Новые изменения в законодательстве о защите персональных данных

Что изменилось в 2026 году: три главных нововведения

В 2026 году вступили в силу поправки, которые напрямую влияют на любой бизнес, собирающий данные клиентов или сотрудников. Первое — требования к форме согласия стали строже. Теперь согласие должно содержать конкретный перечень действий с данными, а не общую фразу «согласен на обработку». Второе — уточнены правила трансграничной передачи: для стран вне ЕЭС потребуется дополнительное уведомление Роскомнадзора за 10 рабочих дней. Третье — штрафы за повторные нарушения выросли: для должностных лиц до 300 000 рублей, для юрлиц — до 500 000 рублей.

Как получить корректное согласие на обработку: алгоритм для юриста и маркетолога

Не используйте универсальную галочку «Принимаю условия». По новым правилам в 2026 году согласие должно быть конкретным и информированным. Это означает, что в тексте нужно указать: какие именно данные собираете (ФИО, телефон, email, геолокация), для какой цели (доставка, маркетинг, аналитика), срок обработки (например, 1 год или до отзыва) и возможность отзыва в любой момент. Разместите форму согласия так, чтобы пользователь мог ознакомиться с полным текстом до нажатия кнопки. Если вы собираете данные через телефонный звонок — обязательно записывайте факт получения согласия (аудиофиксация или подпись через СМС).

Пример для интернет-магазина: на странице оформления заказа добавьте чекбокс с текстом «Я даю согласие на обработку моих персональных данных (имя, телефон, адрес доставки) для выполнения заказа и связи со мной. Срок хранения — до завершения доставки. Подробнее в Политике конфиденциальности». Не ставьте предустановленную галочку — это нарушение.

Локализация данных: когда сервер должен стоять в РФ

По 152-ФЗ все операторы, собирающие данные граждан РФ, обязаны обеспечить их запись, систематизацию, накопление и хранение на серверах, физически расположенных на территории России. Это касается даже тех компаний, которые работают только с данными сотрудников (зарплата, паспортные данные). Практическое решение: если вы используете зарубежный CRM (например, Salesforce или HubSpot), вам нужно настроить репликацию базы на российский сервер — или выбрать российский аналог (AmoCRM, Битрикс24).

Важный нюанс 2026 года: Роскомнадзор теперь проверяет локализацию не по декларациям, а по реальному доступу к данным. В случае проверки вы обязаны за 3 рабочих дня предоставить документы, подтверждающие расположение сервера (договор аренды, акт приема-передачи). Если данных в РФ нет — штраф и блокировка сайта.

Пошаговая инструкция по приведению сайта к требованиям 2026 года

1. Проведите аудит всех форм сбора данных (регистрация, подписка, обратная связь, куки). Зафиксируйте, какие данные собираются и куда уходят.
2. Обновите текст согласия везде, где это необходимо. Уберите предустановленные галочки. Добавьте цель сбора и срок хранения.
3. Разместите Политику конфиденциальности на видном месте (футер сайта, ссылка в форме согласия). Убедитесь, что она содержит актуальные 2026 года пункты о трансграничной передаче и порядке отзыва согласия.
4. Проверьте договор с хостинг-провайдером — данные должны храниться в РФ. Если используете foreign cloud (AWS, Google Cloud), настройте российский регион или добавьте российский сервер.
5. Настройте уведомление Роскомнадзора: если планируете передавать данные за рубеж (например, для рассылок через Mailchimp), подайте уведомление за 10 рабочих дней до начала передачи.
6. Назначьте ответственного за обработку данных (сотрудник или внешний DPO). Внесите его контакты в Политику.

Типичные ошибки бизнеса, из-за которых приходят штрафы — и как их избежать

• Согласие «свадебное»: одна галочка сразу на всё — обработку, рекламу и передачу партнёрам. В 2026 году это прямое нарушение. Решение: разделите согласия по целям.
• Куки-уведомление без выбора: если вы используете аналитику (Яндекс.Метрика, Google Analytics), нужно получить согласие на установку кук — просто кнопка «Ок» без отказа недопустима. Сделайте кнопку «Настроить» с выбором категорий.
• Устаревшая Политика конфиденциальности: если в документе указан прошлый год или старые ссылки — это повод для предписания. Обновляйте раз в год, вносите дату последнего изменения.
• Хранение данных дольше срока: если цель достигнута (доставка прошла, а данные по клиенту остаются на года) — это нарушение. Внедрите автоматическую чистку записей старше, чем указано в согласии.
• Игнорирование требований к трансграничной передаче: рассылка писем через сервис, серверы которого находятся в США или Германии, без уведомления РКН — риск блокировки. Переключайтесь на российские сервисы (Unisender, Sendsay) или подавайте уведомление.

Как подготовиться к проверке Роскомнадзора: чек-лист за 5 дней

Проверки Роскомнадзора в 2026 году чаще всего внеплановые — по жалобе клиента или по факту утечки. Но если вы готовы, риски минимальны. Вот что нужно сделать прямо сейчас: соберите все согласия за последние 12 месяцев в отдельную папку (электронную или бумажную). Убедитесь, что каждое согласие подписано (в т.ч. электронной подписью) и хранится дольше срока обработки на 3 года — это срок исковой давности. Проверьте договор с хостингом — сервер должен быть в РФ, в документах — адрес ЦОДа. Подготовьте ответ на шаблонный запрос РКН (шаблон доступен на сайте rkn.gov.ru). Назначьте сотрудника, который будет отвечать на запросы в течение 24 часов — это требование закона.

Что будет за нарушение: таблица штрафов 2026 года

• Обработка без согласия (ст. 13.11 КоАП): должностные лица — от 10 000 до 50 000 руб. (повторно до 300 000), юрлица — от 30 000 до 300 000 руб. (повторно до 500 000).
• Нарушение локализации (ст. 13.11 ч. 5): штраф до 6 млн рублей или оборотный штраф 1% от выручки за предыдущий год — по решению суда.
• Неуведомление Роскомнадзора о трансграничной передаче: предупреждение или штраф до 100 000 руб. для юрлиц.
• Блокировка сайта: при повторном нарушении Роскомнадзор может заблокировать сайт оператора до устранения — без суда, на основании протокола.

Самый частый сценарий в 2026 году — штраф от 50 000 до 150 000 руб. за некорректное согласие (например, одна галочка на всё). Чтобы избежать этого — пересмотрите все формы уже сегодня.

Добавлено: 12.05.2026