В 2026 нас ждут изменения, которые повлияют на ИТ-инфраструктуру всех компаний, которые хранят и обрабатывают данные. Срок хранения данных увеличится до 3 лет: на что обратить внимание бизнесу, какие технические и юридические нюансы важно учесть? Нововведения прокомментировали специалисты OXYGEN.
Суть изменений
С 1 января 2026 года вступают в силу изменения, которые напрямую затронут компании, подпадающие под статус организатора распространения информации (ОРИ). Согласно Постановлению Правительства РФ от 30.10.2025 № 1698, срок хранения данных об электронных сообщениях пользователей и информации о самих пользователях увеличивается с одного года до трех.
Важно: изменяется только срок хранения. Состав информации, порядок ее предоставления государственным органам и базовые требования к ОРИ остаются прежними. Но для бизнеса это все же означает пересмотр подхода к ИТ-инфраструктуре и обработке персональных данных.
Разбираем по шагам: кому это актуально, что именно нужно хранить, как это соотносится с ПДн и какие ИТ-решения помогут выполнить требования без потери управляемости и экономической эффективности.
Как понять, является ли ваша компания ОРИ?
Формальное определение ОРИ звучит довольно широко, но на практике его обычно применяют к сервисам, где есть коммуникация между пользователями или обмен сообщениями.
Типичные примеры ОРИ:
- социальные сети и мессенджеры;
- почтовые сервисы;
- файлообменные сервисы и облачные хранилища;
- игровые онлайн‑сервисы с чатом;
- сайты знакомств;
- площадки объявлений и сервисы с личными сообщениями;
- блоги и платформы для пользовательского контента (комментарии, личные сообщения).
Вопрос, который чаще всего волнует крупный бизнес: затрагивает ли это интернет-магазины, корпоративные порталы, личные кабинеты и другие сервисы? Здесь зависит от функционала. На статус ОРИ может указывать наличие встроенных чатов между пользователями или между пользователем и продавцом, а также форумов, комментариев и других форм пользовательского взаимодействия.
Что обычно не рассматривается как ОРИ:
полностью закрытые корпоративные системы, которые используются только внутри компании, витринные сайты без личных кабинетов и без функционала обмена сообщениями, чисто информационные ресурсы (лендинги, корпоративные сайты без пользовательских коммуникаций).
Изменится ли порядок предоставления данных государственным органам?
Изменяется только срок хранения информации — с 1 до 3 лет. Механизмы взаимодействия с государственными органами сохраняются.
Как данные предоставляются сейчас и будут предоставляться с 01.01.2026:
- информация хранится на территории РФ;
- уполномоченные государственные органы получают данные по своим запросам;
- для ФСБ обеспечивается доступ к хранимой информации (через соответствующие СОРМ‑решения);
- процедуры и основания запросов определяются профильным законодательством — они не ужесточаются самим Постановлением № 1698.
Для бизнеса это означает:
- нужно обеспечить техническую возможность передачи запрашиваемых данных в установленном формате и в установленные сроки;
- важно выстроить внутренний регламент: кто в компании отвечает за обработку запросов, в какие сроки и в каком виде информация предоставляется;
- необходимо обеспечить непрерывность и целостность хранимых логов за весь трехлетний период, чтобы не допустить «пробелов» в данных.
Отзыв согласия на обработку персональных данных
Можно ли удалять данные по запросу пользователя?
В этой части никаких изменений не произошло. Постановление № 1698 не пересматривает порядок обработки ПДн и работы с отзывом согласия. Оператор вправе продолжить обработку и хранение тех данных, которые он обязан обрабатывать или хранить в силу закона (в том числе как ОРИ), — уже на основании п. 2 ст. 6 152-ФЗ. Если данные подлежат хранению как информация ОРИ, они не могут быть удалены по запросу пользователя до истечения установленного законом срока (теперь — трехлетнего), даже если пользователь отозвал согласие на обработку ПДн.
Чтобы обезопасить себя, вам необходимо явно отразить в документации разграничение данных, которые будут удалены при отзыве согласия и которые подлежат обязательному хранению в силу закона.
Изменения в ИТ-инфраструктуре компании
С технической точки зрения ключевое изменение — трехкратный рост срока хранения логов и метаинформации. Как правило, сейчас многие компании хранят операционные логи 90 дней, а часть — до года.
Бизнес должен обеспечить хранение информации:
- о том, кто и когда имел доступ к ресурсам;
- факты авторизаций;
- регистрационные данные пользователей;
- информацию о фактах приема, передачи, доставки и/или обработки сообщений (голос, текст, изображения, звук, видео и др.).
Что стоит учесть в ИТ-инфраструктуре?
- Объем хранения вырастет в разы. Если сегодня SIEM-системы или аналогичные решения в среднем работают с глубиной хранения логов в 90-180 дней, то с 2026 года потребуется гарантированное хранение 1095 дней. Это означает, что под системы сбора и анализа логов (SIEM-системы, Elasticsearch и другие) потребуется в 3-6 раз больше ресурсов.
- Повысятся требования к целостности и доступности данных. Речь идет не просто о долгом хранении. Данные должны быть полными, неизменяемыми и доступными в любой момент в течение всего срока. «Дыры» во времени или потеря данных из-за сбоев оборудования станут не только технической, но и серьезной юридической проблемой.
- Усложнится ИТ-архитектура. Потребуется больше ресурсов СХД, в первую очередь — «медленных» СХД под архивные данные.
- Возрастет нагрузка на интеграции. Особое внимание придется уделить интеграции с внешними системами, где требования к надежности поставки данных становятся критическими.
Если у вас есть свободные резервы, переход может быть плавным. Но в реалиях динамичного бизнеса свободные мощности под 3-летний архив — скорее исключение. Готовиться нужно уже сейчас.
Рекомендации ИТ-директора OXYGEN: с чего начать и как оптимизировать затраты
- Проведите ИТ-обследование и классификацию данных. Четко разделите, какие логи нужны для оперативного реагирования и мониторинга безопасности («горячие» данные), а какие подлежат долгосрочному архивному хранению («холодные»). От этого зависит выбор СХД.
- Выберите решения для длительного хранения. Хранить 3-летние логи на быстрых дисках SSD — финансово неоправданно. Современные облачные решения предлагают «холодные» и архивные классы хранения с низкой стоимостью за терабайт, что идеально подходит для выполнения законодательных требований.
- Рассмотрите управляемые сервисы. Поддержка и тонкая настройка кластеров Elasticsearch или SIEM-решений требуют высокой экспертизы. Эффективнее передать эту задачу провайдеру и сфокусироваться на аналитике угроз и бизнес-задачах.
Как помогут облачные решения OXYGEN
Мы предлагаем готовые, управляемые облачные решения, которые закрывают новые требования комплексно и под контролем юристов и технических специалистов.
- Managed Elasticsearch. Мы развернем, настроим и будем сопровождать отказоустойчивый Elasticsearch для сбора, хранения и анализа всех ваших логов. Мы берем на себя обеспечение производительности, резервного копирования и обновлений, а вы получаете единую точку для контроля за 3-летним периодом хранения с удобными дашбордами.
- Storage as a Service. Наша платформа предоставляет все классы хранения — от высокопроизводительного (для БД SIEM) до экономичного объектного и архивного. Все данные остаются в юрисдикции РФ, в дата-центрах уровня Tier III.
- Готовые отказоустойчивые «юридические» кластеры. Мы предлагаем Облако 152-ФЗ, которое идеально подходит для хранения и обработки ПДн. Отказоустойчивость наших систем составляет 99,982% и мы берем на себя обязательства по гарантии доступности.
- Экспертиза в интеграциях. Наши специалисты имеют опыт построения безопасных и надежных каналов передачи данных в государственные информационные системы, что критически важно для бесперебойного выполнения обязанностей ОРИ.
Предлагаем провести ИТ-осмотр вашей текущей инфраструктуры и процессов обработки логов. Наши архитекторы подготовят расчет для двух сценариев: развитие собственной инфраструктуры и переход на управляемые облачные сервисы.
Мы поможем вам превратить поправки в законодательстве в возможности: повысить отказоустойчивость, усилить безопасность и получить более полную аналитику о работе ваших сервисов за длительный период.
Готовы обсудить вашу архитектуру? Оставьте заявку в OXYGEN.
