Ключевые изменения касаются трёх блоков: расширения полномочий ФСБ по доступу к базам данных организаций, внедрения цифровой идентификации личности в гостиничном бизнесе (с использованием ЕБС и «Госуслуг»), а также регулирования передачи клиентских данных в сегменте сервисов рассрочки.
1. Полномочия ФСБ по получению копий баз данных организаций
Наиболее значимое для операторов персональных данных изменение — вступление в силу поправок к статье 15 Федерального закона от 03.04.1995 № 40‑ФЗ «О Федеральной службе безопасности Российской Федерации» (далее — Закон о ФСБ). Закон принят в третьем чтении в декабре 2025 года, дата вступления в силу установлена на 1 апреля 2026 года.
Суть новых полномочий
С указанной даты в статье 15 Закона о ФСБ появится норма, согласно которой органы ФСБ вправе на безвозмездной основе получать копии баз данных (или их частей), находящихся в распоряжении организаций, зарегистрированных в Российской Федерации, если содержащаяся в них информация необходима для выполнения возложенных на ФСБ задач.
Ключевые элементы режима:
- предоставление копий осуществляется по предписанию руководителя органа ФСБ или его территориального органа, изданному в порядке, установленном Законом о ФСБ и подзаконными актами;
- копии баз данных, полученные ФСБ, подлежат уничтожению после достижения целей их получения (соответствующее положение прямо закрепляется в статье 15 Закона о ФСБ);
- органы ФСБ и их должностные лица несут ответственность за неправомерное использование полученных сведений в соответствии с законодательством Российской Федерации;
- работа ФСБ с данными не должна создавать необоснованные препятствия для законной экономической деятельности организаций (прямо следует из новой редакции статьи 15).
Контекст и отличие от ранее действовавшего регулирования
До вступления в силу указанных поправок доступ ФСБ к корпоративным базам данных обеспечивался в основном:
- в рамках оперативно‑розыскной деятельности на основании Федерального закона от 12.08.1995 № 144‑ФЗ «Об оперативно‑розыскной деятельности»;
- в рамках уголовного судопроизводства на основании Уголовно‑процессуального кодекса РФ;
- в рамках специальных отраслевых режимов (например, систем оперативно‑разыскных мероприятий в сетях связи, регулируемых Федеральным законом от 07.07.2003 № 126‑ФЗ «О связи» и подзаконными актами).
Ранее статья 15 Закона о ФСБ прямо предусматривала возможность получения сведений из информационных систем и баз данных органов государственной власти и государственных внебюджетных фондов. Поправки расширяют этот перечень, распространяя соответствующие полномочия также на базы данных организаций, в том числе коммерческих.
Практические последствия для операторов
| Аспект | До 1 апреля 2026 года (в отношении ФСБ) | После 1 апреля 2026 года |
|---|---|---|
| Основное основание для получения данных ФСБ | В основном в рамках ФЗ № 144‑ФЗ и УПК РФ, как правило при наличии судебных решений либо специальных отраслевых норм | Предписание, выданное на основании новой редакции ст. 15 ФЗ № 40‑ФЗ |
| Охват организаций | Преимущественно органы власти и фонды (по ст. 15 ФЗ № 40‑ФЗ) | Организации, зарегистрированные на территории РФ (включая коммерческие) |
| Возмездность | Возможны возмездные отношения в рамках отдельных режимов | Копии баз данных предоставляются ФСБ безвозмездно (прямо по тексту поправок к ст. 15) |
| Обязанность уничтожения копий | Общие правила языка законов об информации и ПД (ФЗ № 149‑ФЗ, ФЗ № 152‑ФЗ), без специальной оговорки для ФСБ | Специальная обязанность уничтожения копий после достижения целей, закреплённая в ст. 15 ФЗ № 40‑ФЗ |
На практике под действие новых норм потенциально попадают банки и иные кредитные организации (ФЗ от 02.12.1990 № 395‑1 «О банках и банковской деятельности»), микрофинансовые организации (ФЗ от 02.07.2010 № 151‑ФЗ), финансово‑технологические компании, маркетплейсы, телеком‑операторы и другие субъекты, имеющие значимые массивы клиентских и транзакционных данных.
При этом исполнение предписаний ФСБ должно осуществляться с учётом ограничений, установленных специальными законами (о банковской тайне, адвокатской тайне, врачебной тайне и др.).
2. Цифровая идентификация в гостиницах: ЕБС и «Госуслуги»
С 1 апреля 2026 года вступает в силу новый порядок идентификации гостей при заселении в гостиницы, предусмотренный пунктом 19 Правил предоставления гостиничных услуг в Российской Федерации (далее — Правила), утверждённых Постановлением Правительства РФ от 19.09.2025 № 1443 «Об утверждении Правил предоставления гостиничных услуг в Российской Федерации».
Что меняется
Пункт 19 Правил предусматривает, что при заселении в гостиницу гражданин РФ может подтвердить личность:
- паспортом гражданина РФ;
- водительским удостоверением (ФЗ от 10.12.1995 № 196‑ФЗ «О безопасности дорожного движения»);
- средствами единой биометрической системы (ЕБС), созданной на основании ФЗ от 31.12.2017 № 482‑ФЗ «О единой биометрической системе…»;
- цифровым идентификатором личности в составе суперсервиса «Цифровой профиль» и мобильного приложения «Госуслуги» (ФЗ от 27.07.2010 № 210‑ФЗ «Об организации предоставления государственных и муниципальных услуг»; постановления Правительства о суперсервисах).
При использовании цифрового ID гость предъявляет сотруднику гостиницы данные в приложении и динамический двухмерный штрих‑код. Возможность использования цифрового ID предусмотрена в режиме эксперимента до марта 2032 года (соответствующая экспериментальная правовая конструкция определяется в отдельном постановлении Правительства РФ о проведении эксперимента по цифровой идентификации при заселении в гостиницы).
Ограничения применения
- Новый порядок применяется к гостиницам в понимании Правил (юрлица и ИП, оказывающие гостиничные услуги). Санатории, хостелы, базы отдыха, кемпинги и др. подпадают под иное регулирование и работают по базовому режиму идентификации.
- Воспользоваться цифровой идентификацией могут граждане РФ, достигшие 18 лет (ограничение установлено текстом Правил и документов о проведении эксперимента).
- Для цифрового ID требуется наличие базовых документов и (или) зарегистрированных биометрических данных в ЕБС, в соответствии с ФЗ № 482‑ФЗ и актами Банка России/Минцифры.
- Иностранные граждане идентифицируются по документам, предусмотренным миграционным законодательством (ФЗ от 25.07.2002 № 115‑ФЗ «О правовом положении иностранных граждан…», ФЗ от 18.07.2006 № 109‑ФЗ и подзаконные акты МВД).
- Применение цифровой идентификации возможно только при наличии у гостиницы технической готовности и интеграции с ЕБС и ЕПГУ; это следует из Постановления № 1443 и документов Минцифры о пилотном проекте.
Значение для статуса оператора персональных данных
Статус гостиницы как оператора персональных и биометрических персональных данных определяется на основании Федерального закона от 27.07.2006 № 152‑ФЗ «О персональных данных» (далее — Закон о ПДн) и подзаконных актов:
- если гостиница получает только результат идентификации (ФИО, реквизиты документа, идентификатор записи), она остаётся оператором «обычных» ПДн;
- если в рамках интеграции гостиница получает или обрабатывает биометрические персональные данные (например, изображения лица, иные биометрические параметры, позволяющие идентифицировать личность), она может быть признана оператором биометрических ПДн в смысле ст. 11 Закона о ПДн и подзаконных актов (включая постановления Правительства РФ и акты Роскомнадзора).
В этом случае на неё распространяются специальные требования: получение отдельного согласия на обработку биометрических ПДн (ст. 9 и 11 Закона о ПДн), применение усиленных мер защиты (ст. 19 Закона о ПДн, постановления Правительства РФ № 1119 и № 687 и др.), уведомление Роскомнадзора о начале обработки (ст. 22 Закона о ПДн).
3. Операторы сервисов рассрочки (BNPL): новые правила передачи данных
С 1 апреля 2026 года вступают в силу изменения, регулирующие деятельность сервисов рассрочки (BNPL). Эти изменения внесены федеральным законом о регулировании сервисов рассрочки (условное обозначение: ФЗ от 28.12.2025 № 5YY‑ФЗ; точный номер следует уточнить по официальной публикации).
С точки зрения обработки и передачи персональных данных ключевое значение имеет положение о том, что сведения о договорах рассрочки на сумму менее 50 000 рублей:
- не подлежат включению в кредитную историю в смысле Федерального закона от 30.12.2004 № 218‑ФЗ «О кредитных историях»;
- не учитываются при расчёте кредитного рейтинга субъекта кредитной истории.
Это трактуется как запрет на передачу в бюро кредитных историй информации по таким договорам именно в целях формирования кредитной истории и влияния на кредитный рейтинг. При этом общие требования Закона о ПД (ФЗ № 152‑ФЗ) и иных актов (ФЗ № 218‑ФЗ, ФЗ № 395‑1 и др.) к правовым основаниям обработки, объёму и защите ПД сохраняют силу.
Операторам сервисов рассрочки необходимо:
- проверить действующие форматы обмена данными с БКИ и банками с точки зрения соответствия ФЗ № 218‑ФЗ и новому специальному закону о BNPL;
- убедиться, что сведения о договорах до 50 000 рублей исключены из выгрузок, формируемых именно для целей ведения кредитных историй;
- скорректировать условия договоров с клиентами и формуляры согласий с учётом новых ограничений.
4. Фон изменений 2025 года в сфере персональных данных
Изменения, вступающие в силу с 1 апреля 2026 года, следуют за масштабной корректировкой регулирования в 2025 году.
| Дата | Нормативный акт / событие | Содержание |
|---|---|---|
| 30.05.2025 | Федеральный закон № 420‑ФЗ «О внесении изменений в Федеральный закон “О персональных данных” и отдельные законодательные акты Российской Федерации» | Введение оборотных штрафов за нарушения в сфере ПД (в т.ч. за утечки); изменение ст. 13.11 КоАП РФ и других норм ответственности |
| 01.07.2025 | Изменения, внесённые ФЗ № 420‑ФЗ и подзаконными актами | Ужесточение требований локализации ПД граждан РФ: запрет первичной записи за рубежом, уточнение требований к базам данных |
| 01.09.2025 | Реализация ФЗ № 420‑ФЗ и разъяснений Роскомнадзора | Обновлённые требования к согласию на обработку ПД (отдельный документ, усиленные требования к содержанию), введение режима обязательной передачи обезличенных данных в Минцифры по установленным форматам |
| 01.01.2026 | Вступление в силу Федерального закона от 28.12.2025 № 508‑ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях…» | Передача дел по ст. 13.11 КоАП РФ мировым судьям, детализация составов правонарушений в сфере ПД, увеличение санкций |
| 01.04.2026 | Законы о внесении изменений в ФЗ № 40‑ФЗ, о сервисах рассрочки, подзаконные акты Правительства РФ | Полномочия ФСБ по копиям баз данных; цифровая идентификация в гостиницах; регулирование сервисов рассрочки и передачи данных в БКИ |
Дополнительно применяется общий массив нормативных актов: Федеральный закон от 27.07.2006 № 152‑ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149‑ФЗ «Об информации, информационных технологиях и о защите информации», постановления Правительства РФ № 1119, № 687, акты ФСТЭК, ФСБ и Роскомнадзора.
5. Практические рекомендации для организаций
Организациям рекомендуется:
- Провести инвентаризацию баз данных и информационных систем, в которых обрабатываются ПД и иные значимые сведения, с учётом требований ФЗ № 152‑ФЗ, ФЗ № 149‑ФЗ и новых поправок к ФЗ № 40‑ФЗ.
- Разработать внутренний регламент работы с предписаниями ФСБ, опираясь на Закон о ФСБ, ФЗ № 144‑ФЗ, профильные законы (о банковской тайне, медицинской тайне и др.) и внутренние процедуры ИБ.
- Гостиницам и иным участникам рынка размещения — привести практику работы с документами гостей и интеграциями с ЕБС/ЕПГУ в соответствие с Постановлением Правительства РФ № 1443, ФЗ № 482‑ФЗ и ФЗ № 152‑ФЗ, корректно определив статус оператора ПД/биометрических ПД.
- Операторам сервисов рассрочки — актуализировать договоры с клиентами и партнёрами, а также технические настройки обмена данными с БКИ, чтобы соблюсти требования ФЗ № 218‑ФЗ и специального закона о BNPL.
- В целом по организации — сопоставить действующие процессы обработки ПД с новыми рисками ответственности по КоАП РФ (в редакции ФЗ № 420‑ФЗ и ФЗ № 508‑ФЗ) и требованиями Роскомнадзора, при необходимости провести комплексную «ревизию» обработки персональных данных.
Проверьте, готова ли ваша инфраструктура к новым требованиям. Сервис IDX за 10 секунд подтверждает личность по паспорту РФ и селфи, снижает риски по 420-ФЗ и закрывает обязательства оператора по 152-ФЗ. Обсудить интеграцию — через форму обратной связи или письмом на info@iidx.ru.
Читайте также
Закон о криптовалюте 2026 в России: требования к криптобиржам, KYC/AML, лицензирование
Как проверить человека на долги: полное руководство в 2026 году
