Как бизнесу работать с авторизацией пользователей и не нарушать закон

Сегодня персональные данные — это не «просто информация» о пользователе. В 2026 году утечка этой информации может стоить компаниям миллионы рублей и принести репутационные риски.Роскомнадзор усилил контроль: штрафы выросли в десятки раз, появились оборотные санкции, а за повторные нарушения — до 3% от выручки.

Главный закон здесь — федеральный закон 152-ФЗ «О персональных данных». Он защищает права граждан и одновременно даёт бизнесу чёткие правила игры.

В чем суть закона?

Закон регулирует сбор, хранение и обработку персональных данных пользователей. К персональным данным относят любую информацию, прямо или косвенно относящуюся к конкретному человеку — ФИО, телефон, e-mail, IP, куки, биометрия, данные о здоровье, паспорт и даже фото. Под обработкой же подразумевается сбор, хранение, использование передача, обезличивание или уничтожение, всё только на территории Российской Федерации.

Согласие на обработку таких данных должно быть конкретным, информированным и отзываемым.

Закон обязывает вести реестр операторов, разрабатывать внутренние документы, среди которых политика обработки ПДн, положение, приказы, и защищать данные технически.

Второй закон, 572-ФЗ «Об осуществлении идентификации и (или) аутентификации физических лиц с использованием биометрических персональных данных» регулирует обработку, хранение и использование биометрических данных пользователей, таких как фото или видеоизображение, запись голоса, отпечатки или скан сетчатки глаза.

Собирать и обрабатывать биометрию должна Единая биометрическая система (ЕБС). Она присваивает пользователю, предоставившему данные, персональный идентификатор. Также право собирать биометрию осталось у аккредитованных банков. Остальные коммерческие компании могут получать сведения из ЕБС.

В декабре 2025 года, первой, и на тот момент, единственной компанией, подтвердившей безопасность сервисов коммерческой биометрической системы стал Сбербанк. В частности, подтверждена безопасность сервисов «Оплата улыбкой» и биометрическая система контроля и управления доступом в здания (СКУД).

Штрафы и ответственность

Система штрафов за нарушение конфиденциальности персональных данных существенно изменилась в 2026 году.

Теперь размер взыскания зависит от количества пострадавших и серьезности инцидента. Ранее максимальный штраф по статье 13.11 КоАП РФ для организаций ограничивался суммой в 700 тысяч рублей, теперь действуют новые градации:

• при утечке данных 10 – 100 тысяч человек — штраф составляет 5 – 10 млн. рублей;
• при нарушении конфиденциальности данных более 100 тысяч человек — штраф 10–15 млн. рублей.

Особо ужесточено наказание за повторные нарушения: компании грозит штраф, составляющий до 3% от годовой выручки. Данная система штрафов, актуальная на 2026 год, существенно повышает финансовые риски для бизнеса, особенно для крупных компаний, в случае инцидентов с утечкой данных.

Регулярно Роскомнадзор за нарушения штрафует банки, ритейл, маркетплейсы, даже госучреждения. Средний чек по крупным делам — 1–6 млн. руб. за первое нарушение.

Как бизнесу не нарушать закон?

1. Назначить ответственного сотрудника, который будет курировать вопросы, связанные с работой с персональными данными
2. Разработать пакет документов: политику обработки ПДн, положение об обработке ПДн, приказы о допуске сотрудников, соглашение о неразглашении (NDA). Первые из перечисленных документов должны быть доступными для заинтересованных лиц.
3. Грамотно оформить получение согласий. Если данные собираются на сайте, то на нём должна быть отдельная форма согласия на обработку данных, прописаны конкретные цели этой обработки и предусмотрена возможность отзыва согласия. Галочки в форме не могут быть проставлены по умолчанию, это нарушение.
4. Обеспечить защиту данных: внедрить уровни защиты, среди которых шифрование, логи доступа, DLP-системы. Хранить данные разрешено только в РФ, при трансграничной передаче необходимо получать отдельное согласие или использовать российские сервисы.
5. В случае утечки данных уведомить Роскомнадзор и субъектов в течение 24–72 часов.