разбор измененийперсональные данныедоговоры

Персональные данные в 2026 году: что перепроверить в договорах и согласиях

Это разбор не про абстрактную безопасность, а про документы. После поправок к закону о персональных данных, усиления ответственности и новых требований Роскомнадзора в 2026 году уже опасно оставлять старые формулировки про согласие, передачу данных и обезличивание как формальный хвост к договору.

Обновлено: 14 мая 2026 г.Время чтения: 4 мин.Юридический обзорФакт-чекРедакция

Официальное разъяснениеВажно с 30 мая 2025 г.

Что здесь за материал

Это разбор официального изменения или разъяснения: сначала источник, потом последствия для документов и процессов.

Кого касается

• компании и ИП, которые собирают заявки, анкеты, данные клиентов и сотрудников
• исполнители, которым передают кадровые, бухгалтерские или клиентские данные
• сайты, сервисы и отделы продаж, где согласие и обработка данных до сих пор висят как формальная приписка

Что изменилось

• В 2025 году обновили сам закон о персональных данных и резко усилили ответственность за нарушения порядка обработки и утечки.
• С 30 мая 2025 года заработали более жесткие штрафы, включая оборотные штрафы за повторные утечки.
• С 1 августа 2025 года Роскомнадзор закрепил отдельные требования к обезличиванию данных и методам обезличивания.

Что проверить прямо сейчас

• Есть ли у вас отдельное и понятное согласие, а не одна общая фраза в конце договора или формы.
• Понятно ли из договора, кто именно получает доступ к данным, для какой цели и на каком основании.
• Если данные передаются подрядчику, закрыта ли эта передача отдельным договорным блоком, а не только NDA.
• Если вы заявляете обезличивание, можете ли объяснить, какой метод используете и зачем.

Официальные основания

Здесь собраны публикации и разъяснения, на которых держится этот разбор.

Федеральный закон от 28.02.2025 № 23-ФЗ

Официальное опубликование правовых актов • 28 февраля 2025 г.

Поправки к закону о персональных данных и смежным актам, от которых в 2026 году уже нельзя отмахиваться как от будущего изменения.

Вячеслав Володин: принятые нормы усилят защиту персональных данных

Государственная Дума • 30 мая 2025 г.

Официальное сообщение Думы о вступлении в силу более жестких санкций, включая оборотные штрафы за повторные утечки персональных данных.

Приказ Роскомнадзора от 19.06.2025 № 140

Официальное опубликование правовых актов • 1 августа 2025 г.

Роскомнадзор утвердил требования к обезличиванию персональных данных и методам обезличивания — это уже не факультативная тема для внутренних регламентов.

Оглавление

Быстрый переход по разделам разбора.

Практические ориентиры

Самая частая ошибка — думать, что персональные данные закрываются одним NDA. NDA не заменяет основание обработки, цель, объем доступа и режим передачи данных подрядчику.

Если у вас в договоре есть слова про конфиденциальность, это еще не означает, что блок по 152-ФЗ вообще работает.

Лучший результат этого разбора — чтобы пользователь быстро понял: где нужен отдельный договорный блок, где отдельное согласие, а где уже надо переписывать весь процесс работы с данными.

Почему это болезненно именно в 2026 году

В 2026 году тема персональных данных перестала быть фоновым юридическим шумом. Формально многие поправки вступили раньше, но именно сейчас они начинают давить на обычный бизнес-процесс: заявки на сайте, кадровый учет, подрядчики на аутсорсе, агентские схемы, базы клиентов и переписка с персональными данными. Старый подход «потом доделаем политику и согласие» больше не выглядит безобидным.

Проблема в том, что у большинства компаний документы и процессы разъехались. На сайте висит одна формулировка, в договоре другая, в согласии третья, подрядчику данные уже передают, а основание и рамки передачи не описаны вовсе. Именно это сочетание и становится самым слабым местом на фоне более жестких санкций и новых требований к обращению с данными.

Штрафной риск стал ощутимее, чем раньше.
Старые «универсальные» согласия в одну строчку стали слабее.
Передача данных подрядчикам и партнерам требует более явного договорного контура.

Что переписать в договорах и согласиях

Первое слабое место — смешение конфиденциальности и персональных данных. Если вы просто пишете, что стороны обязуются сохранять конфиденциальность, этого недостаточно для нормальной работы с персональными данными. Здесь нужен отдельный слой: кто оператор, кто получает доступ, зачем, на каком основании и что делает с данными после завершения договора.

Второе слабое место — формальные согласия. Если согласие не объясняет цель, объем, способ обработки и передачу третьим лицам, оно начинает работать хуже именно в тех сценариях, где бизнесу потом нужно что-то доказать: спор с клиентом, вопрос от Роскомнадзора, конфликт с подрядчиком или утечка.

Отделите блок по персональным данным от общего NDA.
Проверьте цели обработки и перечень данных, а не только сам факт согласия.
Если данные уходят подрядчику, отдельно опишите передачу и пределы использования.
Не используйте слова про обезличивание, если не можете объяснить, что именно делаете технически и организационно.

Где бизнес чаще всего проваливается

Чаще всего провал происходит на стыке договора и процесса. Например, бухгалтерию, кадровый учет или прием платежей передали внешнему исполнителю, а в договоре нет внятного режима доступа к персональным данным. Или сайт собирает лиды, а согласие и договор между собой никак не согласованы. Или маркетинг считает данные «обезличенными», хотя на практике их легко вернуть к человеку.

Именно здесь разбор должен вести не в абстрактную статью про право на приватность, а в конкретный шаблон: договор на кадровый учет, договор с платежным агентом, NDA, сервисный договор или внутренний блок по работе с клиентскими данными.

Кадровый и бухгалтерский аутсорсинг без явного режима обработки персональных данных.
Прием платежей и сервисы лояльности без понятного основания для передачи данных.
NDA без специального блока по персональным данным.
Согласие на сайте, которое не совпадает с тем, как данные реально используются дальше.

Куда идти дальше по сайту

Если у вас подрядчик получает доступ к данным сотрудников или клиентов, сначала откройте профильный договор и проверьте, есть ли там отдельный блок по персональным данным, а не только общая конфиденциальность. Если проблема в самом режиме секретности, смотрите NDA, но не подменяйте им обработку персональных данных. Если у вас агентская или платежная схема, отдельно проверяйте передачу данных и границы доступа.

Смысл этого материала — быстро показать, где у вас именно договорная проблема, а где уже нужно править сайт, согласие или внутренний порядок работы с данными.

Для кадрового контура — договор на ведение кадрового учета.
Для передачи чувствительной информации подрядчику — NDA плюс отдельный блок по персональным данным.
Для платежного и агентского контура — агентский договор по приему платежей.

Выдержки из законов РФ

Важно

Этот материал носит исключительно информационный характер и не является юридической консультацией.

Информация актуальна по состоянию на май 2026 г. и подготовлена на основе действующего законодательства Российской Федерации.

Законодательство и правоприменительная практика могут измениться.

Для решения вашей конкретной ситуации обращайтесь к квалифицированному юристу или налоговому консультанту.

Связанные документы

После чтения откройте нужный шаблон и проверьте, что проблемные пункты действительно зафиксированы в документе.

Договор оказания услуг по ведению кадрового учета сотрудников организации

Открыть шаблон и сверить формулировки

Договор о конфиденциальности и неразглашении информации

Открыть шаблон и сверить формулировки

Агентский договор по приему платежей

Открыть шаблон и сверить формулировки