В этом году усилилась ответственность за утечки персональных данных и запретили использовать иностранные базы для сбора данных. Роскомнадзор запретил рекламу на заблокированных платформах и ввел обязательную регистрацию для страниц с 10 000 подписчиков. Кроме того, ввели 3% отчисления с рекламы. В сфере связи усилили меры против кибермошенничества, госорганам запретили общаться через иностранные мессенджеры, а за поиск информации по обходу блокировок ввели штрафы. При этом эксперты считают, что в будущем году в перечисленных областях регулирование только ужесточится. Об этих и других ключевых изменениях — в материале.
Персональные данные
Ключевым событием года стали поправки, которые резко усилили ответственность за нарушения при обработке персональных данных. Ввели новые составы административной ответственности (за неуведомление об обработке данных и об утечках) и кратно увеличили штрафы по действующим нормам. По «общей» ч. 1 ст. 13.11 КоАП максимальный штраф вырос до 300 000 руб.
Наиболее критичными для бизнеса партнер Ermolina & Partners Михаил Шолохов считает нововведения, касающиеся утечек специальных категорий и биометрических персональных данных. В отличие от «обычных» персональных данных для них не действует прогрессивная шкала: любая утечка, включая первую, может повлечь штраф 10–20 млн руб. Старший юрист SL Legal Шермет Курбанов подчеркивает, что именно этот блок рисков выводит вопросы информационной безопасности и внутреннего контроля за обработкой данных в зону особого внимания менеджмента, поскольку формальные меры комплаенса больше не работают.
Значительно выросли и наказания за утечку «обычных» персональных данных. Первичная утечка 10 000 идентификаторов или данных как минимум 1000 субъектов теперь грозит оборотным штрафом до 3% годовой выручки — не менее 20 млн и не более 500 млн руб. Закон закрепил перечень смягчающих и отягчающих обстоятельств, которые учитывают при расчете штрафа. Курбанов обращает внимание, что существование смягчающих факторов напрямую зависит от того, выстроены ли у компании процессы реагирования на инциденты и задокументированы ли меры по защите данных.
Отдельным блоком реформы стали изменения требований о локализации персональных данных. С 1 июля запретили использовать зарубежные базы данных для сбора персональных данных на территории РФ. Это, по словам Курбанова, требует от компаний глубокой правовой и технической ревизии существующих бизнес-процессов, особенно при использовании облачной инфраструктуры и зарубежных сервисов.
Другие изменения:
Вступило в силу требование об отдельной форме согласия на обработку персональных данных.
Закрепили порядок обезличивания данных как для передачи в государственную систему («Госозеро»), так и для собственных нужд операторов.
Ввели уголовную ответственность за незаконную обработку персональных данных.
Эксперты сходятся во мнении, что следующий год станет показательным с точки зрения правоприменительной практики по утечкам данных. По мнению Шолохова, бизнесу стоит уже сейчас вести работу над бизнес-процессами (с точки зрения кибербезопасности и privacy management) и планировать план мероприятий, обеспечивающий применение смягчающих обстоятельств в случае возможной утечки данных.
Последние несколько лет можно наблюдать значительное количество инициатив в data sovereignty. На наш взгляд, следует ожидать более пристального внимания регулятора к бизнес-процессам, связанным с локализацией персональных данных российских граждан, а также повышенного внимания к иностранным и российским «обработчикам», которым передаются персданные или которые участвуют в их сборе.
Михаил Шолохов, партнер Ermolina & Partners
Влияние на рынок могут оказать и новые инициативы, в частности так называемый второй антифрод-пакет. Им планируют изменить сразу девять законов, включая закон «О персональных данных». В исходной версии законопроекта предлагали радикально перестроить модель работы с согласиями: передать их выдачу, отзыв и учет в инфраструктуру ЕСИА и показывать информацию об обработке данных в личном кабинете на «Госуслугах». Также планировали с 1 сентября 2026 года ввести новую специальную категорию персональных данных — сведения об участии граждан в СВО и контртеррористических операциях и о принадлежности к их семьям с крайне ограниченным режимом обработки.
В актуальной редакции законопроекта наиболее жесткие положения исключили. По словам Шолохова, это связано с резкой критикой со стороны бизнеса, высокими издержками на внедрение новой модели и отсутствием понятного механизма замены согласий как правового основания обработки. В таком виде принятие поправок действительно могло бы привести к серьезным сбоям в работе компаний. При этом, подчеркивает Курбанов, отказ от этих положений не означает отказа от самой цели реформы. Законодатель по-прежнему движется в сторону сокращения роли формальных согласий и пересмотра их значения в системе правовых оснований обработки персональных данных.
Шолохов обращает внимание на еще одну недавнюю инициативу. В конце октября глава Роскомнадзора заявил о намерении в перспективе отказаться от согласий на обработку персональных данных как универсального механизма и перейти к отраслевым стандартам обработки. Предполагается, что такие стандарты будут определять допустимые пределы обработки данных — основания, объем, сроки хранения — в конкретных сферах, например в туризме или образовании. При этом пока неясно, в каком формате эти стандарты будут вводиться. Эксперт подчеркивает, что стандартизировать целые отрасли будет сложно из-за различий в бизнес-процессах конкретных операторов.
Первые отраслевые стандарты разрабатываются в сфере образования, ЖКХ, здравоохранения и туризма. С одной стороны, несмотря на обсуждаемые сейчас рекомендательный характер, это может ограничить деятельность бизнеса и простор для инициатив и развития индустрии снизу вверх. С другой — такие стандарты уменьшат неопределенность на стороне компаний и сформируют понятные ориентиры и лучшие практики в разных индустриях.
Шермет Курбанов, старший юрист SL Legal
Следить стоит и за институтом специальных операторов персональных данных. Инициатива находится на ранней стадии и обсуждается на уровне правительства с участием представителей рынка. По оценке Курбанова, ключевые вопросы здесь пока остаются без ответа: насколько экономически целесообразной будет роль спецоператора для самих компаний, как распределить зоны ответственности, чтобы не демотивировать участников, и каким образом установить тарифы на уровне, приемлемом для бизнеса. Отдельной задачей станет подготовка компаний к масштабной перестройке бизнес-процессов, которую такое решение неизбежно повлечет.
Неопределенность вызывает и возможный пересмотр перечня «адекватных» стран для трансграничной передачи персональных данных. В Госдуме уже приняли в первом чтении законопроект, ужесточающий критерии. Авторы инициативы исходят из того, что некоторые государства, формально считающиеся «адекватными», на практике не обеспечивают достаточный уровень защиты прав субъектов персональных данных. Если этот подход будет развиваться, бизнесу, который работает с зарубежной инфраструктурой и контрагентами, придется заново оценивать допустимость трансграничных потоков данных, предупреждает Курбанов.
Реклама
Помимо запрета на размещение рекламы на ресурсах, доступ к которым ограничен в России, и на площадках, принадлежащих экстремистским или нежелательным организациям, одним из ключевых нововведений стало введение с 1 апреля обязательных отчислений за распространение интернет-рекламы в размере 3% от дохода, полученного от оказания услуг. Как поясняет руководящий юрист BIRCH Ксения Петровец, обязанность распространяется на всю рекламную цепочку — от блогеров и медиаплатформ до операторов рекламных систем, посредников и агентов. При этом отчисления рассчитываются исходя из данных, передаваемых в Роскомнадзор через Единый реестр интернет-рекламы, и уплачиваются только с той части дохода, которая причитается конкретному участнику как рекламораспространителю или иному лицу по договору.
Еще одним важным событием стало утверждение критериев разграничения рекламы и справочно-информационных материалов применительно к интернет-ресурсам. По словам старшего юриста Инфралекс Татьяны Кипарисовой, это критично для сайтов, маркетплейсов и онлайн-сервисов, где граница между рекламой и информацией долгое время оставалась размытой. Отдельного внимания заслуживает и анонс возможного создания интерактивной карты рекламных конструкций, которая может повлиять на практику контроля в сфере наружной рекламы. Исходя из статистики ФАС за 2024 год, количество выявленных нарушений в сфере наружной рекламы и установки рекламных конструкций выросло с 2,04% в 2023 году до 5,69%.
Некоторые значимые поправки к закону «О рекламе» вступят в силу только весной 2026 года. В частности, поправки, направленные на защиту русского языка и регулирование порядка использования религиозных символов в рекламе (ФЗ от 24.06.2025 № 168). Они расширят требования по обязательному использованию русского языка, включая в их область информацию, предназначенную для публичного ознакомления потребителей.
Ксения Петровец, руководящий юрист BIRCH
Стоит подготовиться и к другим изменениям, которые вступят в силу в 2026 году:
о рекламе на космических объектах;
о рекламе безалкогольных тонизирующих напитков (в том числе энергетических);
о рекламе услуг, связанных с процедурой банкротства.
Кипарисова ожидает, что повышенное внимание ФАС к рекламе финансовых услуг, включая совместные кампании с банками, сохранится и расширится использование контррекламы — публичного опровержения недостоверной рекламы. По словам эксперта, практика применения этого инструмента уже в целом сложилась. Ранее ответчиками в подобной категории дел были в основном банки, но Кипарисова предполагает, что в следующем году может затронуть и иные субъекты, которые допускают грубые нарушения в рекламе.
Можно ожидать повышенного внимания ФАС к компаниям электронной торговли, включая маркетплейсы, онлайн-кинотеатрам, телеком-компаниям и букмекерам. Эти компании-рекламодатели имеют наибольшие бюджеты на размещение рекламы в интернете согласно статистике Роскомнадзора за 2024 год. Особый интерес для антимонопольной службы могут представлять застройщики, которые в целом оказались в ее фокусе в 2025 году и могут в нем задержаться. Не стоит также исключать классику — производителей лекарственных препаратов.
Татьяна Кипарисова, старший юрист Инфралекс
Дополнительным источником споров станет практика привлечения к ответственности за повторное распространение рекламы на запрещенных ресурсах, включая материалы, размещенные до 1 сентября 2025 года. Компаниям стоит особенно внимательно отнестись к тому, что ФАС уже отметила в качестве признаков такого распространения в разъяснениях, говорит Кипарисова. Она советует обязательно провести аудит размещенной рекламы и при любых сомнениях не рисковать.
Социальные сети
В части регулирования социальных сетей год выдался масштабным. Одним из ключевых нововведений стал запрет на рекламу на заблокированных ресурсах, включая Facebook* и Instagram*. Ответственность несут как рекламораспространители, так и рекламодатели, а штрафы достигают 500 000 руб. для юрлиц, при этом власти уже обсуждают их повышение. Первое дело по этому основанию возбудили в отношении бьюти-блогера, но к концу года его еще не рассмотрели. При этом дополнительный риск возникает в ситуациях, когда старая реклама «возвращается к жизни» алгоритмами социальных сетей: в таких случаях бремя доказывания отсутствия вины может лечь на владельца аккаунта, предупреждает Кипарисова.
Начала действовать ответственность за невнесение страниц с аудиторией более 10 000 подписчиков в реестр Роскомнадзора. По словам юриста Semenov & Pevzner Екатерины Артемьевой, такие страницы теряют право на монетизацию и размещение рекламы и по требованию регулятора соцсеть может заблокировать их до включения в реестр.
Другие изменения:
Ужесточили требования к социальным сетям и иностранным платформам как к организаторам распространения информации: сервисы обязаны хранить данные пользователей не менее трех лет и взаимодействовать с государственной системой противодействия киберпреступлениям.
Ввели штрафы за невзаимодействие с госорганами: от 15 000 руб. для граждан до 5 млн руб. для юридических лиц — владельцев социальных сетей.
Усилили контроль за алгоритмами и рекомендательными технологиями соцсетей и ввели ответственность за несообщение обязательной информации об их использовании.
Расширили обязанности соцсетей по работе с персональными данными. Теперь они должны:
хранить данных россиян исключительно на территории РФ;
оформлять согласие на обработку персональных данных отдельным документом;
платить повышенные штрафы за неподачу уведомлений об обработке данных и за утечки.
Как отмечает старший юрист АЛРУД Илья Ходаков, 2025 год стал переходным моментом для всего регулирования цифровой среды. Государство завершило формирование нормативной базы и перешло к активному применению уже принятых норм, прежде всего в отношении иностранных платформ. Это проявилось в усилении блокировок и технических ограничений. В течение года регулятор ограничил доступ к Wattpad и MyAnimeList и функции звонков в WhatsApp, Telegram и FaceTime. Одновременно выросли штрафы для владельцев соцсетей за невзаимодействие с госорганами — до 5 млн руб. для юридических лиц. По оценке Ходакова, эти меры создают устойчивую правовую основу для давления на сервисы, неготовые выполнять требования о «приземлении» и передаче данных.
Роскомнадзор будет отходить от тактики применения штрафов и перейдет к так называемым техническим мерам воздействия, то есть будет ограничивать доступ к большему числу иностранных сервисов. Весьма вероятен сценарий, при котором менее популярные иностранные мессенджеры, помимо уже подпавших под ограничения WhatsApp, Telegram и FaceTime, столкнутся с аналогичными проблемами в работе звонков. Такая тенденция следует логике регулятора, который в последнее время вместо полной блокировки создавал условия, когда пользование сервисом становится неудобным для пользователей.
Илья Ходаков, старший юрист АЛРУД
Ходаков считает, что при сохранении текущей траектории Роскомнадзор может шире трактовать понятие «незаконный контент» и быстрее реагировать на его появление, прежде всего в отношении иностранных сервисов. Если ранее блокировки применялись неравномерно и часто с задержками, то в последние годы регулятор перешел к более быстрой и единообразной модели ограничения доступа, особенно в отношении мессенджеров. По его оценке, в 2026 году надзорный орган будет увереннее ограничивать доступ к иностранным платформам, а тренд на изоляцию сервисов, не выполняющих требования по «приземлению» и взаимодействию с государственной системой для ОРИ, может закрепиться.
Артемьева обращает внимание на несколько грядущих практических и регуляторных изменений. В частности, обсуждаются инициативы об увеличении штрафов за рекламу на заблокированных ресурсах, хотя бизнес рассчитывает на более взвешенный подход регулятора, учитывая недавнее вступление запрета в силу. Отдельным фактором нагрузки может стать и коммерциализация операторов рекламных данных: рынок ожидает появления платных тарифов у ОРД VK и возможного расширения перечня таких операторов (об этом, в частности, заявили Wildberries & Russ). Сейчас бесплатным остается только ОРД «Яндекса», но эксперт не исключает, что и он рано или поздно может стать платным.
В связи с развитием искусственного интеллекта в следующем году можно ожидать регулирования этой области, которое затронет и социальные сети. Уже подан законопроект, которым вводится обязанность маркировать видео, полностью или частично созданные, измененные или обработанные ИИ. Пока законопроект не прошел ни одного чтения, поэтому трудно спрогнозировать, будет ли он принят. Ясно, что в ближайшие годы регулирование в этой сфере точно появится, но, возможно, не в 2026 году и не в результате принятия конкретно этого законопроекта в его текущем виде.
Екатерина Артемьева, юрист, практика по сопровождению IP и IT сделок Semenov & Pevzner
* Принадлежит Meta Platforms Inc., деятельность которой в России запрещена.
Связь
Отрасль связи оказалась в центре внимания из-за борьбы со спам-звонками, усиления требований безопасности и новых ограничений для абонентов. Так, в рамках мер по борьбе с кибермошенничеством:
ввели обязательную маркировку звонков от организаций;
запретили служащим Банка России, государственным органам, банкам, операторам связи и другим субъектам общаться с гражданами через иностранные мессенджеры;
запретили передавать сим-карты третьим лицам, кроме членов семьи и близких родственников;
абонентам предоставили право отказаться от рассылок и массовых вызовов;
пользователям предоставили возможность запретить заключать договоры связи без их личного присутствия.
Из-за растущих рисков атак беспилотников Минцифры и операторы связи готовят систему, которая позволит сохранить работу ключевых сервисов даже при отключении мобильного интернета. В начале сентября ведомство представило список интернет-ресурсов, которые будут работать при ограничении связи. В него вошли «Госуслуги» и другие государственные платформы, соцсети, маркетплейсы, навигаторы, сервисы заказа такси и доставки, супермаркеты и личные кабинеты мобильных операторов. Затем перечень расширили, дополнив его сайтами госорганов и госсистемы «Честный знак», сервисами «Почты России», «Альфа-банка». 5 декабря в министерстве сообщили, что в список включили ресурсы Центробанка, операторов связи, онлайн-кинотеатры и сайты СМИ. В последнем обновлении добавили сайты МВД и МЧС, сервисы HeadHunter, «Ситидрайв» и «Вкусно — и точка».
Летом в КоАП внесли большой пакет поправок. Штрафы для организаторов распространения информации выросли до 5 млн руб., владельцев технологических сетей связи теперь могут оштрафовать, если они препятствуют проведению оперативно-разыскных мероприятий или нарушают правила сотрудничества с силовыми структурами. Кроме того, ввели штрафы для физлиц за пользование VPN для доступа к заведомо экстремистским материалам и за рекламу способов обхода блокировок (до 500 000 руб. для юрлиц).
На замену иностранным мессенджерам создали национальное приложение «Макс». В начале декабря без него запретили входить в мобильную версию «Госуслуг», а позже приняли закон, по которому УК обязано заводить общедомовые чаты и общаться с собственниками и арендаторами квартир только в новом мессенджере. Исключение сделали только для Москвы. В середине декабря отключили возможность подписывать документы через приложение «Госключ» без установки «Макса». Кроме того, в него собираются перевести банковские СМС.
Другие изменения:
Ввели «период охлаждения»: первые 24 часа после возвращения в Россию сим-карты работают без мобильного интернета и исходящих СМС.
До трех лет увеличили срок, в течение которого организаторы распространения информации должны хранить пользовательскую информацию, в том числе историю переписки и голосовые записи.
