Персональные данные в РФ в 2026 году: гайд для маркетплейсов и интернет‑магазинов

Регулирование обработки персональных данных (ПДн) в России прошло точку невозврата. 2025 год стал переломным — вступили в силу поправки, которые кардинально изменили правила игры. 2026 год — это фаза активного правоприменения: массовые проверки Роскомнадзора, первые прецеденты с оборотными штрафами и кратный рост судебных споров. Владельцам маркетплейсов и онлайн-магазинов приходится балансировать между коммерческими целями, требованиями законодательства и растущими киберугрозами в условиях, когда цена ошибки измеряется миллионами рублей и репутацией бизнеса.

Актуальные факты и статистика

Масштаб проблемы продолжает расти, несмотря на ужесточение регулирования:

- 2024 год: в России утекло 1,58 млрд записей ПДн — на 31,7% больше, чем годом ранее. Страна заняла 5-е место в мире по этому показателю.

- 2025 год: по данным Роскомнадзора, в сеть попало более 52 млн записей ПДн. Однако независимые аналитики (отчет «Еca Про») оценивают реальный объём утечек в свыше 145 млн строк. В открытом доступе за первое полугодие 2025 года оказалось 750 млн записей россиян, а к апрелю 2026 года эта цифра достигла 767 млн записей.

- Структура утечек 2025 года: 28% инцидентов пришлось на сектор интернет-сервисов, 26% — на госорганы, далее следуют ритейл, финансы и телеком.

- Ключевой тренд 2026 года: основную угрозу представляет не столько частота новых утечек, сколько накопленный массив уже скомпрометированной информации, доступный на теневых площадках и используемый для социальной инженерии.

- Судебная активность: за два года число споров по персональным данным выросло на 71%.

- Бюджеты на безопасность: 41% компаний не имеют выделенного бюджета на защиту ПДн, ещё 37% заморозили такие расходы на 2026 год. При этом 70% компаний в России не соответствуют требованиям 152-ФЗ.

Эти цифры — не просто статистика. Это сигнал: регулятор наращивает контроль, а бизнес системно не готов к новым реалиям.

Законодательные требования и изменения в РФ по персональным данным

Хронология ключевых изменений

30 мая 2025 г. - Вступление в силу закона № 420-ФЗ: оборотные штрафы, расширение круга операторов, новые правила согласий

1 июля 2025 г. - Ужесточение требований к локализации данных; запрет хранения ПДн россиян за рубежом

1 сентября 2025 г. - Согласие на обработку ПДн — только отдельным документом; новые стандарты политики конфиденциальности

Август 2025 г. - Утверждён план мероприятий по реализации Концепции государственной системы противодействия киберпреступлениям

IV квартал 2026 г. - Ожидаемое вступление в силу поправок, разграничивающих административную и уголовную ответственность

Расширение круга операторов

С 30 мая 2025 года к категории операторов ПДн относятся все организации, индивидуальные предприниматели и самозанятые, собирающие или обрабатывающие любые персональные данные — клиентов, сотрудников, пользователей сайтов и приложений. Это означает, что даже небольшой интернет-магазин обязан:

- подать уведомление в Роскомнадзор о начале обработки ПДн;

- быть внесённым в реестр операторов;

- иметь полный комплект внутренней документации.

Новые требования к согласию

С 1 сентября 2025 года согласие на обработку ПДн должно быть оформлено отдельным документом, а не пунктом в договоре оферты или пользовательском соглашении. Обязательные элементы:

- Конкретные цели обработки (нельзя «для осуществления уставной деятельности»)

- Перечень действий с данными

- Срок действия согласия и порядок отзыва

- Отдельные чек-боксы для каждого типа обработки (аналитика, маркетинг, передача третьим лицам)

Локализация и трансграничная передача

С 1 июля 2025 года хранение ПДн граждан РФ за рубежом запрещено, за исключением случаев, прямо предусмотренных законодательством. Использование зарубежных сервисов (Google Analytics, Meta Pixel, зарубежные CRM) теперь допустимо только при наличии специального разрешения и при условии предварительного уведомления Роскомнадзора.

Штрафы: что изменилось в 2026 году

Обработка без надлежащего согласия - 300 000 – 700 000 ₽

Отсутствие политики конфиденциальности в открытом доступе - 30 000 – 60 000 ₽

Нарушение локализации баз данных - 1 – 6 млн ₽

Неуведомление Роскомнадзора о начале обработки - 100 000 – 300 000 ₽

Утечка ПДн - от 3 до 20 млн ₽ (в зависимости от масштаба)

Повторная утечка - 1–3% годовой выручки (мин. 20 млн ₽, макс. 500 млн ₽)

Важно: с 2026 года поступления от штрафов за нарушения в сфере ПДн частично направляются на финансирование нацпроекта «Экономика данных и цифровая трансформация государства» — это создаёт дополнительный фискальный интерес регулятора к взысканиям.

Биометрические и специальные данные

- Биометрия (отпечатки пальцев, голос, изображение лица) — требуется отдельное письменное согласие.

- Специальные данные (здоровье, национальность, религия) — обработка только при явном согласии и в обезличенном виде.

- Общие данные (ФИО, email, телефон) — обрабатываются с учётом новых ограничений и принципа минимизации.

Права субъектов

Пользователь вправе в любой момент запросить:

- экспорт своих данных (в машиночитаемом формате);

- корректировку или дополнение;

- удаление или обезличивание;

- отзыв согласия на обработку.

Компании обязаны автоматизировать эти процессы — через личные кабинеты или отдельные формы на сайте. Срок ответа на запрос — 30 дней (с возможностью продления ещё на 30).

Управление cookie и рекламными технологиями

Согласия на использование аналитических и маркетинговых cookie должны запрашиваться отдельно. Баннер с выбором настроек обязан появляться до установки трекеров.

Обязанность уведомлять об утечках

О случаях утечки ПДн оператор обязан уведомить Роскомнадзор:

- в течение 24 часов — первичное уведомление;

- в течение 72 часов — результаты внутреннего расследования.

Как DST Platform помогает соблюдать требования законодательства в 2026 году

Платформа DST Platform остаётся полностью российским продуктом и адаптирована для работы в обновлённом правовом поле России. Ниже — как её функционал закрывает ключевые требования 152-ФЗ для Интернет-магазинов и Маркетплейсов.

Разделение ролей и принцип минимального доступа

Система прав доступа DST Platform построена так, чтобы минимизировать круг лиц, имеющих доступ к ПДн. Администраторы, продавцы и покупатели работают в отдельных средах с разными уровнями прав. Для маркетплейсов это особенно важно: продавцы видят только заказы своих покупателей, что исключает доступ к информации конкурентов.

Что изменилось в 2026 году: усилены механизмы журналирования — теперь фиксируется каждое обращение к ПДн с указанием времени, пользователя и типа операции. Это критически важно для расследования инцидентов и предоставления отчётности Роскомнадзору.

Документирование и получение согласий

Модуль «Подтверждение обработки персональных данных (152-ФЗ)» (с версии 4.6.2) обновлён под требования 2025-2026 годов:

- согласие выводится отдельным блоком, а не пунктом в форме;

- для каждого типа обработки — отдельный чек-бокс;

- автоматическая фиксация даты, времени и IP-адреса при получении согласия.

Для работы с клиентами из ЕС доступен встроенный GDPR-модуль (версии 4.7.4 и выше), который сохраняет историю согласий и автоматизирует обработку запросов на удаление или экспорт данных.

Локализация данных

Рекомендованный хостинг-партнёр DST Platform — Yandex Cloud с дата-центрами исключительно на территории РФ. Это полностью закрывает требования ФЗ-242 о локализации.

Новое в 2026 году: реализована возможность изоляции данных продавцов на уровне сервера — для маркетплейсов, где каждый продавец является самостоятельным обработчиком ПДн.

Поддержка онлайн-касс и 54-ФЗ

DST Platform интегрируется с онлайн-кассами и фискальными регистраторами, обеспечивая выполнение закона № 54-ФЗ. Журналирование фискальных операций и связанной информации позволяет быстро предоставить отчёты Роскомнадзору или налоговым органам.

Реагирование на инциденты

Хотя DST Platform не автоматизирует подачу уведомлений в Роскомнадзор, платформа позволяет:

- немедленно ограничить доступ к скомпрометированным данным;

- изменить права пользователей в один клик;

- выгрузить детализированные журналы действий (с метками времени) для подготовки отчёта в 24-часовой срок.

Права субъектов

Через личный кабинет и модули DST Platform реализованы:

- экспорт данных пользователя в машиночитаемом формате;

- удаление аккаунта и всех связанных данных;

- обезличивание данных по запросу (без полного удаления, если это требуется для бухгалтерской отчётности).

Безопасность

- SSL/TLS — все каналы передачи данных зашифрованы

- Шифрование при хранении — базы данных защищены на уровне диска

- Blowfish-шифрование платёжной информации — в рамках стандартов PCI DSS

- Хэширование паролей — с солью, алгоритм bcrypt/argon2

- Регулярный аудит кода — снижение риска уязвимостей

Управление cookie

В DST Platform реализована настройка баннеров с отдельными согласиями для:

- технических cookie (обязательные);

- аналитических cookie (Yandex Metrica и аналоги);

- маркетинговых cookie (ретаргетинг, рекламные сети).

Баннер появляется до установки любых трекеров, что соответствует принципам прозрачности.

Рекомендации для бизнеса на платформе DST Platform

Чек-лист на 2026 год

1. Активируйте модуль «Подтверждение обработки ПДн (152-ФЗ)» — он обеспечит корректный сбор согласий и вывод политики конфиденциальности.

2. Подготовьте полный пакет документов:

- политика обработки ПДн (в открытом доступе на сайте);

- регламент действий при утечках;

- журнал обращений субъектов ПДн;

- приказ о назначении ответственного за защиту данных;

- договоры с обработчиками (партнёрами, продавцами).

3. Убедитесь в локализации данных — хостинг должен быть на территории РФ. Замените зарубежные сервисы (Google Analytics, зарубежные CRM) на российские аналоги или получите разрешение Роскомнадзора.

4. Подайте уведомление в Роскомнадзор о начале обработки ПДн (если ещё не сделали) и поддерживайте данные в реестре в актуальном состоянии.

5. Настройте процессы реагирования на запросы субъектов (экспорт, удаление, отзыв согласия) — автоматизируйте через личные кабинеты.

6. Проведите внутренний аудит на соответствие требованиям Постановления № 1119 и 152-ФЗ в текущей редакции.

7. Подготовьтесь к массовым проверкам Роскомнадзора — по оценкам экспертов, в 2026 году регулятор наращивает число проверок с использованием автоматизированных инструментов контроля.

Заключение

Правила работы с персональными данными в России достигли беспрецедентной жёсткости. 2026 год — это уже не период адаптации, а фаза активного правоприменения: проверки, штрафы, судебные прецеденты. Для владельцев маркетплейсов и интернет-магазинов это означает одно: безопасность и соответствие закону должны быть встроены в бизнес-процессы на уровне архитектуры, а не добавляться постфактум.

DST Platform, как полностью российский продукт, предоставляет необходимый инструментарий для выполнения требований 152-ФЗ: от модуля согласий и разграничения доступа до шифрования и журналирования. Однако технологии — лишь половина решения. Вторая половина — это грамотно выстроенные процессы, актуальная документация и понимание того, что ответственность за данные клиентов теперь лежит на операторе в полном объёме.

2026 год не прощает формального подхода к ПДн. Готовьтесь системно.