Если вы ведёте бизнес в России, разрабатываете сервис или просто хотите понимать, какие правила обрабатывают ваши персональные данные, полезно видеть общую карту законодательства. Ниже — сжатый обзор основных актов и идей, которые в 2026 году продолжают определять практику. Это не юридическая консультация: конкретные кейсы требуют анализа с юристом.
Конституция РФ: основа права на неприкосновенность частной жизни
Статьи 23–24 Конституции закрепляют право на неприкосновенность частной жизни, личную и семейную тайну, тайну переписки и ограничения на сбор информации о частной жизни. Остальное законодательство должно согласовываться с этими принципами.
Федеральный закон № 152‑ФЗ «О персональных данных»
Главный специализированный закон для операторов и субъектов персональных данных. В типичной логике 152‑ФЗ:
- Персональные данные обрабатываются на законной основе (согласие, договор, обязанность по закону и др. случаи, перечисленные в законе).
- У оператора есть обязанности по организации защиты, учёту, ограничению доступа, реагированию на инциденты и взаимодействию с Роскомнадзором в установленных случаях.
- Субъект данных вправе получать сведения об обработке, требовать уточнения, блокирования или уничтожения (с оговорками, если закон требует хранить дольше).
- Действуют требования к трансграничной передаче и к локализации: при сборе персональных данных граждан РФ в целях их последующей обработки при оказании им услуг на территории России первичная запись и накопление должны осуществляться в базах, находящихся на территории РФ (формулировки и исключения — в актуальной редакции закона и подзаконных актов).
Нормы неоднократно дополнялись; перед запуском продукта или изменением процессов обработки важно сверяться с действующей редакцией и разъяснениями регулятора.
Федеральный закон № 149‑ФЗ «Об информации, информационных технологиях и о защите информации»
Регулирует более широкий круг вопросов: информация, распространение в сети «Интернет», информационные системы, взаимодействие с реестром запрещённой информации, требования к организаторам распространения информации и др. Для пользователя и компании это часто рамка, в которой сочетаются свобода поиска и получения информации с ограничениями по отдельным категориям контента и обязанностям посредников.
Ответственность за неправомерный доступ и вредоносное ПО (УК РФ)
Уголовное законодательство дополняет «гражданско‑административный» контур защиты данных:
- Статья 272 УК РФ — неправомерный доступ к компьютерной информации.
- Статья 273 УК РФ — создание, распространение или использование вредоносных программ.
Есть и смежные составы (например, незаконные сбыт или передача средств доступа, нарушение правил эксплуатации средств хранения). Конкретная квалификация — задача следствия и суда.
КоАП РФ и административная ответственность
Для юридических лиц и должностных лиц нарушения режима персональных данных (в том числе отсутствие нужных мер защиты, обработка без правовых оснований в случаях, предусмотренных законом) могут влечь административные штрафы по соответствующим статьям КоАП. Размеры и основания периодически обновляются — ориентир только актуальные редакции.
Специальные законы и отрасли
В зависимости от домена подключаются другие акты, например:
- Нормы о телекоммуникациях и хранении/передаче данных для целей расследований.
- Банковская и медицинская тайна с отдельными режимами.
- Требования к государственным и муниципальным информационным системам.
«Один закон на всё» в таких сферах не работает — нужен отраслевой разбор.
Международный контекст
GDPR и иные режимы ЕС не заменяют российское право для обработки на территории РФ по российским основаниям, но важны, если вы обрабатываете данные резидентов ЕС или передаёте данные в ЕС/из ЕС: тогда накладываются трансграничные и договорные требования нескольких юрисдикций.
На что смотреть пользователю
- Политика конфиденциальности и согласие — не формальность: в них должны быть отражены цели и основания обработки в духе 152‑ФЗ.
- Право на доступ и возражение — реальные каналы связи с оператором, а не только «мы всё храним вечно».
- При утечке или злоупотреблении — фиксация фактов, обращение к оператору, при необходимости в Роскомнадзор и правоохранительные органы (в зависимости от ситуации).
Итог
В 2026 году российская модель опирается прежде всего на 152‑ФЗ о персональных данных в связке с 149‑ФЗ об информации, конституционными гарантиями и уголовно‑административной ответственностью за незаконный доступ и нарушение правил обработки. Детали применения зависят от отрасли, роли (оператор, поручение обработки, трансграничная передача) и актуальных редакций норм — их стоит проверять перед любыми юридически значимыми решениями.