2026 год стал переломным для российского бизнеса в вопросах защиты персональных данных и информационной безопасности. Вступили в силу новые требования ФСТЭК России, ужесточились штрафы за нарушения 152-ФЗ, а Роскомнадзор перешёл на автоматический мониторинг сайтов. Если у вашей компании есть сайт, особенно на платформе 1С-Битрикс, и вы собираете персональные данные — вы под угрозой штрафов от 700 000 до 18 000 000 рублей.
Разбираем, что изменилось в законодательстве, какие риски существуют и как компания ИТ Вектор поможет вам настроить безопасность сайта и избежать финансовых потерь.
С 1 марта 2026 года вступил в силу Приказ ФСТЭК России от 11.04.2025 № 117, который полностью заменил действовавший ранее Приказ ФСТЭК № 17.
Ключевые изменения:
| Что изменилось | Подробности |
|---|---|
| Расширение круга организаций | Требования теперь распространяются не только на государственные информационные системы, но и на ИС государственных органов, государственных унитарных предприятий, государственных учреждений, а также подрядных организаций |
| Новый подход к защите информации | Переход от «бумажной» аттестации к эффективной защите |
| Внедрение процессов безопасной разработки ПО | Требования ГОСТ Р 56939-2024 охватывают все этапы жизненного цикла продукта |
Что нужно сделать в 2026 году по требованиям ФСТЭК:
Важно: Аттестаты соответствия на государственные информационные системы, выданные до 1 марта 2026 года, считаются действительными.
Кого касаются требования Роскомнадзора?
Правила распространяются на все организации и ИП, у которых есть сайт, собирающий персональные данные:
Даже простой лендинг с формой обратной связи подпадает под действие закона о персональных данных.
Что считается персональными данными
Персональные данные — это любая информация, по которой можно прямо или косвенно идентифицировать человека:
Важно: если у вас есть форма заявки, CRM, база рассылок, онлайн-чат или даже таблица с клиентами — вы уже обрабатываете персональные данные и обязаны соблюдать 152-ФЗ.
1. Информация о владельце сайта
На сайте должна быть полная информация о владельце:
| Для юридических лиц | Для ИП |
|---|---|
| Полное наименование | ФИО |
| Организационно-правовая форма | ОГРНИП |
| Юридический адрес | ИНН |
| ОГРН, ИНН | Адрес регистрации |
| Контакты, лицензии (если требуется) | Контакты |
Где разместить: в футере (подвале) сайта на всех страницах, в разделе «Контакты» или «О компании».
Штраф: отсутствие или неполное указание реквизитов — до 40 000 рублей по ст. 14.5 КоАП РФ.
2. Политика обработки персональных данных
Это обязательный документ, который должен быть доступен с любой страницы сайта.
Что должно быть в политике:
Главная ошибка: взять шаблон из интернета и не адаптировать его под реальные процессы сайта.
Штрафы за отсутствие Политики: для ИП — до 20 000 руб., для организаций — до 60 000 руб. (ч. 1 ст. 13.11 КоАП РФ).
3. Согласие на обработку персональных данных
Пользователь должен дать явное согласие до сбора данных:
Согласие должно быть конкретным, информированным и сознательным. Если вы используете данные для рекламной рассылки — нужно отдельное согласие.
Штрафы за отсутствие согласия: для ИП — до 300 000 руб., для организаций — 300 000–700 000 руб. (ч. 2 ст. 13.11 КоАП РФ).
4. Уведомление в Роскомнадзор
Если сайт обрабатывает персональные данные, вы обязаны подать уведомление в Роскомнадзор до начала обработки.
Исключение: обработка данных только в целях трудовых отношений освобождает от обязанности подавать уведомление (п. 1 ч. 2 ст. 22 152-ФЗ).
Штраф за отсутствие регистрации: для организаций и ИП — 100 000–300 000 руб.
5. SSL-сертификат и защищённое соединение
Все сайты с формами сбора ПДн должны использовать HTTPS на всех страницах.
| Тип сертификата | Для кого |
|---|---|
| DV (Domain Validation) | Для простых сайтов |
| OV (Organization Validation) | Для корпоративных сайтов |
| EV (Extended Validation) | Для финансовых организаций и интернет-магазинов |
6. Cookie-уведомление
Если сайт использует cookies, счётчики аналитики или рекламные пиксели — это нужно раскрыть пользователю:
Требования: баннер при первом посещении с текстом о сборе cookies и кнопкой «Согласен».
Размеры штрафов в 2026 году
После поправок, вступивших в силу с 30 мая 2025 года, штрафы за нарушения в сфере персональных данных значительно выросли.
| Нарушение | Штраф для организаций |
|---|---|
| Отсутствие политики обработки ПДн | до 60 000 руб. |
| Отсутствие согласия пользователей | 300 000 – 700 000 руб. |
| Обработка данных без законного основания | до 15 000 000 руб. |
| Нарушение требований к локализации данных | 1 000 000 – 6 000 000 руб. |
| Утечка ПДн (первичная) | 3 000 000 – 15 000 000 руб. |
| Утечка ПДн (повторная) | до 3% годовой выручки, но не менее 20 000 000 руб. |
| Отсутствие регистрации в Роскомнадзоре | 100 000 – 300 000 руб. |
Оборотные штрафы за утечки: с 30 мая 2025 года за повторную утечку — до 3% годовой выручки, но не менее 15 000 000 рублей.
1. Настройка согласий в 1С-Битрикс
В 2026 году важно правильно настроить сбор согласий на обработку персональных данных. В «1С-Битрикс» для этого используется функционал «Соглашения».
Рекомендации по настройке:
Важно: старая система настройки согласий в разделе «Шаблоны ссылок» не сохраняет факт согласия в системе. Для соответствия 152-ФЗ необходимо перейти на новый функционал «Соглашения».
2. Технические меры защиты
Для соответствия требованиям ФСТЭК и 152-ФЗ необходимо настроить:
3. Локализация данных
При сборе персональных данных граждан РФ оператор должен обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение с использованием баз данных, находящихся на территории России.
Мы помогаем бизнесу соответствовать требованиям 152-ФЗ и ФСТЭК без штрафов и сбоев:
Не ждите штрафов и блокировок!
Мы поможем вам настроить безопасность сайта в 1С-Битрикс и защитить ваш бизнес.
ИТ Вектор — ваш надёжный партнёр в цифровизации бизнеса.
Полный спектр IT-услуг: разработка сайтов, настройка 1С-Битрикс, информационная безопасность, внедрение и сопровождение «1С», защита данных, импортозамещение.
Работаем, чтобы ваш бизнес работал как часы.
Оставьте свои контакты и мы свяжемся с вами в ближайшее время