Как бизнесу соблюдать закон о персональных данных в 2026 году

В 2026 году статус оператора персональных данных стал одним из базовых юридических вопросов для любого бизнеса, который так или иначе работает с информацией о клиентах, контрагентах или сотрудниках. Обработка персональных данных перестала восприниматься как второстепенная формальность и перешла в категорию обязательных регуляторных требований.

Правовую основу регулирования по-прежнему составляет Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных». Документ устанавливает правила сбора, хранения, использования и защиты персональной информации граждан Российской Федерации и распространяется как на крупные компании, так и на малый бизнес, индивидуальных предпринимателей и самозанятых.

На практике многие организации годами откладывали направление уведомления в Роскомнадзор, считая требования закона избыточными, особенно при небольшом объеме обрабатываемых данных. Однако с мая 2025 года регуляторная позиция существенно изменилась. Регистрация оператора персональных данных перестала носить декларативный характер и стала обязательным юридическим действием, отсутствие которого рассматривается как нарушение законодательства.

Последствия игнорирования требований больше не ограничиваются формальными предписаниями. Речь идет о рисках административной ответственности, штрафах, блокировке интернет-ресурсов и повышенном внимании со стороны надзорных органов.

В этих условиях у бизнеса закономерно возникают вопросы: кто именно признается оператором персональных данных, обязательно ли регистрироваться в Роскомнадзоре, и сохраняет ли значение аргумент о «маленьком бизнесе».

Кто признается оператором персональных данных и какие обязанности из этого следуют

Оператор персональных данных — это государственный или муниципальный орган, юридическое либо физическое лицо, которое самостоятельно или совместно с другими лицами:

• определяет цели, состав и способы обработки персональных данных;
• организует и осуществляет такую обработку.

Иными словами, статус оператора возникает у любого лица, которое прямо или косвенно работает с персональной информацией. К числу операторов, в частности, относятся:

• компании, формирующие и ведущие клиентские базы;
• сервисы и сайты, собирающие данные через формы обратной связи, регистрации или заявок;
• ресурсы, использующие инструменты аналитики и отслеживания пользовательского поведения;
• работодатели, обрабатывающие персональные данные сотрудников.

Объем бизнеса, численность персонала или количество клиентов не освобождают от статуса оператора. Ключевым фактором является сам факт обработки персональных данных, а не масштаб деятельности.

Основные обязанности оператора персональных данных

Федеральный закон № 152-ФЗ возлагает на оператора персональных данных комплекс обязанностей, направленных на защиту прав субъектов данных и обеспечение законности их обработки. Эти требования носят обязательный характер и подлежат исполнению независимо от масштаба бизнеса или сферы деятельности.

К ключевым обязанностям оператора относятся следующие:

Уведомление о начале обработки персональных данных.

Оператор обязан до начала обработки направить уведомление в Роскомнадзор, указав сведения о себе и характере обработки персональных данных. Отсутствие уведомления рассматривается как самостоятельное нарушение законодательства.

Соблюдение прав субъектов персональных данных.

Лица, чьи данные обрабатываются, должны иметь возможность получить информацию о составе и целях обработки, условиях хранения, а также реализовать право на ограничение обработки или отзыв согласия в предусмотренных законом случаях.

Организация системы защиты персональных данных.

На операторе лежит обязанность обеспечить правовые, организационные и технические меры защиты данных от утечек, несанкционированного доступа, изменения или уничтожения. Уровень мер определяется характером и объемом обрабатываемой информации.

Внутренний контроль и ведение документации.

Оператор обязан выстроить внутренние процедуры обработки данных, включая назначение ответственного лица, учет операций с персональными данными, разработку локальных нормативных актов и регламентов информационной безопасности.

Устранение нарушений и взаимодействие с регулятором.

При выявлении нарушений оператор обязан принять меры по их устранению, зафиксировать предпринятые действия и при необходимости уведомить уполномоченные органы.

• Понимание статуса оператора и объема его обязанностей позволяет компании:
  снизить риск административной ответственности и штрафов;
• выстроить прозрачные и управляемые процессы обработки данных;
• сохранить деловую репутацию и доверие клиентов;
• подготовиться к проверкам со стороны надзорных органов.

Регистрация оператора персональных данных в Роскомнадзоре

Регистрация оператора осуществляется путем направления официального уведомления в Роскомнадзор. Законодательством предусмотрено несколько допустимых способов подачи уведомления.

На практике используются следующие варианты:

• в электронном виде через сайт Роскомнадзора с применением усиленной квалифицированной электронной подписи — наиболее распространенный способ, позволяющий автоматически включить оператора в реестр при корректном заполнении формы;
• через портал государственных услуг — удобный формат онлайн-подачи при наличии подтвержденной учетной записи, привязанной к юридическому лицу или индивидуальному предпринимателю;
• в бумажном виде — направлением по почте или личным обращением в территориальный орган Роскомнадзора по месту регистрации оператора. Способ используется реже, но сохраняет юридическую силу.

В уведомлении указываются, в частности:

• сведения об операторе;
• цели и категории обрабатываемых персональных данных;
• информация о мерах хранения и защиты данных;
• данные о территории обработки (при наличии трансграничной передачи);
• контактное лицо, ответственное за организацию обработки.

Форма уведомления утверждена приказом Роскомнадзора от 28 октября 2022 года № 180 и является обязательной к применению.

Что происходит после подачи уведомления в Роскомнадзор

После направления уведомления сведения об операторе рассматриваются Роскомнадзор в установленном законом порядке. Как правило, в течение 30 календарных дней информация включается в реестр операторов персональных данных.

При этом данные о применяемых мерах информационной безопасности в открытом доступе не раскрываются. Остальные сведения об операторе, целях и характере обработки становятся общедоступными и могут быть использованы при проверках и правовом анализе деятельности компании.

Если при подаче уведомления были допущены ошибки либо информация оказалась неполной, регулятор вправе запросить уточнения или корректировки. До устранения неточностей включение в реестр может быть приостановлено.

После регистрации оператор обязан поддерживать сведения в актуальном состоянии. Обо всех изменениях: смене адреса, целей обработки, ответственного лица или иных существенных параметров необходимо уведомить Роскомнадзор не позднее 15-го числа месяца, следующего за датой изменений. Аналогичная обязанность возникает и при прекращении обработки персональных данных.

Когда уведомление в Роскомнадзор не требуется

Часть 2 статьи 22 Федерального закона № 152-ФЗ предусматривает исключения, при которых направление уведомления до начала обработки персональных данных не требуется. Эти случаи носят ограниченный характер и подлежат буквальному толкованию.

Обработка персональных данных без средств автоматизации.

Если персональные данные обрабатываются исключительно вручную — без использования электронных баз, программного обеспечения и иных средств автоматизации — обязанность уведомления отсутствует. Речь идет о ситуациях, когда данные фиксируются только на бумажных носителях и не систематизируются в электронном виде.

Данные, включенные в государственные информационные системы.

Если персональные данные уже содержатся в государственных информационных системах, созданных для обеспечения безопасности государства и общественного порядка, обязанность по уведомлению не возникает. Аналогичный подход применяется и к специализированным государственным системам, регулируемым отдельными нормативными актами.

Обработка в рамках специальных отраслевых режимов.

В ряде сфер федеральное законодательство устанавливает собственные правила работы с персональными данными. Например, в области транспортной безопасности или иных отраслях, где порядок обработки прямо определен специальными законами.

Особые случаи правоприменения.

В правоприменительной практике также упоминаются ситуации, когда обработка осуществляется исключительно для исполнения договора с самим субъектом персональных данных либо когда данные являются общедоступными. Однако такие исключения применяются ограниченно и требуют индивидуальной правовой оценки.

Важно учитывать: даже при отсутствии обязанности уведомления оператор обязан соблюдать иные требования закона № 152-ФЗ — обеспечивать защиту данных, получать согласия и внедрять необходимые организационные и технические меры.

Почему аргумент «мы маленькие» больше не работает

В 2026 году позиция о том, что малый бизнес, индивидуальные предприниматели или стартапы могут не уведомлять Роскомнадзор из-за «небольшого объема данных», не соответствует действующему законодательству и сложившейся правоприменительной практике.

Согласно части 1 статьи 22 Федерального закона № 152-ФЗ обязанность уведомления возникает у любого оператора, осуществляющего обработку персональных данных. Закон не связывает эту обязанность с размером бизнеса, числом клиентов или оборотом компании. Ключевым является сам факт обработки.

Если используется автоматизированная обработка персональных данных, уведомление становится обязательным.

Что признается автоматизированной обработкой персональных данных

К автоматизированной обработке относятся, в частности:

• сбор данных через формы на сайте;
• хранение информации в CRM-системах, электронных таблицах или облачных сервисах;
• использование клиентских баз для почтовых рассылок;
• применение систем веб-аналитики;
• обработка данных, поступающих через мессенджеры и онлайн-формы обратной связи.

Даже простая форма «оставить контакт» в сочетании с электронной базой данных формирует статус оператора персональных данных — независимо от масштаба бизнеса и количества записей.