Законы о защите персональных данных в России: Федеральный закон № 152-ФЗ, штрафы и изменения 2025 года

Основной закон России о защите персональных данных, Федеральный закон № 152-ФЗ «О персональных данных», распространяется на любого оператора, обрабатывающего персональные данные российских граждан в любой точке мира, требует хранения основной базы данных на территории России и с конца 2024 года предусматривает уголовную ответственность нарушителей по статье 272.1 Уголовного кодекса, включая лишение свободы до 10 лет.
В России действует один из самых всеобъемлющих и строго применяемых в мире режимов защиты персональных данных. Федеральный закон № 152-ФЗ «О персональных данных», впервые принятый 27 июля 2006 года, был изменён более десятка раз и в настоящее время находится в центре многоуровневой системы регулирования, включающей обязательную локализацию данных, жёсткие правила уведомления об утечках, масштабную инфраструктуру государственной слежки и, с конца 2024 года, уголовную ответственность за неправомерное использование данных.
Для любого бизнеса, имеющего российских пользователей, соблюдение этих требований не является добровольным. Роскомнадзор неоднократно демонстрировал готовность полностью блокировать не соблюдающие требования платформы, как это произошло с LinkedIn в 2016 году, а реформа штрафов 2024-2025 годов сделала финансовые последствия несоблюдения требований гораздо более серьёзными, чем когда-либо ранее за всю историю этого закона.
В этом руководстве рассматривается полная нормативная база по состоянию на середину 2026 года, включая знаковые повышения административной и уголовной ответственности, вступившие в силу в конце 2024 года и в мае 2025 года.
Краткий ответ: какие законы о защите персональных данных действуют в России?
Российский режим защиты персональных данных строится на трёх взаимосвязанных элементах. Во-первых, Федеральный закон № 152-ФЗ устанавливает общие правила сбора, обработки и передачи персональных данных. Во-вторых, Федеральный закон № 242-ФЗ (ужесточённый Законом № 23-ФЗ в 2025 году) требует хранения персональных данных российских граждан на территории России. В-третьих, система слежки СОРМ и закон Яровой накладывают на гражданско-правовую модель обязательную инфраструктуру государственного доступа, действующую вне рамок основанной на согласии модели закона 152-ФЗ.
Надзорным органом является Роскомнадзор, обладающий широкими полномочиями по проведению проверок, наложению штрафов и блокировке. После поправок 2024 года лица, незаконно осуществляющие оборот персональных данных, также подлежат уголовному преследованию согласно Уголовному кодексу.
Федеральный закон № 152-ФЗ: основа регулирования
Сфера действия и ключевые понятия

Федеральный закон № 152-ФЗ определяет термин «персональные данные» в широком смысле как любую информацию, относящуюся к прямо или косвенно определённому физическому лицу. Это охватывает очевидные идентификаторы, такие как имена, номера паспортов, номера телефонов и адреса электронной почты, а также распространяется на сочетания данных, которые в совокупности идентифицируют лицо, на онлайн-идентификаторы и данные о местоположении.
Закон различает два основных субъекта. Оператором является любое лицо или организация, определяющие цели и содержание обработки персональных данных. Обработчиком является организация, обрабатывающая персональные данные по поручению оператора и самостоятельно не определяющая цель обработки. Оба субъекта несут самостоятельные обязанности, и с июля 2025 года оба подпадают под требование о локализации данных.
Закон распространяется на:
- российских юридических и физических лиц, осуществляющих обработку данных;
- иностранные организации, обрабатывающие персональные данные российских граждан, даже при отсутствии физического присутствия в России;
- любую организацию, использующую базы данных, расположенные в России.
Министерство цифрового развития России разъяснило, что иностранная организация считается ориентированной на российских граждан, если она использует домены .ru или .su, размещает контент на русском языке, принимает оплату в российской валюте или размещает рекламу на русском языке. Иностранные операторы, не соблюдающие требования, рискуют столкнуться с блокировкой своих сайтов в России.
Основания для обработки данных
Согласно закону 152-ФЗ, обработка персональных данных допускается только на одном из следующих оснований:
Согласие. Наиболее часто используемое основание. Согласие должно быть свободным, конкретным, информированным и однозначным. Поправки 2022 года, внесённые Федеральным законом № 266-ФЗ, ужесточили это требование: на каждую отдельную цель обработки требуется отдельное согласие, а заранее проставленные галочки или объединённое согласие более не соответствуют стандарту.
Исполнение договора. Обработка допускается, если она необходима для исполнения договора с субъектом данных, например для оказания приобретённой услуги.
Правовая обязанность. Когда обработка прямо предусмотрена федеральным законом России.
Жизненно важные интересы. Для защиты жизни или здоровья субъекта данных, когда получение согласия невозможно.
Законные интересы. Для реализации прав и законных интересов оператора или третьих лиц, при условии что это не нарушает основные права субъекта данных.
Журналистская, научная, литературная или иная творческая деятельность. При условии соблюдения запрета на причинение несоразмерного вреда.
Специальные категории данных и биометрические данные
Закон выделяет ряд специальных категорий данных, подлежащих повышенной защите: сведения о расовой или национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья и интимной жизни. Обработка этих категорий данных запрещена, за исключением случаев, когда субъект данных предоставил явное письменное согласие или применяется специальное законное исключение.
Биометрические персональные данные определяются как сведения, характеризующие физиологические и биологические особенности человека, используемые для его идентификации, включая отпечатки пальцев, изображения лица, снимки радужной оболочки глаза, данные ДНК и записи голоса. В частном секторе единственным допустимым основанием обработки является письменное согласие. Государственные органы обладают более широкими полномочиями согласно Федеральному закону № 572-ФЗ, регулирующему Единую биометрическую систему.
Утечки, связанные с биометрическими данными, влекут самые высокие административные штрафы согласно шкале наказаний 2025 года: от 15 до 20 миллионов рублей за инцидент для юридических лиц.
Права субъектов персональных данных
Российское законодательство о защите данных предоставляет гражданам права в отношении их персональных данных, подлежащие судебной защите. Эти права могут быть реализованы путём подачи жалоб в Роскомнадзор и обращения в российские суды.
Право на доступ. Субъекты данных вправе запрашивать подтверждение факта обработки, правовое основание и цели обработки, категории хранимых данных и срок их хранения. Операторы обязаны ответить в течение 10 рабочих дней.
Право на исправление. Если данные неточны, неполны или устарели, субъект данных вправе потребовать их исправления. Оператор обязан оперативно исправить данные и уведомить субъекта данных.
Право на удаление. Субъекты данных вправе требовать удаления данных, если они были собраны незаконно, более не нужны для заявленной цели или согласие было отозвано. Операторы обязаны удалить данные в течение 30 дней.
Право на отзыв согласия. Согласие может быть отозвано в любое время. После отзыва обработка должна быть прекращена, а данные уничтожены в течение 30 дней, если иное основание не оправдывает их дальнейшее хранение.
Право возражать против автоматизированных решений. Субъекты данных вправе возражать против решений, принятых исключительно на основе автоматизированной обработки, если такие решения порождают юридические или иные существенные последствия. Оператор обязан по запросу разъяснить логику принятия решения.
Локализация данных: наиболее характерное требование российского законодательства
Первоначальное требование 2015 года (Федеральный закон № 242-ФЗ)

Федеральный закон № 242-ФЗ, принятый в июле 2014 года и вступивший в силу с 1 сентября 2015 года, обязывает всех операторов осуществлять запись, систематизацию, накопление, хранение, обновление и извлечение персональных данных российских граждан с использованием баз данных, физически расположенных на территории России.
Это требование действует независимо от места регистрации оператора. Иностранная компания, эксплуатирующая мобильное приложение с российскими пользователями, обязана направлять первичное хранение данных на сервер, расположенный в России. Первоначальная редакция закона допускала копирование данных за рубеж после первичного сбора в России, чем пользовались многие транснациональные компании для поддержания синхронизированных глобальных систем.
Ужесточение требований в июле 2025 года (Федеральный закон № 23-ФЗ)
Федеральный закон № 23-ФЗ, подписанный 28 февраля 2025 года и вступивший в силу 1 июля 2025 года, ужесточил режим локализации по трём ключевым направлениям.
Во-первых, теперь это требование распространяется не только на операторов, но и на обработчиков. Платформы для документооборота по кадрам, облачные системы расчёта заработной платы и любые сторонние обработчики данных, обрабатывающие данные российских граждан по поручению оператора, теперь обязаны хранить и обрабатывать эти данные на территории России. Прежняя практика передачи обработки данных иностранным обработчикам более не является законной.
Во-вторых, использование иностранных баз данных для первичного сбора персональных данных прямо запрещено. Любая форма, чат-бот, трекер или скрипт приёма данных, записывающий данные на иностранный сервер до их последующего копирования в Россию, нарушает закон, независимо от того, создаётся ли впоследствии российская копия. Вся физическая инфраструктура, задействованная в сборе данных, должна находиться в России.
В-третьих, операторы обязаны уведомлять Роскомнадзор о местонахождении своих баз данных. Это уведомление подаётся отдельно от общего уведомления об обработке данных и от уведомления о трансграничной передаче данных.
Роскомнадзор использует автоматизированную систему мониторинга «Ревизор» для проверки местонахождения серверов и анализа структуры трафика. Наказания за нарушения требований локализации согласно шкале 2025 года составляют от 1 до 6 миллионов рублей за первое нарушение и от 6 до 18 миллионов рублей за повторные нарушения.
Прецедент с LinkedIn
Наиболее заметным случаем правоприменения в сфере локализации остаётся блокировка LinkedIn в России в ноябре 2016 года. Роскомнадзор установил, что LinkedIn хранит персональные данные российских пользователей на серверах за пределами России, и компания отказалась выполнить требования. Московский суд оставил блокировку в силе. С тех пор LinkedIn остаётся недоступным в России без использования VPN, и этот случай установил, что крупные глобальные платформы не освобождаются от соблюдения требований.
Роскомнадзор: полномочия и функции
Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций, широко известная как Роскомнадзор, является органом надзора за защитой персональных данных в России. Служба действует в ведении Министерства цифрового развития, связи и массовых коммуникаций.
Полномочия Роскомнадзора включают:
- ведение реестра операторов, в который все операторы обязаны подавать уведомления до начала обработки персональных данных;
- проведение плановых и внеплановых проверок, при этом операторы, обрабатывающие специальные категории данных или биометрические данные, проверяются примерно раз в два года;
- вынесение обязательных предписаний об устранении нарушений;
- наложение административных штрафов напрямую или через суд;
- обращение в суд с требованием о блокировке сайтов, не соблюдающих требования локализации или иные требования;
- рассмотрение жалоб субъектов данных и принятие по ним решений.
Обязанности операторов по регистрации
Все операторы данных обязаны уведомить Роскомнадзор до начала обработки данных. Уведомление должно содержать сведения об организации, цели и правовое основание обработки, категории данных и субъектов данных, способы обработки, применяемые меры безопасности, контактные данные лица, ответственного за защиту данных, и предполагаемый срок хранения.
Роскомнадзор регистрирует оператора в течение 30 дней. О существенных изменениях необходимо сообщать в течение 10 рабочих дней.
Непредставление обязательного уведомления влечёт штраф от 100 000 до 300 000 рублей для юридических лиц согласно шкале наказаний 2025 года.
Требования к уведомлению об утечках данных
С 1 сентября 2022 года в России действует обязательный двухэтапный режим уведомления об утечках данных, один из самых требовательных в мире по скорости реагирования.
Первичное уведомление в течение 24 часов
При обнаружении инцидента безопасности, повлёкшего несанкционированную передачу, уничтожение, изменение, блокирование, копирование или раскрытие персональных данных, оператор обязан уведомить Роскомнадзор в течение 24 часов. Первичное уведомление должно содержать сведения о характере утечки, предполагаемой причине, категориях и примерном количестве пострадавших лиц, вероятном вреде, применявшихся на момент инцидента мерах безопасности и контактных данных лица, координирующего реагирование.
Дополнительный отчёт в течение 72 часов
В течение 72 часов с момента обнаружения утечки оператор обязан представить полный дополнительный отчёт, содержащий результаты внутреннего расследования, сведения о конкретных скомпрометированных записях, принятые и планируемые меры по устранению нарушения и шаги, предпринятые для снижения вреда пострадавшим лицам.
Уведомление физических лиц
От операторов ожидается уведомление пострадавших субъектов данных в случаях, когда утечка может причинить существенный вред. Закон не устанавливает прямого срока для уведомления физических лиц, однако необоснованная задержка может рассматриваться как самостоятельное нарушение.
Ответственность за нарушение сроков
Неуведомление Роскомнадзора в течение 24 часов влечёт для юридического лица штраф от 1 до 3 миллионов рублей. Этот штраф налагается дополнительно к штрафу за саму утечку данных.
Реформа ответственности 2024-2025 годов
30 ноября 2024 года в России были приняты два закона, которые в совокупности представляют собой наиболее значительное ужесточение ответственности за нарушения в сфере персональных данных за всю историю этого регулирования. Изменения в административную ответственность вступили в силу 30 мая 2025 года. Изменения в уголовную ответственность вступили в силу 11 декабря 2024 года.
Федеральный закон № 420-ФЗ: административная ответственность
Федеральный закон № 420-ФЗ внёс изменения в Кодекс об административных правонарушениях, введя дифференцированную структуру штрафов за утечки данных в зависимости от масштаба утечки.
Штрафы за общие утечки данных в зависимости от масштаба (юридические лица):
- от 1000 до 10 000 пострадавших лиц: от 3 до 5 миллионов рублей;
- от 10 001 до 100 000 пострадавших лиц: от 5 до 10 миллионов рублей;
- более 100 000 пострадавших лиц: от 10 до 15 миллионов рублей.
Утечки биометрических данных (юридические лица): от 15 до 20 миллионов рублей за инцидент, независимо от числа пострадавших лиц.
Ответственность за повторное нарушение: если оператор уже был привлечён к административной ответственности за утечку данных и допускает повторную утечку, штраф увеличивается до 1-3 процентов годовой выручки компании за предшествующий календарный год, но не менее 20 миллионов рублей и не более 500 миллионов рублей (около 5,5 миллиона долларов США по текущему курсу).
Общие нарушения при обработке данных (незаконная обработка или несовместимое использование, юридические лица): от 150 000 до 300 000 рублей, по сравнению с прежними 60 000-100 000 рублей.
Неуведомление об утечке (юридические лица): от 1 до 3 миллионов рублей за неуведомление Роскомнадзора в установленные сроки.
Нарушения локализации данных: от 1 до 6 миллионов рублей за первое нарушение; от 6 до 18 миллионов рублей за повторное нарушение.
Условия снижения штрафа
Закон № 420-ФЗ также создаёт механизм, позволяющий суду снизить штраф, если оператор может подтвердить одновременное соблюдение всех следующих условий до вынесения наказания:
- ежегодные расходы на кибербезопасность в размере не менее 0,1 процента выручки компании;
- использование шифрования или лицензированных технологий защиты данных;
- ведение ежегодной документации о соблюдении требований за предшествующие три года;
- отсутствие отягчающих обстоятельств.
Это положение стимулирует инвестиции в инфраструктуру защиты данных. Операторы, способные документально подтвердить постоянные расходы на безопасность, оказываются в более выгодном положении при определении размера штрафа после утечки.
Федеральный закон № 421-ФЗ: уголовная ответственность
Федеральный закон № 421-ФЗ ввёл в Уголовный кодекс России статью 272.1, установив отдельный состав преступления, охватывающий незаконный сбор, хранение, использование и передачу компьютерной информации, содержащей персональные данные. До декабря 2024 года нарушения в сфере персональных данных рассматривались исключительно как административные правонарушения. Введение уголовной ответственности знаменует структурный сдвиг в системе правоприменения.
Наказания по статье 272.1 построены по принципу ступенчатой градации:
Уровень 1 (базовый состав): несанкционированный сбор, хранение, использование или передача персональных данных без законных оснований. Штраф до 300 000 рублей или в размере дохода за период до одного года, либо лишение свободы до 4 лет.
Уровень 2 (несовершеннолетние, специальные категории данных или биометрические данные): те же деяния в отношении защищённых категорий данных. Штраф до 700 000 рублей или в размере дохода за период до двух лет, либо лишение свободы до 5 лет.
Уровень 3 (отягчающие обстоятельства): деяния, совершённые из корыстных побуждений, по предварительному сговору, причинившие крупный ущерб или совершённые с использованием служебного положения. Штраф до 1 миллиона рублей либо лишение свободы до 6 лет.
Уровень 4 (незаконная трансграничная передача): передача персональных данных за пределы России без законных оснований. Штраф до 2 миллионов рублей и лишение свободы до 8 лет.
Уровень 5 (организованная группа или тяжкие последствия): штраф до 3 миллионов рублей и лишение свободы до 10 лет.
Эксплуатация незаконных платформ данных: создание или обеспечение работы информационных ресурсов, предназначенных для незаконного хранения или распространения персональных данных. Штраф до 700 000 рублей или лишение свободы до 5 лет.
Действует исключение для личных и семейных нужд: лица, обрабатывающие персональные данные исключительно в личных или семейных целях, не подлежат уголовной ответственности по этой статье.
Российские власти указали, что первые уголовные дела будут сосредоточены на случаях внутренних угроз в банках, телекоммуникационных компаниях и государственных органах, где сотрудники с доступом к данным получают выгоду от продажи баз данных клиентов, а также на организаторах каналов, торгующих утёкшими наборами данных.
Трансграничная передача данных
Россия допускает трансграничную передачу персональных данных, но подчиняет её режиму уведомления и проверки, действующему с 1 марта 2023 года.
Порядок уведомления
Операторы обязаны уведомить Роскомнадзор до начала любой трансграничной передачи данных. В уведомлении должны быть указаны страны-получатели, категории передаваемых данных, цели передачи и правовое основание. Роскомнадзор рассматривает уведомление и вправе запретить или ограничить передачу в течение 10 рабочих дней. Если в течение этого срока решение не принято, передача может быть осуществлена.
Требование о трансграничной передаче действует независимо от требования о локализации данных. Операторы вправе передавать данные за рубеж, однако основная база данных должна оставаться на территории России. За рубеж может передаваться синхронизированная копия, а основная запись остаётся в России.
Страны с адекватным и неадекватным уровнем защиты
Роскомнадзор ведёт перечень стран, обеспечивающих адекватную защиту данных. В основном в этот перечень входят страны-участницы Конвенции Совета Европы № 108, а также дополнительные страны, включённые согласно приказу Роскомнадзора № 128 от 5 августа 2022 года.
По состоянию на 2025 год в перечень стран с адекватным уровнем защиты входят государства-члены Совета Европы, а также Австралия, Канада, Израиль, Япония, Новая Зеландия, Сингапур и ряд других стран. Передача данных в такие страны осуществляется в рамках стандартного режима уведомления.
Передача данных в страны, не входящие в перечень адекватных, требует соблюдения одного из следующих условий:
- письменное согласие субъекта данных с прямым указанием страны-получателя;
- исполнение международного договорного обязательства России;
- защита конституционного строя, обороны или национальной безопасности России;
- исполнение договора с субъектом данных;
- защита жизненно важных интересов субъекта данных, когда получение согласия невозможно.
Роскомнадзор вправе запретить передачу данных в определённые страны или определённым получателям, если такая передача может угрожать безопасности или суверенитету России.
Требования к согласию на практике
Общие стандарты
Согласие согласно закону 152-ФЗ должно быть свободным, конкретным, информированным и однозначным. Оно может быть выражено в любой форме, позволяющей подтвердить его получение. Поправки 2022 года исключили объединённое или заранее проставленное согласие: на каждую цель требуется отдельное активное действие субъекта данных.
Когда обязательно письменное согласие
Письменное согласие требуется для:
- обработки специальных категорий персональных данных;
- обработки биометрических персональных данных;
- трансграничной передачи данных в страны без статуса адекватности;
- автоматизированного принятия решений, порождающих юридические или иные существенные последствия.
Письменное согласие должно содержать полное имя и адрес субъекта данных, полное наименование и адрес оператора, конкретные цели обработки, перечень категорий обрабатываемых данных, сведения о любых третьих лицах, которые получат данные, описание действий по обработке, срок действия согласия и порядок его отзыва.
Отзыв согласия
Субъекты данных вправе отозвать согласие в любое время без объяснения причин. После отзыва оператор обязан прекратить обработку и уничтожить данные в течение 30 дней, если иное правовое основание не позволяет продолжить их хранение.
Наложение системы слежки СОРМ и закона Яровой
Ни одно руководство по защите персональных данных в России не может быть полным без рассмотрения инфраструктуры государственной слежки, действующей наряду с законом 152-ФЗ. Система оперативно-розыскных мероприятий, известная под аббревиатурой СОРМ, представляет собой обязательную архитектуру перехвата, расширявшуюся через три последовательных поколения.
Как работает СОРМ

Все операторы связи и интернет-провайдеры в России обязаны за свой счёт устанавливать в своих сетях оборудование по спецификациям ФСБ. Это оборудование позволяет ФСБ перехватывать весь трафик и получать к нему доступ в реальном времени без уведомления оператора связи. Операторы связи не имеют возможности видеть, какие данные собираются и когда происходит доступ к ним.
Формально для реализации полномочий по перехвату ФСБ требуется судебная санкция. На практике суды функционируют как механизм почти автоматического одобрения: в 2023 году российские суды удовлетворили более 500 000 запросов на проведение оперативно-розыскных мероприятий и отклонили менее 300. В 2015 году Европейский суд по правам человека по делу Захарова постановил, что СОРМ нарушает право на неприкосновенность частной жизни. Россия не провела существенных реформ, а после выхода из Совета Европы в марте 2022 года формально более не связана этим постановлением.
Требование закона Яровой о хранении данных
Закон Яровой, принятый в июле 2016 года, с обязательствами по хранению данных, вступившими в силу с июля 2018 года, расширил охват СОРМ, установив для всех операторов обязательное хранение данных. Операторы связи и интернет-посредники обязаны хранить:
- содержание голосовых звонков, текстовых сообщений, изображений и передач данных в течение шести месяцев;
- метаданные (время, местоположение, отправитель, получатель) в течение трёх лет.
Такое хранение данных осуществляется отдельно от данных, хранимых для обычных деловых целей, и должно обеспечиваться в формате, доступном ФСБ по запросу. В рамках исключений, связанных с национальной безопасностью, доступ к этим хранимым данным осуществляется без отдельной судебной санкции на каждый случай доступа.
Значение для иностранного бизнеса
Инфраструктура СОРМ означает, что персональные данные российских пользователей могут быть доступны российским государственным органам полностью вне рамок основанной на согласии модели закона 152-ФЗ. Любой бизнес, предоставляющий услуги в России, должен учитывать это при оценке рисков, особенно если хранимые данные относятся к лицам, которые могут представлять интерес для российских властей.
Требования к соблюдению для операторов
Организационные требования
Каждый оператор обязан назначить лицо, ответственное за организацию обработки персональных данных, функционально аналогичное должности сотрудника по защите данных. Контактные данные этого лица должны быть включены в уведомление в Роскомнадзор. Неназначение ответственного лица влечёт штраф до 50 000 рублей.
Операторы также обязаны:
- опубликовать политику обработки персональных данных, доступную пользователям;
- установить внутренние правила и процедуры обработки данных;
- проводить регулярные проверки деятельности по обработке данных;
- обучать всех работников, имеющих доступ к персональным данным;
- вести учёт деятельности по обработке данных.
Требования к технической безопасности
Операторы обязаны внедрять технические меры, соответствующие требованиям Постановления Правительства № 1119 и приказам Федеральной службы по техническому и экспортному контролю (ФСТЭК). Требуемый уровень защиты зависит от классификации данных и информационной системы. Требования включают:
- системы контроля доступа и аутентификации;
- шифрование персональных данных при хранении и передаче;
- обнаружение и предотвращение вторжений;
- регулярную оценку уязвимостей;
- резервное копирование данных и восстановление после сбоев.
Порог расходов на кибербезопасность в размере 0,1 процента выручки приобретает практическое значение согласно закону 420-ФЗ, поскольку документально подтверждённое соблюдение этого условия является одним из оснований для снижения административного штрафа после утечки.
Ограничения по срокам хранения данных
Персональные данные не должны храниться дольше срока, необходимого для достижения заявленной цели обработки. После достижения цели данные должны быть уничтожены или обезличены в течение 30 дней, если законом не установлен более длительный срок хранения. Срок хранения должен быть указан как в политике обработки данных, так и в уведомлении, направляемом в Роскомнадзор.
Соблюдение требований для иностранного бизнеса
Иностранные компании с российскими пользователями сталкиваются с наиболее сложной ситуацией с точки зрения соблюдения требований среди всех операторов данных в России.
Локализация данных. Любой сервис, собирающий персональные данные российских пользователей, обязан направлять первичный сбор данных через инфраструктуру, расположенную в России. Использование иностранной облачной платформы для формы приёма данных, даже временно, нарушает требования, действующие с июля 2025 года.
Уведомление оператора. Иностранные операторы, подпадающие под экстерриториальное действие закона, обязаны подать уведомление в Роскомнадзор на русском языке. Отсутствие регистрации создаёт для оператора риск блокировки сайта в России.
Подача уведомления о трансграничной передаче. Любая передача данных с российских серверов на инфраструктуру за пределами России требует предварительного уведомления Роскомнадзора. Это касается в том числе рутинного копирования данных для глобальной аналитики или восстановления после сбоев.
Уведомление об утечках. На иностранных операторов распространяется режим уведомления в течение 24/72 часов. Без русскоязычного юридического консультанта или местного партнёра по соблюдению требований выполнение 24-часового срока требует заблаговременной подготовки.
Вопросы, связанные с прекращением деятельности. После ухода многих западных технологических компаний из России в 2022 году некоторые операторы столкнулись с вопросом о том, как поступить с оставшимися данными российских пользователей. Операторы, прекратившие деятельность в России, но сохраняющие данные российских пользователей, по-прежнему обязаны соблюдать требования закона 152-ФЗ, включая обработку запросов на удаление данных и соблюдение правил трансграничной передачи, которые применяются даже при перемещении данных за пределы России.
Последние изменения (2024-2026 годы)
Начало уголовного преследования (декабрь 2024 года). Вступление в силу Закона № 421-ФЗ впервые предусматривает уголовные последствия за нарушения в сфере персональных данных в России. Прокуратура указала, что первые дела будут направлены против брокеров данных, инсайдеров в финансовых учреждениях и телекоммуникационных компаниях, а также операторов сервисов, продающих утёкшие базы данных.
Штрафы по закону 420-ФЗ вступили в силу (май 2025 года). Штрафы за повторные нарушения, рассчитываемые от выручки, и новые санкции за утечки биометрических данных вступили в силу 30 мая 2025 года. Операторам следует провести аудит своих процедур реагирования на утечки и документации об инвестициях в безопасность, чтобы иметь возможность воспользоваться положениями о снижении штрафа при необходимости.
Локализация распространена на обработчиков (июль 2025 года). Ужесточённые требования локализации согласно Закону № 23-ФЗ вступили в силу 1 июля 2025 года. Компании, использующие сторонних обработчиков, расположенных за пределами России, должны перенести соответствующую деятельность на инфраструктуру, расположенную в России, или на облачные сервисы, работающие в России.
Расширение Единой биометрической системы. Правительство продолжает расширять Единую биометрическую систему за пределы банковского сектора, распространяя её на общественный транспорт, здравоохранение и государственные услуги. Это расширение увеличивает объём обращающихся биометрических данных и, соответственно, число операторов, подверженных наивысшему уровню ответственности.
Блокировка платформ и борьба с VPN. За первые четыре месяца 2025 года Роскомнадзор заблокировал доступ к более чем 12 600 материалам, продвигающим сервисы VPN. Ведомство также ограничило работу Apple FaceTime, сославшись на использование сервиса для вербовки в преступных целях. Эта тенденция отражает продолжающееся давление на инструменты, которые могут использоваться для обхода ограничений на потоки данных.
Переход на отечественные облачные сервисы. Уход крупных западных облачных провайдеров из России после 2022 года ускорил переход на отечественные альтернативы, такие как Yandex Cloud, SberCloud и Mail.ru Cloud. Отечественные провайдеры упрощают соблюдение требований локализации, но сами подпадают под обязательства СОРМ.
Оговорка о верховенстве права. Выход России из Совета Европы в марте 2022 года устранил основной внешний механизм подотчётности в сфере защиты персональных данных. Формальные нормы закона 152-ФЗ существуют и применяются, однако практика правоприменения не является независимой от политических соображений. Иностранным операторам следует, в частности, учитывать, что решения Роскомнадзора о блокировке иногда, по всей видимости, отражают более широкую геополитическую напряжённость, а не исключительно правовое несоответствие требованиям.
Frequently Asked Questions
Распространяется ли Федеральный закон № 152-ФЗ на иностранные компании?
Да. Закон распространяется на любую организацию, обрабатывающую персональные данные российских граждан, независимо от места её регистрации или размещения. Роскомнадзор использует несколько практических критериев для определения того, ориентирована ли иностранная организация на российских пользователей: использование доменов .ru или .su, контент или реклама на русском языке и приём оплаты в российской валюте. Иностранные операторы, не соблюдающие требования, рискуют столкнуться с блокировкой своих сайтов в России.
Каковы требования к локализации данных и как они изменились в 2025 году?
С сентября 2015 года все операторы обязаны хранить персональные данные российских граждан в базах данных, физически расположенных в России. С 1 июля 2025 года это требование распространяется также на обработчиков, действующих по поручению операторов, а первичный сбор персональных данных через инфраструктуру, расположенную за рубежом, прямо запрещён. Операторы по-прежнему вправе передавать копии данных за рубеж после соблюдения режима уведомления о трансграничной передаче, однако основная база данных должна оставаться на территории России.
Каковы максимальные наказания за нарушения в сфере защиты персональных данных в России?
Административные штрафы за повторные крупномасштабные утечки могут достигать 1-3 процентов годовой выручки, но не более 500 миллионов рублей (около 5,5 миллиона долларов США), с 30 мая 2025 года. Утечки биометрических данных влекут фиксированные штрафы от 15 до 20 миллионов рублей за инцидент. В уголовно-правовой сфере организованный незаконный оборот данных или деяния, повлёкшие тяжкие последствия, влекут лишение свободы до 10 лет и штраф до 3 миллионов рублей согласно статье 272.1 Уголовного кодекса.
Как быстро необходимо сообщать об утечке данных в России?
Операторы обязаны уведомить Роскомнадзор в течение 24 часов с момента обнаружения утечки. В течение 72 часов должен последовать полный дополнительный отчёт. Несоблюдение 24-часового срока может повлечь дополнительный штраф от 1 до 3 миллионов рублей для юридических лиц, помимо наказания за саму утечку.
Что такое СОРМ и как она влияет на неприкосновенность частной жизни в России?
СОРМ представляет собой обязательную инфраструктуру перехвата ФСБ. Все российские операторы связи и интернет-провайдеры обязаны за свой счёт устанавливать оборудование, доступное ФСБ. ФСБ может получать доступ к трафику в реальном времени. Согласно закону Яровой, операторы также обязаны хранить содержание сообщений в течение 6 месяцев, а метаданные, в течение 3 лет. СОРМ действует вне рамок основанной на согласии модели закона 152-ФЗ: государственный доступ не требует согласия субъекта данных, а судебный контроль на практике крайне ограничен.
Всегда ли требуется согласие на обработку персональных данных в России?
Нет. Согласие является наиболее часто используемым правовым основанием, однако закон 152-ФЗ признаёт ещё пять оснований: исполнение договора, правовую обязанность, жизненно важные интересы, законные интересы, а также журналистскую или научную деятельность. Однако письменное согласие требуется отдельно для обработки специальных категорий данных, биометрических данных, трансграничной передачи данных в страны без статуса адекватности и автоматизированного принятия решений с юридическими последствиями.
Какие составы преступлений установил Закон № 421-ФЗ?
Федеральный закон № 421-ФЗ (вступил в силу 11 декабря 2024 года) ввёл в Уголовный кодекс России статью 272.1, охватывающую незаконный сбор, хранение, использование, передачу и трансграничную передачу персональных данных. Базовый состав влечёт лишение свободы до 4 лет. Отягчённые случаи с участием несовершеннолетних или биометрических данных влекут до 5 лет; незаконная трансграничная передача влечёт до 8 лет; а организованная преступная деятельность или тяжкие последствия влекут лишение свободы до 10 лет со штрафом до 3 миллионов рублей.
Sources and References
- Федеральный закон № 152-ФЗ «О персональных данных» (официальный реестр Роскомнадзора)(rkn.gov.ru).gov
- Министерство цифрового развития, связи и массовых коммуникаций России(digital.gov.ru).gov
- Федеральный закон № 242-ФЗ о требованиях локализации данных (анализ Duane Morris)(duanemorris.com)
- Федеральный закон № 23-ФЗ (февраль 2025 года): ужесточение требований локализации, вступивших в силу 1 июля 2025 года (Lidings)(lidings.com)
- Новые требования к локализации персональных данных в России: изменения июля 2025 года (Konsu Group)(konsugroup.com)
- Федеральные законы № 420-ФЗ и 421-ФЗ: уголовная ответственность и штрафы до 500 миллионов рублей (Acsour)(acsour.com)
- Усиление ответственности за нарушения в сфере персональных данных: анализ законов 420-ФЗ и 421-ФЗ (Birch Legal)(birchlegal.ru)
- Совет Федерации одобрил законы об ужесточении ответственности за нарушения в сфере персональных данных (Lidings)(lidings.com)
- Режим уведомления о трансграничной передаче данных: пошаговое руководство (Konsu Group)(konsugroup.com)
- Россия принимает новые правила трансграничной передачи данных (Gorodissky and Partners)(gorodissky.com)
- Требования к регистрации у органа по защите данных и назначению ответственного за защиту данных (Gorodissky and Partners)(gorodissky.com)
- Россия: основы обработки и защиты биометрических данных (Morgan Lewis)(morganlewis.com)
- Россия: страновой доклад «Свобода в сети 2025» (Freedom House)(freedomhouse.org)
- Закон Яровой и новые требования к хранению данных операторами связи (Gorodissky and Partners)(gorodissky.com)
- Россия: гармонизация законодательства о защите данных с законодательством ЕС (Gorodissky and Partners)(gorodissky.com)