Аналитика

Персональные данные 2026: локализация, уведомления Роскомнадзора и штрафы за утечки

10.02.2026
17 Время чтения: 7 мин.

Персональные данные 2026: локализация, уведомления Роскомнадзора и штрафы за утечки

Разбираем изменения по 152‑ФЗ и ст. 13.11 КоАП, сроки уведомлений 24 и 72 часа и даем чек‑лист, что проверить на сайте. Материал обновлен 05.02.26.

Краткое саммари

  • Штрафы за утечки выросли. С 30 мая 2025 действуют новые размеры штрафов по ст. 13.11 КоАП РФ, включая оборотные штрафы 1–3% выручки.
  • Локализация стала жестче. С 1 июля 2025 при сборе персональных данных нельзя записывать и хранить данные граждан РФ в базах за пределами РФ по ч. 5 ст. 18 152‑ФЗ.
  • Уведомления стали важным процессом. Оператор обязан уведомлять об инциденте: 24 часа на первичное сообщение и 72 часа на результаты расследования по ст. 21 152‑ФЗ.
  • Cookie и идентификаторы требуют аккуратной настройки. Риски обычно возникают не из‑за файла cookie как такового, а из‑за передачи связанного идентификатора в сторонние сервисы аналитики и рекламы.

Кому стоит прочитать статью:

  • Владельцам сайтов и интернет‑магазинов. Если на ресурсе есть формы, личный кабинет, оплата, подписка, доставка.
  • Маркетологам и SEO‑специалистам. Если на сайте стоят счетчики, пиксели, коллтрекинг, антифрод.
  • Разработчикам и администраторам. Если нужно понять, какие сервисы создают трансграничную передачу и как ее убрать.

С весны 2025 тема персональных данных перестала быть формальностью. Нарушение 152‑ФЗ и ст. 13.11 КоАП РФ теперь может закончиться штрафом в миллионы рублей и отдельной ответственностью за отсутствие уведомлений в Роскомнадзор. Ниже разберем изменения, которые важны в 2026, и соберем чек‑лист, что проверить на сайте.

Персональные данные 2026: что изменилось и какие штрафы действуют

В 2025 году произошло два ключевых события: 30 мая вступили в силу поправки к ст. 13.11 КоАП РФ с новыми штрафами за утечки, а с 1 июля изменилась норма о локализации при сборе персональных данных в 152‑ФЗ. Обновления затронули почти всех, кто собирает данные клиентов, сотрудников и пользователей.

Персональные данные 2026: локализация, уведомления Роскомнадзора и штрафы за утечки

Статистика утечек персональных данных за несколько лет

Штрафы за утечки и нарушения по ст. 13.11 КоАП РФ

С 30 мая 2025 штрафы по ст. 13.11 КоАП РФ привязали к масштабу утечки и типу данных. Для юрлиц ориентиры такие:

Ситуация

Максимальный штраф для юрлица

Утечка 1 000–10 000 записей

до 5 млн руб.

Утечка 10 000–100 000 записей

до 10 млн руб.

Утечка более 100 000 субъектов или 1 млн идентификаторов

до 15 млн руб.

Утечка биометрических данных

до 20 млн руб.

За повторную утечку предусмотрен оборотный штраф: 1–3% годовой выручки, но не менее 20 млн и не более 500 млн руб. Такой риск важен и для среднего бизнеса, у которого выручка легко выводит штраф в десятки миллионов.

Отдельно штрафуют за уведомления и локализацию, даже если утечки не было:

Нарушение

Штраф для юрлица

Не уведомили или опоздали с уведомлением о намерении обрабатывать персональные данные по ст. 22 152‑ФЗ

100 000–300 000 руб.

Не уведомили или опоздали с уведомлением об инциденте по ст. 21 152‑ФЗ

1–3 млн руб.

Нарушили локализацию при сборе персональных данных граждан РФ

1–6 млн руб., повторно 6–18 млн руб.

Уведомления Роскомнадзора: два разных процесса, два разных риска

Уведомление о намерении обрабатывать персональные данные. По ст. 22 152‑ФЗ оператор до начала обработки уведомляет Роскомнадзор, после чего данные попадают в реестр операторов персональных данных. Для сайтов с формами, личным кабинетом и заявками чаще всего нужно такое уведомление.

Уведомление об инциденте. Если произошла неправомерная или случайная передача, предоставление, распространение или доступ к персональным данным и это нарушило права субъектов, действует двухэтапная обязанность по ст. 21 152‑ФЗ: 24 часа на сообщение об инциденте и 72 часа на результаты внутреннего расследования.

Локализация персональных данных с 1 июля 2025: что именно запрещено

Ключевое изменение в 152‑ФЗ касается именно этапа сбора. Часть 5 статьи 18 формулирует запрет: при сборе персональных данных, включая сбор через интернет, нельзя выполнять запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных за пределами РФ.

Это означает, что формы на сайте, CRM и хранилища должны быть настроены так, чтобы первичный поток данных попадал в инфраструктуру в РФ. После этого возможны отдельные сценарии трансграничной передачи, но они требуют отдельной проверки оснований и уведомлений.

Если вы используете обезличивание данных для аналитики и отчетности, учитывайте, что с 1 сентября 2025 действует приказ Роскомнадзора от 19.06.2025 № 140 с требованиями и методами обезличивания персональных данных.

Cookie, идентификаторы и аналитика: где появляются персональные данные

Cookie как файл хранится в браузере пользователя. Риски обычно возникают, когда через cookie или похожие технологии формируется уникальный идентификатор, который уходит в систему аналитики, рекламы, антифрода или коллтрекинга. Если по нему можно выделить конкретного пользователя или связать действия с профилем, регулятор может рассматривать это как обработку персональных данных.

Поэтому нужно понимать, какие скрипты загружаются, куда уходит идентификатор и где находится инфраструктура сервиса.

Полезные ссылки

  • 152‑ФЗ, ст. 18. Запрет на сбор в зарубежные базы по ч. 5 ст. 18.

  • 152‑ФЗ, ст. 21. Уведомление об инциденте 24 и 72 часа.

  • КоАП РФ, ст. 13.11. Штрафы за нарушения и утечки.

  • Приказ Роскомнадзора № 140. Требования к обезличиванию с 1 сентября 2025.

FAQ по разделу

Если утечки не было, зачем обращать внимание на правила 24 и 72 часов?

Потому что скорость реакции и готовые контакты ответственного лица часто решают, будет ли нарушение квалифицировано как несвоевременное уведомление.

Нужно ли удалять все иностранные сервисы с сайта?

Нет, но нужно понять, куда идет первичный сбор данных и есть ли трансграничная передача. И дальше выбрать вариант: заменить сервис, настроить обработку в РФ или легализовать передачу через уведомления и основания.

Как избежать штрафов Роскомнадзора: чек‑лист для сайта и бизнеса

Вот список действий, который помогает закрыть основные риски: локализация, уведомления, контроль скриптов и готовность к инцидентам.

Шаг 1: провести инвентаризацию персональных данных на сайте

  • Точки сбора. Формы, чат, обратный звонок, корзина, подписка, вакансии, личный кабинет.

  • Идентификаторы. IP‑адрес, client id, device id, рекламные идентификаторы, куки аналитики.

  • Куда уходит трафик. Домен и страна, куда обращаются скрипты, пиксели и виджеты.

Если нужно быстро найти внешние счетчики и пиксели, можно проверить загрузку сторонних доменов через инструменты анализа страниц. Это удобно делать при техническом аудите сайта, чтобы не пропустить редкие скрипты на отдельных шаблонах.

Шаг 2: закрыть локализацию на уровне первичного сбора

Проверьте, где стоит хостинг сайта, где находится база заявок, куда пишет CRM и где хранятся бэкапы. После 1 июля 2025 важно, чтобы при сборе данные не записывались в базу за пределами РФ.

Частые источники риска: формы, которые отправляют данные в зарубежные SaaS, встроенные виджеты обратной связи, зарубежные антиботы и анти, облачные таблицы и хранилища.

Шаг 3: привести в порядок уведомления в Роскомнадзор

  • Уведомление об обработке. Подайте уведомление по ст. 22 152‑ФЗ до начала обработки или актуализируйте сведения, если изменились цели, категории данных или появились трансграничные передачи.

  • Регламент на инциденты. Подготовьте шаблон первичного уведомления и порядок внутреннего расследования под сроки 24 и 72 часа по ст. 21 152‑ФЗ.

Шаг 4: настроить согласия и тексты на сайте

  • Политика обработки персональных данных. Обновите цели, категории данных и перечень используемых сервисов.

  • Согласия в формах. Добавьте отдельные чекбоксы, если нужно согласие на рассылки, рекламу или передачу третьим лицам.

  • Cookie и аналитика. Дайте пользователю выбор, с какими cookies соглашаться, а технические cookies оставьте отдельно. Это снижает риски, когда идентификаторы уходят во внешние системы.

FAQ по разделу

Нужно ли уведомление в Роскомнадзор, если на сайте только форма обратной связи?

Чаще всего да, потому что оператор начинает обработку персональных данных до начала работы с заявками. Исключения по ст. 22 152‑ФЗ ограничены, их нужно проверять по ситуации.

Можно оставить на сайте , если данные сначала попадают в РФ?

Риск в том, что аналитика может означать трансграничную передачу идентификаторов. Нужно оценить цепочку запросов, основания, уведомления и возможность замены на сервис с инфраструктурой в РФ.

Cookie‑баннер обязателен?

Закон 152‑ФЗ не называет cookie отдельной сущностью. Но если через cookie формируется идентификатор для аналитики или рекламы, настройка согласий и выбор категорий помогают снизить риск претензий.

Кратко по итогам

  1. С 30 мая 2025 действуют повышенные штрафы по ст. 13.11 КоАП РФ, включая оборотные штрафы 1–3% выручки за повторную утечку.

  2. С 1 июля 2025 при сборе персональных данных запрещено использовать базы данных за пределами РФ для записи и хранения персональных данных граждан РФ по ч. 5 ст. 18 152‑ФЗ.

  3. Уведомление Роскомнадзора об инциденте идет в два шага: 24 часа и 72 часа по ст. 21 152‑ФЗ.

  4. Риски по cookie чаще связаны с передачей идентификаторов в сторонние сервисы аналитики и рекламы, а не с самим файлом cookie.

Полезные инструменты

Массовая проверка доменов XML Sitemap генератор Rich Snippets для FAQ Проверка размера страницы HTML редактор онлайн Проверка IP в спам базах Проверка заголовков H1 Проверка сайта на вирусы Проверка скорости загрузки HTML Проверка IP-адреса сайта

Источник

Теги
10.02.2026
17 Время чтения: 7 мин.
Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

2 + 4 =

Кнопка «Наверх»