Изменения в 152-ФЗ с 1 июля 2026: что проверить на сайте в первую очередь

Что изменится с 1 июля 2026

1. Обязательная сертификация программного обеспечения

С 1 июля 2026 года любое ПО, используемое для обработки персональных данных, должно иметь сертификат соответствия требованиям ФСТЭК или ФСБ . Это касается не только специализированных DLP-систем, но и обычных CRM, биллинговых систем, бухгалтерского софта, в котором хранятся данные клиентов или сотрудников.

Что это значит для сайта:

Если данные с ваших форм попадают в самописную CRM или зарубежную систему без сертификации, это становится прямым нарушением. Первое, что спросит Роскомнадзор при проверке: «Покажите сертификаты на ваше ПО».

2. Ужесточение требований к защите при трансграничной передаче

Передача данных за пределы РФ теперь требует не просто уведомления, а подтверждения, что принимающая страна обеспечивает адекватную защиту прав субъектов. Если страна не входит в специальный перечень РКН, оператор обязан получить от госорганов этого государства или от самого получателя информации подтверждение о соответствии уровня защиты 

3. Новые сроки уведомления об инцидентах

Система 24/72 часа окончательно закрепляется в правоприменительной практике:

• 24 часа — на первичное уведомление Роскомнадзора об инциденте
• 72 часа — на предоставление результатов внутреннего расследования 

За опоздание с уведомлением — отдельный штраф до 3 млн рублей.

Что проверить на сайте прямо сейчас

1. Политика конфиденциальности и формы согласий

С 1 сентября 2025 года действует требование об отдельном согласии на обработку данных — нельзя «вшивать» его в пользовательское соглашение или общие договоры . К июлю 2026 года это требование уже должно быть реализовано на всех сайтах без исключения.
Проверьте:

• Есть ли отдельный чекбокс под каждой формой сбора данных
• Не проставлен ли он автоматически
• Содержит ли текст согласия конкретные цели обработки
• Видна ли ссылка на Политику конфиденциальности до отправки формы

Важно: Конструкция «нажимая кнопку, вы соглашаетесь…» без отдельного чекбокса больше не работает. Роскомнадзор считает такое согласие недействительным .

2. Локализация баз данных

Закон требует, чтобы при сборе персональных данных граждан РФ их запись и систематизация выполнялись с использованием баз данных, находящихся на территории России .
Что нужно проверить:

• Где физически расположен ваш хостинг
• Куда «падают» данные из форм обратной связи
• Где хранятся базы клиентов в CRM
• Используете ли вы зарубежные облачные сервисы (Google Drive, Dropbox, Notion) для хранения данных с персональной информацией

Если сайт размещен на зарубежном хостинге — это прямое нарушение. Исключений для «маленьких сайтов» нет.

3. Сторонние скрипты, пиксели и интеграции

Одна из самых частых зон риска — скрытая передача данных через счетчики аналитики, пиксели соцсетей, виджеты обратной связи, чаты поддержки.

Роскомнадзор с помощью ИИ-систем сканирует сайты и выявляет:

• передачу идентификаторов в зарубежные сервисы
• использование Meta Pixel (деятельность Meta запрещена в РФ) и аналогичных инструментов
• отсутствие информирования о сборе данных через cookie