требование для госорганов. Формально да. Но когда происходит утечка и приходит проверка, отсутствие аттестации становится отягчающим обстоятельством. Это доказательство того, что вы не принимали достаточных мер.
Цена вопроса: штрафы 2026 года
До 2025 года многие компании откупались от проблем штрафами в 50–100 тысяч рублей. Это были смешные деньги, которые закладывали в бюджет как операционные расходы. Сейчас ситуация иная. За не уведомление Роскомнадзора о начале обработки данных организация может получить штраф до 300 тысяч. За несвоевременное сообщение об утечке — до трех миллионов. Но это цветочки. Основной удар приходится на сами утечки. Если утекли данные от одной до десяти тысяч человек, штраф составит от трех до пяти миллионов. Если пострадало больше ста тысяч — от десяти до пятнадцати миллионов. Но самое страшное ждет рецидивистов. Повторная утечка в течение года наказывается оборотным штрафом. Это от одного до трех процентов годовой выручки, но не меньше двадцати миллионов рублей. Для крупных компаний сумма может достигать полумиллиарда. Особо охраняются биометрические данные. Их утечка даже в первый раз стоит организации от пятнадцати до двадцати миллионов рублей. И не забывайте про уголовную ответственность. Если выяснится, что данные собирали или продавали незаконно, руководитель может получить реальный срок. До четырех лет лишения свободы за обычную утечку, до десяти — если пострадали несовершеннолетние или использовались биометрические данные.
Почему технический контроль становится необходимостью
В такой ситуации надеяться на порядочность сотрудников и удачу нельзя. Единственный способ защитить компанию — тотальный технический контроль за перемещением данных. Системы предотвращения утечек работают как цифровой надзиратель. Они видят, кто, когда и куда пытается отправить файл с базой клиентов. Они знают, какие данные можно копировать на флешку, а какие нельзя. Они блокируют отправку писем с вложениями, содержащими персональные данные, если отправитель не имеет на это прав. Важно понимать, как работают такие системы. Они не просто ставят забор. Они классифицируют информацию, присваивают ей уровень важности и следят за каждым действием. Если сотрудник пытается отправить на личную почту таблицу с номерами паспортов, система остановит это действие и сообщит службе безопасности. В случае утечки такие системы дают главное — возможность расследования. Логи показывают точную картину: кто был источником, когда это произошло, какой канал использовался. Без этой информации вы даже не сможете правильно составить уведомление для Роскомнадзора.
Практические шаги
Соответствие 152-ФЗ сегодня — это не набор разовых мероприятий, а постоянный процесс. Нельзя один раз внедрить защиту и успокоиться. Начать стоит с организационной работы. Назначьте человека, ответственного за персональные данные. Это должно быть официальное решение, закрепленное приказом. Разработайте и опубликуйте политику конфиденциальности. Убедитесь, что вы зарегистрированы в реестре операторов Роскомнадзора. Проверьте, как вы берете согласия. Отдельный документ на каждую цель. Никаких общих фраз. Если вы собираете данные для доставки товара, не используйте их для рекламных рассылок без отдельного разрешения.
Техническая часть сложнее. Определите уровень защищенности вашей системы. Проверьте, где физически хранятся данные. Если сервера за границей, срочно решайте вопрос с локализацией. Установите сертифицированные средства защиты. Настройте логирование всех операций. И обязательно внедрите систему контроля передачи данных. Ручной контроль здесь не работает. Сотрудники могут быть не злоумышленниками, а просто невнимательными людьми, которые по ошибке отправили важный файл не туда. Автоматика такие ошибки пресечет.
Заключение
152-ФЗ в 2026 году — это не прихоть чиновников и не способ пополнить бюджет штрафами. Это объективная реальность, в которой данные стали таким же активом, как деньги или основные средства. И относиться к ним нужно соответствующе. Игнорирование требований закона сегодня — это сознательный выбор в пользу риска. Риска потерять десятки миллионов рублей, попасть под уголовное преследование и навсегда испортить репутацию компании. Предприниматели, которые этого не понимают, скоро покинут рынок. Останутся те, кто воспринимает защиту данных как неотъемлемую часть ведения бизнеса.
