Персональные данные в 2026 году: что бизнесу нужно проверить, чтобы избежать штрафов и претензий

В 2025 году требования к обработке персональных данных заметно ужесточились, а в 2026 году для бизнеса вырос риск проверок, штрафов и претензий со стороны клиентов и регулятора. Штрафы по ряду нарушений стали выше, появилась оборотная ответственность за отдельные составы, а соблюдать требования 152-ФЗ должен практически любой бизнес, у которого есть сайт с формой заявки, база клиентов, CRM, рассылка или онлайн-оплата.

В статье разберем, что считается персональными данными, какие ошибки чаще всего допускают предприниматели и что нужно проверить на сайте, в документах и сервисах, чтобы снизить риски.

Что считается персональными данными

Какие данные относятся к персональным

Персональные данные — это любая информация, по которой можно прямо или косвенно определить конкретного человека. Закон трактует это понятие широко.

К персональным данным относятся:

• ФИО;
• номер телефона;
• email;
• дата рождения;
• адрес;
• паспортные данные;
• ИНН и СНИЛС физлица;
• данные банковской карты;
• фотографии;
• геолокация;
• данные о покупках;
• сведения о поведении на сайте;
• IP-адрес в связке с другой информацией.

Важно понимать: даже номер телефона без имени обычно рассматривается как персональные данные, если по нему можно прямо или косвенно определить конкретного человека.

Что не считается персональными данными

Не относятся к персональным данным обезличенная статистика и агрегированная аналитика без привязки к конкретным людям. Например: «70% посетителей сайта из Москвы» — это не персональные данные, если в отчете нет идентификаторов конкретных пользователей.

Также сами по себе данные юридического лица — название компании, ИНН организации, юридический адрес — не являются персональными данными. Но если вы храните ФИО, телефон и email сотрудника контрагента, это уже данные физического лица.

Почему почти любой бизнес работает с персональными данными

Если у бизнеса есть форма заявки, CRM, база рассылок, онлайн-чат, страница в соцсетях с заявками или таблица с клиентами, он уже обрабатывает персональные данные.

Это касается не только крупных компаний, банков и маркетплейсов. Под требования 152-ФЗ попадают интернет-магазины, онлайн-школы, SaaS-сервисы, ИП, самозанятые мастера, фотографы, репетиторы и любые предприниматели, которые хранят контакты клиентов.

Какие законы регулируют персональные данные в России

Что такое 152-ФЗ простыми словами

Федеральный закон «О персональных данных» №152-ФЗ регулирует работу с личной информацией граждан в России.

Он обязывает оператора персональных данных:

• иметь законное основание для обработки данных;
• получать согласие, если оно необходимо;
• собирать только те данные, которые нужны для конкретной цели;
• защищать данные от утечек и несанкционированного доступа;
• соблюдать требования к локализации баз данных граждан РФ;
• уведомлять Роскомнадзор о начале обработки, если не применяется исключение из закона.

Оператор персональных данных — это не только крупная компания. Им может быть ИП, самозанятый или небольшая организация, если они собирают и используют персональные данные клиентов.

Что изменилось в 2025–2026 годах

В 2025 году вступили в силу изменения, которые усилили административную ответственность за нарушения в сфере персональных данных. С 30 мая 2025 года начали применяться повышенные штрафы по ряду составов, включая штрафы за утечки персональных данных и оборотную ответственность за отдельные повторные нарушения.

Также бизнесу стало важнее следить за уведомлением Роскомнадзора. В большинстве случаев оператор должен подать уведомление до начала обработки персональных данных, если не подпадает под исключения, прямо указанные в ст. 22 152-ФЗ.

С 1 июля 2025 года ужесточились требования к локализации персональных данных граждан РФ. При сборе таких данных оператор должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории России.

Какие требования стали строже

В 2025–2026 годах для бизнеса стали особенно важны несколько требований:

• не собирать лишние данные;
• получать отдельные согласия под разные цели, например на обработку заявки и рекламную рассылку;
• уведомлять Роскомнадзор о начале обработки, если нет исключения;
• соблюдать локализацию баз данных граждан РФ;
• быстро сообщать об утечках;
• ограничивать доступ сотрудников к клиентским данным;
• поддерживать актуальные документы на сайте и внутри компании.

Главный вывод: персональные данные больше нельзя воспринимать как формальность. Даже небольшая форма на сайте создает юридические обязанности для бизнеса.

Почему персональные данные стали критичной темой для бизнеса в 2026 году

Почему выросли риски для малого бизнеса

Раньше тема персональных данных часто воспринималась как проблема крупных компаний. Но сейчас риски есть и у малого бизнеса: интернет-магазинов, онлайн-школ, студий услуг, сервисов, ИП и самозанятых.

Поводом для внимания регулятора может стать жалоба клиента, сообщение об утечке, публикация в СМИ или очевидные нарушения на сайте. Например, если на лендинге есть форма заявки, но нет политики обработки данных, согласия и защищенного соединения.

Малый бизнес часто экономит на юридических документах и настройке процессов, поэтому типовые нарушения встречаются особенно часто: нет уведомления, политика скопирована из интернета, чекбоксы оформлены неправильно, доступ к CRM есть у всех сотрудников.

Какие штрафы и проверки стали реальностью

С 30 мая 2025 года штрафы за нарушения в сфере персональных данных существенно выросли. Например, за непредставление уведомления в Роскомнадзор для юридических лиц возможен штраф до 300 000 рублей, за несообщение об утечке — до 3 млн рублей, а за отдельные повторные нарушения предусмотрена оборотная ответственность — до 3% годовой выручки, но не более 500 млн рублей.

Размер штрафа зависит от конкретного состава нарушения, объема данных, последствий и поведения компании после инцидента. Если бизнес скрывает проблему, не уведомляет регулятора и не устраняет причины, риски становятся выше. Проверка может начаться не только по плану. На практике поводом часто становятся жалобы клиентов, инциденты с утечками, некорректные формы на сайте или несоответствие документов фактическим процессам.

Почему под требования попадает почти любой сайт

Под требования попадает даже простой лендинг, если на нем есть форма «оставьте номер», кнопка заказа, онлайн-чат, подписка на рассылку, личный кабинет или счетчик аналитики.

Масштаб сайта значения не имеет. Важно не то, сколько у вас страниц и сотрудников, а собираете ли вы данные людей. Если пользователь оставляет телефон, email, имя или другой идентификатор, бизнес должен соблюдать требования 152-ФЗ.

Какие данные на сайте уже считаются персональными

Телефон, email и Telegram — это уже персональные данные

Многие предприниматели думают: «Я же не прошу паспорт, только номер телефона». Это ошибка. Телефон, email, ник в Telegram или имя в WhatsApp могут быть персональными данными, если позволяют связаться с конкретным человеком. Поэтому даже простая форма «имя + телефон» требует соблюдения правил 152-ФЗ. Если вы собираете такие контакты для заявок, продаж, консультаций, поддержки или рассылок, вы становитесь оператором персональных данных.

Формы заявок, CRM и онлайн-чаты

Форма заявки, онлайн-чат, чат-бот, CRM и база рассылки — это каналы обработки персональных данных. Важно не только получить согласие пользователя, но и понимать, где данные хранятся, кто имеет к ним доступ и каким сервисам они передаются. Например, если заявка с сайта попадает в CRM, затем в таблицу менеджера и в сервис рассылки, все эти этапы нужно учитывать в политике и внутренних процессах.

Какие данные бизнес часто собирает «по привычке»

Частая ошибка — просить больше данных, чем нужно. Например:

• дату рождения «для подарка»;
• отчество для обычной доставки;
• паспортные данные для консультации;
• должность и место работы без необходимости;
• адрес там, где услуга оказывается онлайн.

По закону данные должны соответствовать конкретной цели обработки. Если поле в форме нельзя объяснить реальной необходимостью, его лучше убрать.

7 ошибок бизнеса при работе с персональными данными

Нет согласия на обработку данных

Если форма заявки не содержит понятного согласия и ссылки на политику обработки персональных данных, законность сбора данных будет сложно подтвердить.

Чем опасно: данные могут признать собранными с нарушением.

Что может произойти: штраф, предписание, претензия клиента.

Как исправить: добавить чекбокс согласия рядом с каждой формой и ссылку на политику обработки персональных данных.

Политика конфиденциальности «для галочки»

Скопированный шаблон часто не отражает реальные процессы бизнеса: какие данные собираются, зачем, где хранятся, кому передаются и как долго используются.

Чем опасно: документ могут признать формальным и не соответствующим фактической обработке данных.

Что может произойти: предписание, штраф, необходимость срочно переделывать документы.

Как исправить: адаптировать политику под реальные формы, CRM, рассылки, оплату, аналитику и подрядчиков.

Сбор лишних данных

Бизнес часто просит дату рождения, паспорт, отчество, место работы или другие сведения там, где они не нужны для оказания услуги.

Чем опасно: нарушается принцип минимизации данных.

Что может произойти: претензии клиентов, вопросы при проверке, повышенный риск при утечке.

Как исправить: пересмотреть все формы и оставить только те поля, без которых нельзя выполнить заявку или оказать услугу.

Использование небезопасных сервисов

CRM, рассылочные сервисы, таблицы, конструкторы сайтов, чат-боты и платежные инструменты нужно проверять на локализацию и условия обработки персональных данных.

Чем опасно: данные могут храниться или обрабатываться с нарушением требований 152-ФЗ.

Что может произойти: штраф, предписание, риск утечки или претензий со стороны клиентов.

Как исправить: проверить договоры, политику сервиса, место хранения данных и при необходимости перейти на решения, соответствующие требованиям закона.

Ошибки в формах и чекбоксах

Предзаполненные галочки, согласие «по умолчанию» и один чекбокс на все — частые ошибки на сайтах.

Чем опасно: согласие могут признать ненадлежащим.

Что может произойти: штраф, предписание, запрет использовать собранные данные.

Как исправить: сделать чекбоксы пустыми по умолчанию и разделить согласие на обработку персональных данных и согласие на рекламную рассылку.

Отсутствие уведомления Роскомнадзора

В большинстве случаев оператор должен уведомить Роскомнадзор до начала обработки персональных данных, если нет исключения из ст. 22 152-ФЗ.

Чем опасно: отсутствие уведомления само по себе может быть нарушением.

Что может произойти: штраф до 300 000 рублей для юридических лиц.

Как исправить: проверить себя в реестре операторов и при необходимости подать уведомление.

Хранение данных без ограничений доступа

Если к базе клиентов имеют доступ все сотрудники, используются общие пароли и нет контроля входов, риск утечки резко растет.

Чем опасно: сложно понять, кто работал с данными и откуда произошла утечка.

Что может произойти: штраф, претензии клиентов, репутационный ущерб.

Как исправить: настроить роли, индивидуальные учетные записи, сложные пароли, двухфакторную аутентификацию и доступ только по должностной необходимости.

Нужно ли подавать уведомление в Роскомнадзор в 2026 году

Кто обязан подавать уведомление

В большинстве случаев уведомление подают компании, ИП и самозанятые, которые собирают заявки, ведут клиентскую базу, используют CRM, рассылки, онлайн-формы, чат-боты или платежные сервисы. Уведомление подается до начала обработки персональных данных. То есть не после запуска сайта и первых заявок, а заранее.

Какие исключения существуют

Исключения есть, но они прямо перечислены в законе и подходят не всем. Поэтому перед выводом «уведомление не нужно» лучше проверить свою ситуацию по ст. 22 152-ФЗ или проконсультироваться с юристом. На практике для бизнеса с сайтом, клиентской базой, CRM, рассылкой или онлайн-заявками исключения часто не работают.

Что проверяет Роскомнадзор

Роскомнадзор может проверить:

• подано ли уведомление;
• совпадают ли цели обработки с реальными процессами;
• указаны ли актуальные категории данных и субъектов;
• есть ли политика обработки персональных данных;
• корректно ли оформлены согласия;
• соблюдается ли локализация;
• назначен ли ответственный за ПДн;
• есть ли внутренние документы и ограничения доступа.

Важно, чтобы уведомление не просто было подано, а соответствовало тому, как бизнес реально работает с данными.

Какие ошибки чаще всего допускает бизнес

Частые ошибки:

• уведомление не подано вообще;
• цели обработки указаны слишком общо;
• не перечислены все категории данных;
• не указаны используемые сервисы и подрядчики;
• сведения не обновлены после запуска новой формы, CRM, рассылки или платежного сервиса.

Уведомление — не формальность. Если меняются сведения, указанные в уведомлении, их нужно актуализировать в установленный законом срок.

Что обязательно должно быть на сайте в 2026 году

Политика обработки персональных данных

Политика обработки персональных данных — базовый документ для сайта, который собирает контакты пользователей. Она должна быть доступна с любой страницы сайта, обычно через ссылку в подвале, а также рядом с формами сбора данных.

В политике нужно указать:

• кто является оператором;
• какие данные собираются;
• для каких целей;
• на каком основании;
• как долго хранятся;
• кому могут передаваться;
• какие права есть у субъекта данных;
• как связаться с оператором или ответственным лицом.

Главная ошибка — взять шаблон из интернета и не адаптировать его под реальные процессы. Политика должна описывать именно ваш сайт, формы, CRM, рассылки, оплату и аналитику.

Согласие на обработку данных

Согласие — это не сама политика, а отдельное действие пользователя. Обычно оно оформляется через чекбокс рядом с формой и ссылку на политику обработки персональных данных.

Согласие должно быть конкретным, информированным, сознательным и подтвержденным активным действием пользователя. Если вы используете данные не только для обработки заявки, но и для рекламной рассылки, нужно отдельное согласие на получение рекламных сообщений.

Cookie-уведомление

Если сайт использует cookie, счетчики аналитики, рекламные пиксели или иные идентификаторы, это нужно раскрыть пользователю в политике обработки персональных данных, cookie-политике или отдельном уведомлении на сайте.

Лучше указать:

• какие cookie используются;
• для каких целей;
• какие сервисы подключены;
• как пользователь может ограничить использование cookie в браузере или настройках сайта.

Если вы используете Яндекс.Метрику, Google Analytics или рекламные пиксели, это стоит прямо отразить в документах сайта.

SSL-сертификат и защищенное соединение

Сайт должен работать по протоколу HTTPS на всех страницах, особенно там, где есть формы заявок, личный кабинет, оплата или регистрация. Если форма загружается по HTTP, данные могут передаваться в открытом виде. Это техническая уязвимость и аргумент против компании при проверке соблюдения мер защиты персональных данных. SSL-сертификат — базовая мера безопасности, без которой остальные документы не решают проблему защиты данных.

Чекбоксы и формы заявок

Каждую форму на сайте нужно проверить отдельно: обратная связь, заказ, подписка, регистрация, личный кабинет, онлайн-чат, запись на услугу.

Основные правила:

• чекбокс согласия пустой по умолчанию;
• рядом есть понятный текст согласия;
• ссылка на политику кликабельна;
• согласие на рассылку вынесено отдельно;
• в форме нет лишних полей;
• отправка невозможна без активного действия пользователя.

Если поле «дата рождения», «отчество» или «паспортные данные» не нужно для услуги, его лучше убрать.

Как онлайн-платежи связаны с персональными данными

Какие данные обрабатываются при оплате

При онлайн-оплате бизнес и платежные сервисы могут обрабатывать ФИО плательщика, email или телефон для отправки чека, сведения о заказе, сумму платежа, а иногда и адрес доставки. Эти данные нужны не только для оплаты, но и для подтверждения заказа, фискализации и связи с клиентом.

Данные банковской карты обычно обрабатывает платежный провайдер. Бизнесу не стоит хранить их у себя: этим должен заниматься специализированный сервис с необходимыми техническими и организационными мерами защиты.

Почему важно использовать легальный платежный сервис

Платежный сервис может быть отдельным оператором или обработчиком персональных данных — это зависит от схемы работы и условий договора. Поэтому перед подключением важно понять, кто именно обрабатывает данные клиента, где они хранятся, какие условия по ПДн прописаны в договоре и как передаются сведения для оплаты и фискализации.

Отдельно стоит проверить, есть ли у провайдера понятная политика обработки данных и прозрачная схема работы. Если платежный сервис использует непрозрачные условия или не объясняет, где и как обрабатываются данные, риски могут возникнуть и у бизнеса, который передает ему сведения о клиентах.

Как снизить риски утечек и претензий

Чтобы снизить риски, не храните данные банковских карт у себя и используйте легальные платежные сервисы с понятными условиями обработки персональных данных. Передачу данных провайдерам, отправку чеков и обработку платежей нужно отразить в политике обработки ПДн.

Также важно ограничить доступ сотрудников к платежной информации и регулярно проверять настройки интеграций. Ошибка в связке «сайт — CRM — платежный сервис» может привести к тому, что данные окажутся доступны лишним сотрудникам или будут передаваться туда, где бизнес этого не учитывал. Онлайн-оплата включает в себя и обработку персональных данных. Поэтому ее нужно учитывать в общей системе защиты ПДн.

Чек-лист для бизнеса: что проверить по персональным данным прямо сейчас

Что проверить на сайте

Начните с сайта: проверьте, есть ли политика обработки ПДн в подвале и ссылки на нее рядом с каждой формой. Чекбоксы согласия должны быть пустыми по умолчанию, а согласие на рекламную рассылку — вынесено отдельно от согласия на обработку данных.

Также стоит проверить, работает ли сайт по HTTPS, описаны ли cookie, аналитика и рекламные пиксели, нет ли в формах лишних полей и можно ли подтвердить факт согласия пользователя. Даже если сайт небольшой, эти элементы должны быть настроены корректно.

Какие документы обновить

Бизнесу стоит проверить политику обработки персональных данных, формы согласий для клиентов, документы для сотрудников, приказ о назначении ответственного за ПДн и внутреннюю инструкцию по работе с данными.

Если подрядчики получают доступ к клиентским данным, условия обработки ПДн должны быть отражены в договорах. Документы должны соответствовать реальным процессам, а не просто лежать «для галочки».

Какие сервисы и формы пересмотреть

Отдельно проверьте все сервисы, через которые проходят клиентские данные: CRM, рассылочный сервис, хостинг, конструктор сайта, онлайн-чаты, чат-боты, платежный сервис, аналитику и таблицы с заявками.

Для каждого сервиса важно понимать, какие данные туда попадают, где они хранятся, кто имеет к ним доступ и есть ли договорные условия по обработке персональных данных. Если сервис давно подключили и больше не проверяли, лучше пересмотреть его настройки.

Как ограничить доступ к данным сотрудников

Доступ к персональным данным должен быть не у всех, а только у тех сотрудников, которым он нужен для работы. У каждого сотрудника должна быть отдельная учетная запись, а общие логины и пароли лучше исключить.

Минимальный набор мер: доступ по ролям, сложные пароли, двухфакторная аутентификация там, где возможно, регулярный пересмотр прав и отключение доступов у уволенных сотрудников. Также важно объяснить команде базовые правила работы с ПДн. Если произошла утечка, наличие ограничений доступа и журналов действий поможет понять причину инцидента и снизить последствия.

Что делать, если уже произошла утечка данных или жалоба

Какие действия предпринять сразу

Если произошла утечка или поступила жалоба, сначала нужно локализовать проблему: сменить пароли, отключить скомпрометированные учетные записи, закрыть уязвимость и ограничить доступ к базе. Одновременно нужно сохранить логи, технические доказательства и зафиксировать дату и время обнаружения инцидента.

После этого важно определить, какие данные затронуты, сколько людей могло пострадать и через какой канал произошла утечка. Эти сведения понадобятся для внутреннего расследования и уведомления регулятора.

Когда уведомлять Роскомнадзор

При выявлении неправомерной или случайной передачи персональных данных оператор должен направить первичное уведомление в Роскомнадзор в течение 24 часов. Затем нужно провести внутреннее расследование и представить его результаты в установленный законом срок.

В уведомлении обычно указывают, что произошло, какие данные затронуты, какие меры уже приняты и что компания делает для устранения последствий. За неуведомление или нарушение порядка уведомления предусмотрена отдельная ответственность. Для юридических лиц штраф может составлять до 3 млн рублей.

Как минимизировать последствия для бизнеса

Главное — действовать быстро и прозрачно, не скрывая проблему.

Сразу:

1. Смените пароли, отключите доступ, закройте уязвимость.
2. Сохраните логи и доказательства с указанием даты и времени обнаружения.
3. Определите, какие данные утекли и сколько людей пострадало.

В течение 24 часов:

Уведомите Роскомнадзор через официальный портал с описанием инцидента, масштаба и уже принятых мер. За нарушение этого срока штраф может составить до 3 млн рублей.

После:

• Проведите внутреннее расследование и определите причину.
• При серьезной утечке подключите юриста по 152-ФЗ и специалиста по безопасности.
• Уведомите затронутых клиентов (если нужно).
• Обновите процессы и обучите команду.

Главный принцип: компания, которая оперативно зафиксировала инцидент, уведомила регулятора, устранила причину и подготовила план предотвращения, показывает добросовестность. Это снижает штрафы, репутационный ущерб и облегчает диалог с регулятором.