152-ФЗ в 2026: новые требования к хранению данных
Локализация, договор с обработчиком, реестр обработки. Что меняется в 152-ФЗ в 2026 и кого это касается на практике.
Закон о персональных данных в 2026 году становится плотнее по требованиям к организационной части. Регулятор уходит от позиции "напишите политику и забудьте" в сторону проверяемой системы: где данные лежат, кто их трогает, как оформлены отношения с подрядчиками.
Локализация
Требование собирать и хранить первичные данные российских граждан на серверах в РФ существует давно, но в 2026 трактовка ужесточается. Под локализацией понимают не только физическое расположение основного хранилища, но и:
- расположение резервных копий,
- расположение операционных копий, с которыми работают CRM и аналитика,
- режим работы кэшей и CDN, через которые проходят данные.
Использование зарубежных SaaS-сервисов (CRM, HR-платформы, email-рассылки) без локальной копии данных - это риск. Не каждое решение допускает архитектуру с локализованным первичным хранилищем, и для части компаний это означает миграцию на российские аналоги или гибридную схему.
Договор с обработчиком
Если данные передаются подрядчику - облачному провайдеру, аутсорсингу HR, колл-центру, разработчику, поддержке сайта - между оператором и обработчиком должен быть оформленный документ. Не общий договор оказания услуг, а отдельное поручение на обработку с конкретными требованиями.
В договоре должно быть:
- перечень обрабатываемых категорий и целей,
- обязанность соблюдать требования 152-ФЗ,
- порядок уничтожения данных по окончании отношений,
- технические и организационные меры защиты,
- ответственность за нарушение, в том числе за инцидент.
Для типовой ситуации - когда у компании 5-10 подрядчиков с доступом к данным - это означает плановую переподписку договоров. Лучше успеть до того, как из-за одного подрядчика придёт инцидент, и компания окажется в позиции, описанной в материале про штрафы за ПДн в 2026.
Реестр обработки
Реестр - это не формальный документ, который пишется один раз. Это рабочая таблица, в которой:
- перечислены все процессы обработки (CRM, кадры, бухгалтерия, маркетинг, аналитика),
- по каждому процессу - правовое основание, цели, категории, сроки хранения,
- указано, где физически лежат данные,
- указаны подрядчики и сотрудники с доступом.
При проверке этот реестр - первый запрашиваемый документ после политики. Его отсутствие или формальное заполнение указывают на то, что компания не управляет своими данными, и проверка идёт по углублённому сценарию.
Кого касается
Под усиленные требования попадают практически все юрлица, которые работают с физлицами. Особенно чувствительны:
- розница и e-commerce с программами лояльности,
- HR-аутсорсинг и кадровые агентства,
- медицинские и образовательные сервисы,
- разработка и IT-сервисы, обрабатывающие данные клиентов своих клиентов.
Если компания заказывала договор IT-разработки или активно работает с подрядчиками по коду и инфраструктуре, имеет смысл провести инвентаризацию того, к каким данным эти подрядчики имеют доступ и оформлены ли поручения корректно.
Также стоит проверить совместимость требований 152-ФЗ с правилами антимонопольного комплаенса, особенно в части обмена данными внутри группы компаний и при совместных маркетинговых акциях. Часть инструментов, которые казались допустимыми, в новом режиме требуют пересмотра.
С чего начать
Базовый минимум на первый квартал:
- Инвентаризация данных и сборка реестра обработки.
- Аудит подрядчиков и переподписка поручений на обработку.
- Проверка локализации и переезд на соответствующие сервисы там, где это требуется.
- Обновление политики и согласий под актуальные процессы.
Это не одноразовая задача. Реестр и договоры живут вместе с бизнесом, и их состояние нужно поддерживать на регулярной основе - так же, как бухгалтерскую отчётность.