тел:8 (800) 775-99-90

Личный кабинет

Выйти из системы

Сменить пользователя

Блог компании Cortel > Информационная безопасность - Обработка персональных данных > Как изменятся правила хранения пользовательских данных в 2026 году

By 22.01.2026 Информационная безопасность Обработка персональных данных 0 Comments

Как изменятся правила хранения пользовательских данных в 2026 году

Большинство онлайн-сервисов живут в парадигме закона о персональных данных 152-ФЗ: данные обрабатывают под конкретную цель и хранят не дольше, чем нужно для этой цели — если иной срок не установлен законом. Хранить «про запас» нельзя.

Для Организаторов распространения информации (ОРИ) правила иные. С 1 января 2026 года сведения о фактах действий пользователя и фактах обработки/передачи его электронных сообщений нужно хранить не менее трёх лет.

Разбираемся:

  • кто относится к ОРИ и как это определить на практике;
  • какие данные попадают под трёхлетний срок;
  • как корректно развести требования 152-ФЗ и обязанности ОРИ (это не «конфликт», а разные правовые основания);
  • что стоит поменять в архитектуре хранения уже сейчас, чтобы снизить риск штрафов и блокировок.

Кто такие ОРИ

Это компании или ИП, которые обеспечивают функционирование сервиса (информационной системы/ПО), предназначенного и/или используемого для приёма, передачи, доставки и/или обработки электронных сообщений пользователей.

Проще говоря, сервис может относиться к ОРИ, если он реально обеспечивает обмен электронными сообщениями в любом виде — не только «чат пользователь-пользователь».

  • переписка с поддержкой внутри личного кабинета или приложения;
  • комментарии к материалам;
  • отзывы о товарах и услугах;
  • форумы и ветки обсуждений;
  • внутренняя переписка в игровых и других онлайн-сервисах.

Важно: ключевой признак — сервис обеспечивает передачу/доставку/обработку электронных сообщений пользователей.

Как попадают в реестр ОРИ

— компания сама уведомляет Роскомнадзор, что работает как ОРИ;
— РКН включает сервис в реестр по своей инициативе, если видит, что по факту он подходит под критерии ОРИ.

Примеры ОРИ

  • социальные сети и мессенджеры;
  • видеохостинги и стриминговые платформы с комментариями и чатами;
  • маркетплейсы и сервисы объявлений с чатами «покупатель — продавец» и отзывами;
  • новостные порталы, блоги и медиа с комментариями;
  • онлайн-игры и игровые платформы с внутренними чатами;
  • сервисы такси, доставки, банковские и финтех-приложения, если у них есть встроенный чат или переписка с поддержкой.

Если ваш сервис обеспечивает обмен электронными сообщениями (чаты/комментарии/отзывы/переписка с поддержкой) — проверьте признаки ОРИ и наличие в реестре.

Что именно нужно хранить

Закон и подзаконные правила разделяют:

  1. Содержимое сообщений — текст, голос, файлы, видео.
  2. Сведения о фактах — метаданные и технические сведения о передаче/доставке/обработке сообщений и о действиях пользователя.

Трёхлетний срок касается именно второй группы — «цифрового следа».
А содержимое переписки живёт по отдельным правилам: его нужно хранить 6 месяцев.

По сути, речь про две группы данных

1) Сведения о фактах по электронным сообщениям (метаданные)
Это технические сведения о том, что сообщение:

  • было принято сервисом и когда;
  • было передано/доставлено адресату и когда;
  • обрабатывалось (включая хранение/изменение состояния обработки), и когда это произошло.

Здесь важно не логировать всё подряд, а обеспечить обязательный состав сведений, который установлен правилами. На практике это обычно означает нормализованные записи с датой/временем, идентификаторами участников обмена, техническими параметрами сессии и статусами обработки/доставки.

2) Сведения о пользователе и его действиях в рамках сервиса
Речь не про любые «события интерфейса», а про сведения, которые прямо требуются правилами — например:

  • факты регистрации/идентификации и изменения регистрационных данных (телефон/e-mail и т.п.);
  • факты авторизации (включая технические атрибуты соединения);
  • факт прекращения регистрации (удаление аккаунта);
  • иные предусмотренные правилами сведения, связанные с оказанием сервиса и использованием коммуникационных функций.

Важно: принцип минимизации остаётся. Всё, что не требуется законом и не нужно бизнес-процессам, лучше не превращать в логи «на всякий случай». Но обязательный состав по ОРИ должен быть обеспечен.

Что это меняет для ИБ, ПДн и КИИ

Значительная часть ОРИ-логов может содержать персональные данные. Значит, на них продолжают распространяться требования 152-ФЗ: ограничение доступа, защита при хранении и передаче, регламенты, аудит действий.

При этом трёхлетний срок по ОРИ — это отдельное правовое основание хранить определённые сведения. Это не отменяет 152-ФЗ, а дополняет его: вы просто фиксируете разные основания и разные жизненные циклы данных.

Если система относится к КИИ, эти же данные часто используются для расследования атак и инцидентов. Тогда сроки и состав хранимых событий нужно сверить с требованиями по КИИ и вашей моделью угроз.

С какого момента считать три года

Ключевой момент: трёхлетний срок считают не от момента, когда пользователь закрыл аккаунт или перестал пользоваться сервисом, а от времени каждого зафиксированного события — по принципу отдельного срока хранения для каждой записи.

То есть:

  • у каждого факта (логина, регистрации, отправки/доставки/обработки сообщения, изменения регистрационных данных и т.п.) есть время совершения/завершения;
  • соответствующая запись хранится три года с момента окончания этого действия/факта;
  • дальше удаляется/архивируется по настроенному TTL.

Удаление аккаунта — это тоже событие. Оно означает, что новых событий больше не появляется, но ранее накопленные сведения всё равно хранятся до истечения трёх лет по каждому событию.

Разберем на практике: кейс с личным кабинетом

Пользователь регистрируется, оставляет персональные данные, пользуется сервисом, пишет в чат с поддержкой и/или оставляет комментарии.

Через некоторое время он удаляет аккаунт или отказывается от услуги.

С точки зрения 152-ФЗ:
персональные данные, которые больше не нужны для договора, отчётности, гарантийных обязательств и иных законных целей, удаляются или обезличиваются.

С точки зрения ОРИ:
сведения о фактах действий пользователя и фактах обработки/передачи электронных сообщений (то, что подпадает под обязательный состав по правилам [3]) продолжают храниться не менее трёх лет — по модели «3 года от события».

Получается так:

  • данные, которые нужны только для бизнеса и обслуживания пользователя, вы убираете, когда цели обработки закрыты;
  • данные, которые подпадают под требования к ОРИ, продолжаете хранить в отдельном, защищённом контуре — с корректным TTL по каждому событию.

Владельцу сервиса и тем, кто отвечает за данные, важно:

  • зафиксировать перечень ОРИ-сведений, которые вы обязаны хранить по правилам;
  • развести жизненный цикл «основных ПДн» и «ОРИ-логов»;
  • настроить хранение и удаление ОРИ-сведений по модели 3 года от события;
  • если сервис подпадает под КИИ — сверить состав и сроки с регламентами по инцидентам и документами по 187-ФЗ.

Что будет, если не выполнить требования к ОРИ

Роскомнадзор контролирует выполнение правил хранения данных. Нарушение бьёт по бизнесу с двух сторон: прямой финансовый ущерб и риск остановки сервиса.

1) Штрафы (КоАП РФ, ст. 13.31)

Цифры для юридических лиц существенные и имеют свойство расти при рецидиве:

  • первое нарушение: штраф от 800 000 до 1 000 000 ₽;
  • повторное нарушение: штраф от 2 000 000 до 6 000 000 ₽.

В зависимости от вида нарушения по 13.31 могут применяться и другие санкции, а также добавляться штрафы за нарушения в части обработки/хранения ПДн и требований по КИИ.

2) Блокировка ресурса

Это опаснее штрафа. Обычно Роскомнадзор действует по алгоритму:

  • направляет уведомление о необходимости устранить нарушение;
  • если требования игнорируются, ведомство обращается в суд;
  • по решению суда доступ к сервису ограничивается на территории РФ.

Что сделать уже сегодня?

Чек-лист для ИТ-специалистов

— Проверить, подпадает ли ваш сервис под ОРИ и есть ли он в реестре ОРИ.
— Описать, какие сведения вы уже собираете о фактах действий пользователей и фактах обработки/передачи сообщений.
— Сопоставить текущий состав с обязательными требованиями и понять, каких полей/событий не хватает.
— Спланировать хранение этих данных минимум три года по модели «3 года от события»: учесть объём, архитектуру, резервирование.
— Убедиться, что данные и логи хранятся на территории РФ, в том числе при использовании облака.
— Развести жизненный цикл основных персональных данных и ОРИ-логов: что удаляем по достижении целей, а что храним по ОРИ.
— Ограничить доступ к логам, настроить аудит действий с ними и при необходимости шифрование.
— Описать и протестировать техническую процедуру подготовки выгрузок по запросам госорганов.
— Если сервис относится к КИИ, сверить состав и сроки хранения событий с требованиями по инцидентам и обновить документы, если это необходимо.

Чек-лист для юристов

— Проверить, есть ли ваши сервисы в реестре ОРИ и не подпадают ли под критерии ОРИ другие решения, где есть коммуникационные функции.
— Обновить внутренние положения о хранении и удалении данных с учётом трёхлетнего срока для ОРИ-сведений.
— Перепроверить политику ПДн, политику конфиденциальности и пользовательские соглашения: какие данные фиксируются, зачем и как долго хранятся.
— Уточнить в уведомлении в Роскомнадзор по ПДн категории логируемых данных и специальные сроки хранения, если это требуется.
— Пересмотреть договоры с подрядчиками и облачными провайдерами: место хранения данных на территории РФ, сроки хранения, порядок удаления и выгрузки по запросам госорганов.
— Зафиксировать правовые основания и сроки: отдельно по ПДн (152-ФЗ) и отдельно по ОРИ (обязанности по закону и правилам) — без смешения «в одну полку».
— Если у компании есть объекты КИИ, проверить, как новые требования к ОРИ сочетаются с документами по 187-ФЗ и регламентами по инцидентам, и при необходимости обновить их.

История с трёхлетним хранением данных упирается не только в соблюдение закона и требований регулятора, но и в практические вопросы: где взять место и ресурсы под выросший объём логов, как держать их в российских ЦОДах, не терять при авариях и при этом не запутать собственную инфраструктуру.

Заполните короткую форму— мы свяжемся и ответим на ваши вопросы.