Материал систематизирует ужесточение регулирования персональных данных в России в 2025 году и контуры следующих шагов на 2026-й. Закон 152-ФЗ максимально широко трактует персональные данные (от ФИО и паспортов до cookie и геолокации) и возлагает на операторов полный цикл обязанностей: наличие законного основания обработки, уведомление Роскомнадзора, локализация баз граждан РФ, назначение ответственного, регулярный аудит рисков и применение организационно-технических мер защиты. Ключевой акцент текущих поправок – на утечках и инцидентах: оператор обязан сообщить о факте утечки в Роскомнадзор в течение 24 часов и направить результаты внутреннего расследования за 72 часа.

Штрафы по линии персональных данных радикально выросли: за неправомерную обработку – до 300 тыс. рублей (до 500 тыс. при повторе), за неподачу уведомления об обработке – до 300 тыс., за неуведомление об утечке – до 3 млн, а за сами утечки – от 3 млн до 500 млн рублей, включая оборотные санкции в процентах от выручки; по ст. 13.11 КоАП штрафы для юрлиц могут достигать 20 млн рублей или 6% годового оборота. В 2025-м дела по ПД перевели в арбитраж, что меняет правоприменение и требует от бизнеса собственных правовых позиций. На 2026 год обсуждается пакет Антифрод-2 с сокращением избыточных согласий, переносом части управления согласиями в Госуслуги, усилением автоматизированного мониторинга сайтов и развитием отраслевых стандартов и технологий защищенной обработки данных.