Как обрабатывать персональные данные в 2026 году: советы юристов

Правильная организация обработки персональных данных в 2026 году стала одной из ключевых задач для организаций и ИП, работающих с клиентами и сотрудниками. В статье разберем, какие изменения вступили в силу, какие правила и документы важны, а также как организовать безопасную и законную обработку персональных данных.

Что считается обработкой персональных данных

Под обработкой персональных данных (ПДн) подразумевается любое действие или совокупность действий с ними, включая, например, сбор, запись, хранение, извлечение, использование и другие операции, предусмотренные ст.3 ФЗ от 27.07.2006 №152-ФЗ.

Эти действия могут выполняться как с использованием автоматизированных средств обработки персональных данных, так и без них — например, при ведении личных дел сотрудников на бумаге.

Последние изменения законодательства

Изменение	Дата вступления в силу	Особенности
Локализация баз с персональными данными граждан РФ	01.07.2025	Все базы должны находиться на территории России. Это касается и хранения, и сбора — использование зарубежных баз (например, Google‑формы или иностранных облачных хранилищ) считается нарушением.
Отдельное согласие на обработку персональных данных	01.09.2025	Согласие на обработку должно быть отдельным документом, а не частью стандартных форм или договоров. Это делает процедуру получения согласия прозрачнее и снижает юридические риски
Новые правила обезличивания и передачи обезличенных данных	01.09.2025	Введены четкие требования к превращению данных в обезличенную форму, при которых исключена идентификация конкретного человека. Такие данные можно обрабатывать без предварительного согласия субъекта для исследований и технологических задач. Операторы также обязаны по запросу передавать обезличенные данные в государственные информационные системы (ГИС) при соблюдении требований безопасности и невозможности обратной идентификации

Как обрабатывать данные правильно: полезные советы

Подготовьте документы 

Для организации обработки подготовьте следующие документы:

1. Политику обработки персональных данных.
2. Положение об обработке ПДн.
3. Регламенты хранения, уничтожения и передачи данных.
4. Образцы согласий на обработку.
5. План организационных и технических мер защиты данных.

Назначьте ответственного за организацию обработки

Оператор обязан назначить лицо, которое будет (ст.22.1 ФЗ №152-ФЗ):

1. Контролировать соблюдение законодательства о ПДн.
2. Инструктировать сотрудников и организовывать обработку обращений субъектов данных.
3. Отвечать за внедрение технических и организационных мер защиты.
4. Заниматься иными организационными вопросами обработки персональных данных. 

Вовремя подавайте в Роскомнадзор уведомления

Для правильной обработки персональных данных оператор должен выполнять обязательства, возложенные на него ФЗ №152-ФЗ, в частности — своевременно подавать уведомления:

Вид уведомления	Срок подачи
О начале обработки	До того, как начать собирать ПДн
Об изменении сведений	Не позднее 15 числа месяца, следующего за изменениями
О прекращении обработки	В течение 10 дней после закрытия бизнеса или прекращения обработки по другим причинам
О трансграничной передаче	До отправки ПДн в другое государство
Об утечке ПДн	Уведомление подается в течение 24 часов с момента выявления инцидента, отчет о результатах расследования — в течение 72 часов

Берите согласие, когда оно требуется

Согласие на обработку персональных данных обязательно в большинстве случаев, но иногда ПДн можно обрабатывать без него, если они используются (статья 6 ФЗ №152-ФЗ):

1. Для выполнения законных функций государственных органов.
2. Для исполнения функций, возложенных на оператора законодательством РФ.
3. Для участия в судопроизводстве или исполнения требований судебного акта.
4. Для выполнения обязательств по договору, стороной которого является субъект ПДн. 
5. Для защиты жизни и здоровья субъекта, если согласие невозможно получить.
6. Для реализации прав и законных интересов оператора или третьих лиц.
7. В профессиональной деятельности журналиста, научной или творческой деятельности, если это не нарушает права субъекта. 
8. Для статистических и исследовательских целей с обязательным обезличиванием данных.

Разграничьте доступ к ПДн для сотрудников

Доступ сотрудников к ПДн должен предоставляться строго по необходимости. Каждому нужно давать доступ только к тем ПДн, которые необходимы для выполнения его обязанностей. Например, бухгалтеру не нужны персональные данные посетителей сайта, поэтому он не должен иметь к ним доступ. 

Все действия сотрудников с ПДн стоит фиксировать в журнале, чтобы при необходимости можно было отследить, кто и когда обрабатывал информацию. Кроме того, важно разграничивать права доступа к данным как на электронных носителях, так и на бумажных документах, чтобы минимизировать риски несанкционированного использования или утечки информации.

Обеспечьте защиту данных

Для защиты персональных данных при обработке необходимо (ст.19 ФЗ №152-ФЗ):

1. Определить угрозы безопасности данных.
2. Внедрить организационные и технические меры защиты.
3. Оценить оценить эффективность принимаемых мер по обеспечению безопасности ПДн до ввода ИСПДн в эксплуатацию.
4. Использовать сертифицированные средства защиты информации.
5. Контролировать доступ к информационным системам и материальным носителям.
6. Обнаруживать и устранять несанкционированный доступ.
7. Восстанавливать данные после инцидентов.
8. Проводить регулярный аудит эффективности мер защиты.

Также имейте в виду требования по учету машинных носителей ПДн (флэшек, дисков и т.д.): должны быть определены места их хранения и соблюдены условия, исключающие несанкционированный доступ. Если цели обработки ПДн разные, хранить носители ПДн нужно раздельно. При несоблюдении требований, если это повлекло неправомерный доступ к носителям ПДн, возможен штраф по ч.6 ст.13.11 КоАП РФ: для должностных лиц — до 20 000, для ИП — до 40 000, для организаций — до 100 000 рублей. 

Проверьте сайт

Организация обработки персональных данных на сайте — ключевой элемент соблюдения закона. Во-первых, все данные клиентов должны храниться исключительно на территории России. Это касается как автоматизированных систем, так и облачных сервисов. 

Во-вторых, на сайте обязательно должна быть размещена Политика обработки ПДн в свободном доступе: разместите ссылку на Политику в футере сайта и на каждой форме, где собираются ПДн. Важно, чтобы Политика отражала процессы именно вашей компании, а не была просто скопирована с другого ресурса.

Политика в отношении обработки персональных данных должна включать следующие разделы:

1. Общие положения и права субъектов данных — определите основные понятия, укажите обязанности оператора и права пользователей.
2. Цели и категории данных — подробно опишите, какие данные собираются и для чего.
3. Порядок хранения и уничтожения — объясните, как и где хранятся данные, через какой срок они уничтожаются или обезличиваются.
4. Порядок рассмотрения запросов субъектов данных — укажите, куда направлять запросы, сроки ответа и через какую форму обращения.
5. Меры защиты и использование cookie-файлов — опишите организационные и технические меры защиты, а также правила работы с cookie и способы отказа от их использования.

Своевременно прекращайте обработку

Для каждого действия ст.21 ФЗ №152-ФЗ предусмотрены конкретные сроки, которые обязан соблюдать оператор: 

1. Уточнение недостоверных данных. Оператор обязан уточнить или обеспечить уточнение в течение 7 рабочих дней со дня предоставления сведений. На этот период они блокируются. 
2. Прекращение неправомерной обработки — в течение трех рабочих дней. Если обеспечить правомерность невозможно, данные должны быть уничтожены в срок не более 10 рабочих дней.
3. Достижение цели обработки — оператор обязан прекратить обработку и уничтожить данные в срок, не превышающий 30 дней, если иное не установлено договором или законом.
4. Отзыв согласия субъектом данных. Оператор обязан прекратить обработку и уничтожить ПДн в срок до 30 дней.
5. Требование субъекта о прекращении обработки. Оператор обязан прекратить обработку в срок, не превышающий 10 рабочих дней. Срок может быть продлен не более чем на 5 рабочих дней при уведомлении субъекта с указанием причин продления.

Ответственность оператора за нарушения 

Несоблюдение правил обработки влечет административную ответственность. Например:

1. Если вы не получите согласие субъекта данных, когда это требуется, штраф может достигать 700 000 рублей.
2. Невыполнение обязанности по подаче уведомления о начале обработки персональных данных грозит штрафом до 300 000 рублей для организации и ИП и до 50 000 рублей — для должностного лица.
3. Нарушение правил локализации ПДн в РФ может повлечь штраф до 6 млн рублей для юридического лица или ИП и до 200 000 рублей — для должностного лица.
4. Если вы не обеспечите доступ к Политике обработки данных, штрафы составят до 60 000 рублей для организации и до 20 000 рублей — для ИП.
5. Невыполнение требований субъекта данных об уточнении, блокировании или уничтожении данных может обойтись организации до 90 000 рублей, а повторное нарушение — до 500 000 рублей.

Вы можете снизить риски. Для этого достаточно еще на старте правильно оформить документы по обработке персональных данных и обеспечить защиту ПДн. Также вы вправе поручить обработку данных сторонней организации, которая сделает все за вас.