К списку статей
Превентивная защита 3 мин чтения

152-ФЗ в 2026: новые требования к хранению данных

Локализация, договор с обработчиком, реестр обработки. Что меняется в 152-ФЗ в 2026 и кого это касается на практике.

Закон о персональных данных в 2026 году становится плотнее по требованиям к организационной части. Регулятор уходит от позиции "напишите политику и забудьте" в сторону проверяемой системы: где данные лежат, кто их трогает, как оформлены отношения с подрядчиками.

Локализация

Требование собирать и хранить первичные данные российских граждан на серверах в РФ существует давно, но в 2026 трактовка ужесточается. Под локализацией понимают не только физическое расположение основного хранилища, но и:

  • расположение резервных копий,
  • расположение операционных копий, с которыми работают CRM и аналитика,
  • режим работы кэшей и CDN, через которые проходят данные.

Использование зарубежных SaaS-сервисов (CRM, HR-платформы, email-рассылки) без локальной копии данных - это риск. Не каждое решение допускает архитектуру с локализованным первичным хранилищем, и для части компаний это означает миграцию на российские аналоги или гибридную схему.

Договор с обработчиком

Если данные передаются подрядчику - облачному провайдеру, аутсорсингу HR, колл-центру, разработчику, поддержке сайта - между оператором и обработчиком должен быть оформленный документ. Не общий договор оказания услуг, а отдельное поручение на обработку с конкретными требованиями.

В договоре должно быть:

  • перечень обрабатываемых категорий и целей,
  • обязанность соблюдать требования 152-ФЗ,
  • порядок уничтожения данных по окончании отношений,
  • технические и организационные меры защиты,
  • ответственность за нарушение, в том числе за инцидент.

Для типовой ситуации - когда у компании 5-10 подрядчиков с доступом к данным - это означает плановую переподписку договоров. Лучше успеть до того, как из-за одного подрядчика придёт инцидент, и компания окажется в позиции, описанной в материале про штрафы за ПДн в 2026.

Реестр обработки

Реестр - это не формальный документ, который пишется один раз. Это рабочая таблица, в которой:

  • перечислены все процессы обработки (CRM, кадры, бухгалтерия, маркетинг, аналитика),
  • по каждому процессу - правовое основание, цели, категории, сроки хранения,
  • указано, где физически лежат данные,
  • указаны подрядчики и сотрудники с доступом.

При проверке этот реестр - первый запрашиваемый документ после политики. Его отсутствие или формальное заполнение указывают на то, что компания не управляет своими данными, и проверка идёт по углублённому сценарию.

Кого касается

Под усиленные требования попадают практически все юрлица, которые работают с физлицами. Особенно чувствительны:

  • розница и e-commerce с программами лояльности,
  • HR-аутсорсинг и кадровые агентства,
  • медицинские и образовательные сервисы,
  • разработка и IT-сервисы, обрабатывающие данные клиентов своих клиентов.

Если компания заказывала договор IT-разработки или активно работает с подрядчиками по коду и инфраструктуре, имеет смысл провести инвентаризацию того, к каким данным эти подрядчики имеют доступ и оформлены ли поручения корректно.

Также стоит проверить совместимость требований 152-ФЗ с правилами антимонопольного комплаенса, особенно в части обмена данными внутри группы компаний и при совместных маркетинговых акциях. Часть инструментов, которые казались допустимыми, в новом режиме требуют пересмотра.

С чего начать

Базовый минимум на первый квартал:

  1. Инвентаризация данных и сборка реестра обработки.
  2. Аудит подрядчиков и переподписка поручений на обработку.
  3. Проверка локализации и переезд на соответствующие сервисы там, где это требуется.
  4. Обновление политики и согласий под актуальные процессы.

Это не одноразовая задача. Реестр и договоры живут вместе с бизнесом, и их состояние нужно поддерживать на регулярной основе - так же, как бухгалтерскую отчётность.

К списку статей
Контакт

Нужна помощь по похожей ситуации? Напишите нам.