Почему в 2026 нельзя работать «по старинке»: что изменилось в 2025 и почему это повышает риски
До 2025 года многие организации выстраивали работу с персональными данными формально: подавали уведомление в Роскомнадзор, размещали политику на сайте, использовали типовые шаблоны документов и считали вопрос закрытым. Такой подход позволял годами находиться вне фокуса регулятора. В 2026 году эта модель перестала быть рабочей.
Основная причина — изменение подхода государства к нарушениям в сфере персональных данных. Законодатель исходит из того, что персональные данные стали критически значимым активом, а их утечки и неправомерная обработка несут системные риски для граждан. В результате в 2025 году была существенно переработана административная ответственность, а правоприменительная практика стала более жесткой и формализованной.
С 30 мая 2025 года действуют обновленные составы административных правонарушений и увеличенные размеры штрафов за нарушения в сфере персональных данных. Это не проект и не разъяснения — это действующая норма, которая применяется при проверках в 2026 году.
Еще один принципиальный сдвиг — изменение логики проверок. Роскомнадзор все чаще оценивает не наличие отдельных документов, а способность оператора доказать, что обработка персональных данных:
-
имеет законные цели и основания;
-
управляется и контролируется;
-
соответствует фактическим бизнес-процессам;
-
сопровождается реальными мерами защиты.
Формальный набор документов без связи с реальной деятельностью больше не воспринимается как соблюдение требований закона. Напротив, такие документы часто становятся источником дополнительных нарушений, поскольку легко выявляются расхождения между «бумагой» и практикой.
Дополнительным фактором риска в 2026 году становится накопленный эффект прошлых ошибок. Уведомления, поданные несколько лет назад, старые редакции согласий, устаревшие положения и политики — все это оценивается регулятором с учетом текущих требований, а не по состоянию «на момент разработки».
Изменения по штрафам и составам: что реально «болит» в 2026 году
Ключевое последствие изменений 2025 года — это переформатирование административной ответственности в сфере персональных данных. В 2026 году бизнес сталкивается уже не с теоретическими рисками, а с новой, более жесткой конструкцией КоАП, которая применяется на практике при проверках.
Ранее ответственность по статье 13.11 КоАП РФ воспринималась как «умеренная»: штрафы были относительно низкими, а сами составы — размытыми. Это создавало у бизнеса ощущение, что нарушения в сфере персональных данных не относятся к приоритетным рискам. В 2025 году этот подход был изменен.
Во-первых, увеличены размеры штрафов по большинству составов. Во-вторых, более четко разделены виды нарушений, что позволяет регулятору квалифицировать действия оператора по нескольким составам одновременно, а не ограничиваться одним эпизодом.
В 2026 году один и тот же оператор может быть привлечен к ответственности сразу по нескольким частям статьи 13.11 КоАП РФ, если нарушения затрагивают разные аспекты обработки персональных данных.
На практике наибольшее значение для бизнеса имеют следующие категории нарушений:
-
обработка персональных данных без законных оснований либо с превышением заявленных целей;
-
отсутствие или некорректное оформление организационно-распорядительной документации;
-
нарушения порядка получения согласий субъектов персональных данных;
-
несоответствие сведений, указанных в уведомлении Роскомнадзора, фактической обработке;
-
нарушения при обработке персональных данных через сайт;
-
непринятие мер по обеспечению безопасности персональных данных.
Отдельного внимания заслуживает логика повторности. Если нарушение выявляется повторно либо носит длящийся характер, размер штрафа существенно возрастает. При этом повторность может быть зафиксирована не только в рамках одной проверки, но и при последующих контрольных мероприятиях.
Еще один важный момент — снижение роли “смягчающих факторов”. Сам по себе факт того, что организация ранее не привлекалась к ответственности, не гарантирует замену штрафа предупреждением. В 2026 году регулятор исходит из оценки характера нарушения и его последствий, а не из «истории проверок» оператора.
Практика показывает, что наиболее уязвимыми оказываются компании, которые:
-
подавали уведомление в Роскомнадзор формально и давно его не актуализировали;
-
используют устаревшие редакции согласий и политик;
-
имеют ОРД, не связанную с реальными процессами;
-
не контролируют обработку персональных данных на сайте и через внешние сервисы.
Согласия с 1 сентября 2025 года: что именно изменилось и что срочно проверить
Изменения, вступившие в силу с 1 сентября 2025 года, затронули один из самых уязвимых элементов системы персональных данных — согласие субъекта на обработку персональных данных. В 2026 году именно согласия становятся частой точкой фиксации нарушений, поскольку большинство организаций продолжает использовать устаревшие подходы и шаблоны.
Ключевое изменение заключается в том, что согласие на обработку персональных данных должно быть оформлено отдельно от иной информации и документов. Это означает отказ от практики, когда согласие «встроено» в договор, анкету, заявление или пользовательское соглашение без четкого выделения и самостоятельного волеизъявления субъекта.
Согласие, которое не позволяет однозначно подтвердить добровольность, осознанность и конкретность волеизъявления субъекта, в 2026 году рассматривается регулятором как ненадлежащее.
На практике это затрагивает сразу несколько типовых ситуаций:
-
согласие включено в текст трудового или гражданско-правового договора;
-
одна галочка используется сразу для нескольких целей обработки;
-
цели обработки сформулированы обобщенно («для оказания услуг», «в рамках деятельности компании»);
-
не разделены категории персональных данных и действия с ними;
-
отсутствует возможность доказать факт получения согласия.
Отдельную зону риска образуют кадровые согласия. Многие работодатели продолжают использовать единый шаблон согласия, который охватывает все возможные кадровые процессы без детализации. В 2026 году такой подход не соответствует требованиям закона, поскольку согласие должно быть конкретным и соразмерным целям обработки.
Не менее критична ситуация с согласиями, получаемыми через сайт. Часто они формулируются формально, не согласуются с политикой в отношении обработки персональных данных и не позволяют установить, на какие именно действия и данные дал согласие пользователь. При дистанционном контроле такие нарушения выявляются в первую очередь.
В результате в 2026 году организациям необходимо провести ревизию всех используемых согласий, включая:
-
кадровые согласия;
-
согласия клиентов и контрагентов;
-
согласия пользователей сайта;
-
согласия, получаемые через формы, заявки и маркетинговые инструменты.
Цель такой ревизии — не просто обновить тексты, а обеспечить соответствие согласий фактическим процессам обработки и возможность доказать правомерность обработки персональных данных при проверке.
Уведомление в Роскомнадзор: почему в 2026 его нужно перепроверить даже тем, кто «уже подавал»
Для многих организаций уведомление в Роскомнадзор остается самой первой и, нередко, единственной выполненной обязанностью в сфере персональных данных. Однако в 2026 году именно ранее поданные уведомления становятся источником повышенных рисков, особенно если они оформлялись несколько лет назад и с тех пор не пересматривались.
Закон требует, чтобы сведения, указанные в уведомлении, соответствовали фактической обработке персональных данных. Это означает, что уведомление не является разовым действием «на старте», а должно актуализироваться при изменении целей обработки, категорий данных, состава субъектов, используемых информационных систем или условий передачи персональных данных третьим лицам.
На практике большинство проблем возникает из-за того, что уведомление:
-
заполнялось по шаблону без привязки к реальной деятельности;
-
отражает устаревшие цели обработки;
-
не учитывает новые ИТ-системы, сайты, CRM, сервисы аналитики;
-
не содержит информации о фактической передаче данных подрядчикам;
-
не совпадает с положениями ОРД и политикой на сайте.
Особенно уязвимыми оказываются уведомления, поданные до существенных изменений бизнес-процессов: запуска новых направлений, перехода на удаленную работу, внедрения маркетинговых инструментов или расширения кадровых процедур. С точки зрения регулятора оператор обязан был актуализировать сведения, а их отсутствие трактуется как недостоверная информация.
Отдельного внимания заслуживает распространенное заблуждение, что уведомление подтверждает законность обработки. На практике уведомление лишь фиксирует факт того, что оператор заявил о своей деятельности. Оно не подтверждает наличие законных оснований, корректных согласий или мер защиты персональных данных.
В 2026 году уведомление в Роскомнадзор все чаще используется регулятором как отправная точка для проверки. Сведения из него сопоставляются с сайтом, внутренними документами и фактическими процессами. Чем больше расхождений выявляется, тем выше риск предписаний и административной ответственности.
Организационно-распорядительная документация в 2026 году: что проверяют в первую очередь
В 2026 году организационно-распорядительная документация по персональным данным перестает быть формальным «пакетом для проверки» и становится ключевым доказательством того, что оператор реально управляет обработкой персональных данных. Именно через ОРД Роскомнадзор оценивает, выполняются ли требования 152-ФЗ на практике, а не только на бумаге.
Важно понимать, что регулятор проверяет не отдельные документы, а целостность и логику системы. Наличие политики, приказов и положений само по себе не является достаточным, если они не связаны между собой и не отражают реальные процессы обработки персональных данных в организации.
В 2026 году формальная ОРД, не соответствующая фактической деятельности, рассматривается как отсутствие надлежащих организационных мер защиты персональных данных.
В рамках проверок особое внимание уделяется следующим элементам ОРД:
-
определение целей и правовых оснований обработки персональных данных;
-
распределение ролей и ответственности внутри организации;
-
порядок предоставления и разграничения доступа к персональным данным;
-
описание используемых информационных систем персональных данных;
-
меры по обеспечению безопасности персональных данных;
-
процедуры реагирования на обращения субъектов и инциденты безопасности;
-
порядок хранения и уничтожения персональных данных.
Типовой проблемой является использование универсальных шаблонов, которые не учитывают специфику деятельности компании. При сопоставлении таких документов с кадровыми процессами, договорной работой, ИТ-инфраструктурой и сайтом легко выявляются несоответствия, которые квалифицируются как нарушения.
Еще один критический аспект — фактическое внедрение ОРД. Документы должны быть утверждены приказами, введены в действие и доведены до работников, допущенных к обработке персональных данных. Отсутствие подтверждений ознакомления, регламентов доступа и контроля исполнения существенно снижает доказательственную ценность документации.
В 2026 году Роскомнадзор все чаще оценивает, способна ли организация доказать, что ОРД используется как инструмент управления:
-
сотрудники знают свои обязанности и ограничения;
-
доступ к персональным данным предоставляется и отзывается по правилам;
-
изменения в процессах отражаются в документах;
-
меры защиты соответствуют заявленным.
Что срочно проверить в организации в 2026 году: практический чек-лист
После изменений 2025 года ключевой риск для бизнеса в 2026 году заключается в том, что система обработки персональных данных фактически существует, но не описана или описана некорректно. Именно поэтому регулятор начинает проверку не с формальных документов, а с анализа того, как персональные данные реально обрабатываются внутри организации.
Первый шаг — инвентаризация всех процессов обработки персональных данных. На практике у большинства компаний таких процессов больше, чем отражено в документах. Персональные данные обрабатываются не только в кадровой службе или отделе продаж, но и в маркетинге, бухгалтерии, ИТ, службе безопасности, при работе с подрядчиками и через сайт.
В рамках первичной проверки необходимо определить:
-
какие категории субъектов персональных данных обрабатываются (работники, клиенты, пользователи сайта, контрагенты и др.);
-
какие категории персональных данных используются по каждому процессу;
-
для каких целей осуществляется обработка;
-
на каком правовом основании обрабатываются данные;
-
какие подразделения и сотрудники имеют доступ к персональным данным.
Если хотя бы один из этих элементов не может быть однозначно подтвержден документально, с точки зрения регулятора система обработки персональных данных считается неуправляемой.
Следующий критически важный блок — информационные системы персональных данных (ИСПДн). В 2026 году особое внимание уделяется фактическому использованию ИТ-инструментов, а не их формальному описанию. Часто выявляется, что в уведомлении и ОРД указана одна система, а реально используются CRM, облачные сервисы, мессенджеры, сервисы аналитики и хранения данных, которые нигде не отражены.
Отдельно необходимо проверить:
-
соответствие ИСПДн сведениям, указанным в уведомлении Роскомнадзора;
-
наличие разграничения доступа пользователей;
-
актуальность мер защиты, заявленных в документах;
-
порядок подключения и отключения сотрудников и подрядчиков.
Третья зона повышенного риска — передача персональных данных третьим лицам. В 2026 году регулятор ожидает увидеть не общие формулировки, а конкретное понимание того, кому, на каком основании и в каком объеме передаются персональные данные. Это касается аутсорсинга, ИТ-подрядчиков, сервисов аналитики, коллтрекинга, бухгалтерского сопровождения и кадровых сервисов.
Сайт и маркетинг в 2026 году: формы, аналитика и передачи третьим лицам
В 2026 году сайт организации рассматривается регулятором как самостоятельный и приоритетный объект контроля. Причина проста: сайт — публичный ресурс, доступный для дистанционной проверки без уведомления оператора. Именно с анализа сайта все чаще начинается надзорная работа, даже если формальная проверка компании еще не инициирована.
Любой сайт, на котором используются формы обратной связи, заявки, регистрации, подписки, онлайн-чаты или маркетинговые инструменты, осуществляет обработку персональных данных. При этом в 2026 году регулятор оценивает не только сам факт сбора данных, но и прозрачность, управляемость и обоснованность такого сбора.
На практике чаще всего выявляются следующие нарушения:
-
формы собирают персональные данные без корректного и доказуемого согласия;
-
цели обработки указаны обобщенно или не совпадают с фактическим использованием данных;
-
политика в отношении обработки персональных данных не соответствует реальным сценариям работы сайта;
-
отсутствует информация о передаче персональных данных третьим лицам;
-
сайт использует внешние сервисы без правовой оценки их роли в обработке данных.
Если сайт обрабатывает персональные данные иначе, чем это указано в ОРД или уведомлении в Роскомнадзор, такое расхождение в 2026 году квалифицируется как нарушение независимо от наличия внутренних документов.
Отдельную зону риска в 2026 году формируют маркетинговые и аналитические инструменты. Сервисы веб-аналитики, коллтрекинга, онлайн-чатов, CRM-форм, сервисы рассылок и виджеты фактически вовлечены в обработку персональных данных пользователей сайта. При этом многие компании не учитывают, что подключение таких инструментов означает передачу данных третьим лицам.
Часто выявляется ситуация, когда:
-
внешние сервисы не отражены в уведомлении в Роскомнадзор;
-
отсутствуют договоры или поручения на обработку персональных данных;
-
не определены цели и объем передаваемых данных;
-
политика сайта не содержит информации о таких передачах.
Еще одна типовая ошибка — разрыв между сайтом и внутренней системой обработки персональных данных. Документы внутри компании существуют сами по себе, а сайт живет по своим правилам. В 2026 году такой подход практически гарантирует выявление нарушений, поскольку регулятор сопоставляет сайт, уведомление и ОРД как элементы одной системы.
Утечки персональных данных и уведомления: к чему готовиться в 2026 году
После изменений 2025 года тема утечек персональных данных перешла из разряда «редких инцидентов» в один из самых дорогостоящих сценариев ответственности. В 2026 году регулятор ожидает от операторов не только факта защиты персональных данных, но и готовности оперативно и корректно действовать при инцидентах безопасности.
Ключевая проблема заключается в том, что большинство организаций не готовы к утечке организационно и документально, даже если технические меры защиты частично реализованы. Отсутствие регламентов и распределения ответственности приводит к тому, что при инциденте нарушается порядок фиксации, оценки и уведомления, что само по себе образует состав правонарушения.
В 2026 году ответственность наступает не только за сам факт утечки, но и за ненадлежащие действия оператора после ее выявления, включая нарушение порядка уведомления и реагирования.
С точки зрения регулятора оператор должен быть способен доказать, что:
-
в организации определены ответственные за реагирование на инциденты;
-
существует порядок выявления и фиксации нарушений безопасности;
-
проводится оценка масштабов и последствий инцидента;
-
принимаются меры по минимизации ущерба;
-
выполняются установленные законом обязанности по уведомлению.
На практике именно отсутствие регламента реагирования на инциденты становится критической ошибкой. Компании не могут подтвердить, когда была выявлена утечка, какие действия предпринимались и на каком основании принимались решения. Это существенно ухудшает позицию оператора при разбирательстве.
Еще один фактор риска — человеческий и подрядный фактор. В 2026 году значительная часть инцидентов связана не с внешними атаками, а с ошибками сотрудников, использованием неучтенных сервисов, передачей данных подрядчикам без надлежащего контроля. Если такие сценарии не описаны в ОРД, ответственность ложится на оператора в полном объеме.
Важно учитывать, что регулятор оценивает готовность к инцидентам комплексно: в связке с уведомлением в Роскомнадзор, ОРД, фактическими мерами защиты и практикой работы с персональными данными. Отсутствие одного элемента усиливает негативную оценку остальных.
Типовые «красные флаги», из-за которых компании получают предписания и штрафы
Практика проверок показывает, что в 2026 году большинство предписаний и штрафов связано не с экзотическими или редкими нарушениями, а с типовыми ошибками, которые повторяются у большого числа операторов персональных данных. Эти ошибки хорошо известны регулятору и выявляются как при дистанционном контроле, так и при выездных проверках.
Первый и наиболее распространенный «красный флаг» — наличие документов без их фактического внедрения. Организация может предоставить пакет ОРД, но при проверке выясняется, что сотрудники не ознакомлены с документами, порядок доступа не соблюдается, а регламенты не используются в реальной работе. В таких случаях документы не рассматриваются как мера защиты, а нарушение фиксируется как отсутствие организационных мер.
Второй критический сигнал для регулятора — несоответствие документов реальным процессам. Это проявляется, когда в ОРД указаны одни цели, категории данных или ИСПДн, а фактически используются другие. Особенно часто такие расхождения выявляются при сопоставлении кадровых процедур, сайта, CRM-систем и сведений из уведомления в Роскомнадзор.
Если документы противоречат фактической обработке персональных данных, регулятор исходит из реальных действий оператора, а не из формулировок в документах.
Третий «красный флаг» — разрозненность системы персональных данных. Документы по ПДн существуют отдельно, сайт работает по собственным сценариям, маркетинг использует внешние сервисы, а ИТ-инфраструктура не отражена ни в уведомлении, ни в ОРД. В 2026 году такая фрагментация почти гарантированно приводит к выявлению нарушений.
Четвертая типовая проблема — устаревшие документы. Изменения в бизнесе, внедрение новых сервисов, переход на удаленную работу, изменение кадровых процессов требуют актуализации ОРД, согласий и уведомлений. Если документы не пересматривались годами, регулятор квалифицирует это как невыполнение обязанности по обеспечению актуальности системы обработки персональных данных.
Пятый фактор риска — отсутствие управляемости подрядчиков и внешних сервисов. Если организация не может подтвердить, на каком основании и в каком объеме персональные данные передаются третьим лицам, ответственность полностью возлагается на оператора, даже если фактическую обработку выполняет подрядчик.
В совокупности именно эти «красные флаги» формируют у регулятора вывод о том, что обработка персональных данных в организации носит формальный характер. В 2026 году такой вывод практически всегда сопровождается предписаниями об устранении нарушений и административной ответственностью.
Что сделать за 10 рабочих дней: практический план действий на 2026 год
Для большинства организаций проблема персональных данных в 2026 году заключается не в отсутствии желания соблюдать закон, а в непонимании последовательности действий. Попытки «чинить всё сразу» обычно приводят к формальному результату и не снижают риски. Гораздо эффективнее действовать по четкому и ограниченному во времени плану.
Ниже — практический ориентир, который позволяет за короткий срок привести систему обработки персональных данных в управляемое состояние и устранить ключевые риски.
Первые 1–2 дня целесообразно посвятить инвентаризации обработки персональных данных. На этом этапе фиксируются все реальные процессы: кадровые, клиентские, маркетинговые, договорные, онлайн-взаимодействие через сайт, использование сервисов и ИТ-систем. Цель — получить фактическую картину, а не перечень «как должно быть».
На 3–5 день проводится сопоставление фактических процессов с документами. Проверяется, соответствует ли уведомление в Роскомнадзор реальной обработке, актуальны ли согласия, отражены ли все ИСПДн, передачи третьим лицам и цели обработки. Именно здесь выявляется основная масса расхождений, которые в дальнейшем становятся предметом претензий регулятора.
Если несоответствия обнаружены на этом этапе, их необходимо устранять до проверки, а не рассчитывать на корректировку «по предписанию».
С 6 по 10 рабочий день выполняется приведение системы в соответствие. Обычно в этот период:
-
актуализируется или разрабатывается ОРД под реальные процессы;
-
корректируются согласия и формы, включая сайт;
-
уточняется и, при необходимости, обновляется уведомление в Роскомнадзор;
-
утверждаются приказы, распределяется ответственность, оформляется ознакомление сотрудников;
-
фиксируется порядок реагирования на инциденты и запросы субъектов ПДн.
Такой подход позволяет не просто «закрыть формальные требования», а выстроить минимально достаточную и доказуемую систему обработки персональных данных, которая выдерживает проверку логики регулятора.
В 2026 году выигрывают не те, у кого больше документов, а те, у кого документы, сайт и реальные процессы образуют единую систему. Именно такая система позволяет проходить проверки без авралов, штрафов и остановки бизнес-процессов.
Почему в 2026 выигрывает тот, у кого «процессы = документы = сайт»
К 2026 году подход государства к защите персональных данных окончательно сместился от формального контроля к оценке реальной управляемости обработки. Наличие отдельных документов, уведомления или политики больше не воспринимается как доказательство соблюдения требований закона. Регулятор оценивает систему в целом и ищет логическую связку между тем, что написано, и тем, что происходит на практике.
Ключевой вывод, который следует из изменений 2025 года, прост:
если процессы, документы и сайт живут разной жизнью — нарушения будут выявлены. Именно разрывы между этими элементами формируют основную доказательную базу для предписаний и штрафов.
В 2026 году устойчивой считается только та модель, в которой:
-
фактические процессы обработки персональных данных описаны и понятны;
-
эти процессы корректно отражены в ОРД;
-
сведения в уведомлении Роскомнадзора соответствуют реальности;
-
сайт и маркетинговые инструменты работают в тех же целях и рамках, что указаны в документах;
-
согласия субъектов подтверждают законность обработки, а не маскируют нарушения;
-
организация готова доказать свои действия при запросах и инцидентах.
Регулятор оценивает не «намерения» и не количество файлов, а способность оператора управлять персональными данными как процессом с понятными правилами и ответственными лицами.
Отдельно стоит подчеркнуть экономический аспект. В 2026 году исправление нарушений по предписанию почти всегда обходится дороже, чем профилактическая настройка системы. Предписание накладывает жесткие сроки, ограничивает маневр и часто требует срочных изменений без учета бизнес-логики. Кроме того, оно не исключает административной ответственности.
Компании, которые заранее пересмотрели свою систему обработки персональных данных с учетом изменений 2025 года, получают стратегическое преимущество:
-
снижают риск штрафов и блокировок;
-
проходят проверки без остановки процессов;
-
быстрее реагируют на инциденты и запросы субъектов;
-
не тратят ресурсы на экстренное «латание» системы.
персональные данные — это управляемый бизнес-процесс, а не формальная обязанность. Те, кто выстроил систему заранее, работают спокойно. Те, кто продолжает использовать устаревшие шаблоны и формальный подход, принимают на себя повышенные правовые и финансовые риски.
