2025 год многие компании прожили в режиме адаптации. Закон ужесточился, штрафы выросли, регулятор активизировался — но реальных «показательных казней» почти не случилось. Это создало опасное ощущение: требования строгие, но практика мягкая.
Проблема в том, что 2025 год был переходным.
2026 — это уже другая стадия.
Регулятор накопил судебную практику, суды выработали подход, а бизнес больше не может ссылаться на «новизну требований». Теперь вопрос стоит иначе: не «есть ли у вас документы», а «управляете ли вы риском».
Что изменилось в подходе судов
Самое заметное изменение — смещение фокуса с внешнего нарушителя на оператора.
Раньше линия защиты часто строилась вокруг аргумента «нас взломали». Сегодня этого недостаточно. Суду важно понять, были ли предприняты разумные и достаточные меры, соответствующие масштабу бизнеса и характеру обрабатываемых данных.
Если компания не может показать, что:
- осознавала возможные угрозы,
- предпринимала технические и организационные меры,
- контролировала доступ,
- понимала архитектуру обработки,
то сам факт кибератаки перестаёт быть оправданием.
Фактически утечка рассматривается не как случайность, а как индикатор зрелости управления.
Документы больше не равны безопасности
В 2025 году многие компании спешно обновили политики, переписали согласия, разместили cookie-баннеры и добавили обязательные формулировки на сайты. Это был правильный шаг, но он оказался недостаточным.
Сегодня формальное наличие документов не гарантирует снижения риска. Если политика описывает разграничение доступа, а в инфраструктуре нет реального контроля — это не защита. Если модель угроз существует только в PDF-файле и не связана с настройками систем — она не работает.
Суды всё чаще оценивают не текст документов, а их связь с реальностью. И это принципиальный сдвиг: compliance больше не является отдельной «бумажной» функцией — он становится частью операционного управления.
Утечки: новый стандарт оценки
Практика последних дел показывает, что ключевой вопрос звучит не «кто украл», а «что вы сделали заранее».
Даже в случаях кибератак суд исследует, была ли предусмотрена такая угроза и были ли реализованы меры противодействия. Причём речь идёт не о гипотетическом «абсолютном уровне защиты», а о разумности и пропорциональности мер.
Если компания может показать логичную цепочку: осознание риска → реализованная мера → контроль её работы → расследование инцидента — позиция становится сильнее.
Если же защита была декларативной, а процессы отсутствовали, вина оператора фактически презюмируется.
Cookies и рекомендательные технологии: недооценённые зоны
Многие воспринимают требования к cookies и рекомендательным технологиям как формальность. Добавили баннер, опубликовали правила — вопрос закрыт.
На практике именно здесь сейчас концентрируются проверки.
С точки зрения регулятора cookies — это персональные данные. Значит, возникает вопрос локализации, выбора законного основания и прозрачности обработки. Использование зарубежных сервисов аналитики без оценки трансграничной передачи может стать серьёзным риском.
С рекомендательными алгоритмами ситуация похожая. Требование раскрывать факт их использования — это не просто текст в футере. Это обязанность объяснить логику работы и источники данных. Если описание не соответствует фактической архитектуре — у компании появляется проблема.
Иллюзия «малых штрафов»
Отдельная опасность — делать выводы по статистике 2025 года. Да, многие дела заканчивались предупреждением или минимальными штрафами. Но это было связано с переходным периодом и особенностями доказывания.
В 2026 году такие аргументы больше не работают. Все инциденты происходят уже в условиях действующих правил, и защита в стиле «это было до изменений» больше невозможна.
Поэтому ориентироваться на «средний штраф прошлого года» — стратегическая ошибка.
Куда движется практика
Мы наблюдаем постепенный переход от формального контроля к оценке архитектуры обработки персональных данных. Регулятору важно понять, понимает ли оператор:
- какие данные он обрабатывает,
- где они находятся,
- кто имеет к ним доступ,
- какие риски существуют,
- как компания реагирует на инциденты.
Это уже не юридическая, а управленческая категория.
Персональные данные становятся частью общей системы риск-менеджмента, а не отдельной зоной ответственности юриста или ИБ-специалиста.
Итог 2026 года
Эпоха «бумажного соответствия» заканчивается.
Недостаточно иметь политику — нужно управлять обработкой.
Недостаточно поставить SIEM или DLP — нужно понимать, как они встроены в процессы.
Недостаточно уведомить регулятора — важно показать зрелость системы.
Персональные данные в 2026 году — это не про галочки.
Это про управляемость, доказуемость и системность.
И в этом контексте главный вопрос для бизнеса звучит так:
вы просто соответствуете требованиям — или действительно контролируете свои данные?
Что дальше?
2026 год — это уже не про формальные документы «для галочки». Это про готовность доказать, что вы действительно управляете рисками.
Если вы не уверены,
актуальна ли ваша модель угроз,
корректно ли оформлены согласия и cookies,
выдержит ли ваша позиция проверку или судебный спор —
напишите нам или
оставьте заявку на аудит на сайте.
Разберёмся в текущем состоянии, покажем реальные риски и дадим конкретный план действий.
Лучше обсудить это сейчас, чем объяснять регулятору потом.