GDPR и 152-ФЗ: ключевые отличия и когда нужно соблюдать оба
Подробное сравнение европейского GDPR и российского 152-ФЗ: штрафы, требования к согласию, локализация данных, трансграничная передача. Практические рекомендации для международного бизнеса.
GDPR и 152-ФЗ: ключевые отличия и когда нужно соблюдать оба
Компании, работающие на международном рынке, нередко сталкиваются с необходимостью одновременно соблюдать и европейский GDPR, и российский 152-ФЗ. Эти законы решают похожую задачу — защиту персональных данных — но подходят к ней по-разному. Разберёмся в ключевых отличиях и практических последствиях для бизнеса.
Краткий обзор
GDPR (General Data Protection Regulation) — регламент Европейского союза, вступивший в силу 25 мая 2018 года. Распространяется на все организации, обрабатывающие данные граждан ЕС, независимо от местоположения компании.
152-ФЗ — Федеральный закон «О персональных данных», действующий в России с 2006 года и существенно ужесточённый поправками 2022–2025 годов. Регулирует обработку данных на территории РФ и данных граждан России.
Сравнительная таблица
| Критерий | GDPR | 152-ФЗ |
|---|---|---|
| Территориальный охват | Данные граждан ЕС, независимо от места обработки | Обработка на территории РФ + данные граждан РФ |
| Правовые основания | 6 оснований (согласие, договор, законный интерес и др.) | Согласие, договор, закон; «законный интерес» отсутствует |
| Форма согласия | Свободное, конкретное, информированное, однозначное | Конкретное, информированное, сознательное, в письменной форме для спецкатегорий |
| Локализация данных | Нет требования хранить в ЕС | Обязательное хранение на территории РФ (с 2015 г.) |
| DPO (ответственный) | Обязателен в определённых случаях | Обязателен для всех операторов |
| Уведомление об утечке | 72 часа — в надзорный орган | 24 часа — в РКН, 72 часа — результаты расследования |
| Штрафы | До 20 млн € или 4% глобальной выручки | До 3% выручки + уголовная ответственность (с 2024 г.) |
| Права субъектов | Доступ, исправление, удаление, перенос, ограничение, возражение | Доступ, уточнение, блокирование, уничтожение |
| Право на перенос данных | Да (data portability) | Нет |
| Оценка воздействия (DPIA) | Обязательна при высоком риске | Модель угроз (аналог, но с акцентом на техническую безопасность) |
| Трансграничная передача | В страны с адекватным уровнем или при гарантиях | Разрешена в страны из списка РКН или с согласия субъекта |
Когда российской компании нужен GDPR
Российская организация обязана соблюдать GDPR, если она:
- Имеет клиентов из ЕС — интернет-магазин с доставкой в Европу, SaaS-сервис с европейскими пользователями
- Нанимает сотрудников в ЕС — удалённые работники, представительства
- Предлагает товары или услуги гражданам ЕС — наличие цен в евро, перевода на европейские языки
- Мониторит поведение граждан ЕС — аналитика, профилирование, таргетированная реклама
Важно: Даже если ваш сайт просто доступен из Европы, но вы целенаправленно не работаете с ЕС, GDPR на вас скорее всего не распространяется. Ключевое слово — «целенаправленность» (directing activities).
Когда иностранной компании нужен 152-ФЗ
Иностранная организация обязана соблюдать 152-ФЗ, если она:
- Обрабатывает данные граждан РФ — имеет российских клиентов, пользователей, сотрудников
- Собирает данные на территории РФ — через сайт, приложение, физические точки
При этом ключевое требование — локализация: базы данных с персональными данными граждан РФ должны первично размещаться на серверах в России.
Практические сложности двойного комплаенса
Локализация vs глобальная инфраструктура
152-ФЗ требует хранить данные россиян в РФ. GDPR не запрещает хранение за пределами ЕС, но требует адекватных гарантий. Решение: мастер-база в РФ, синхронизация с европейским контуром при наличии стандартных договорных условий (SCC).
Разные сроки уведомления об утечке
152-ФЗ: 24 часа на уведомление РКН. GDPR: 72 часа на уведомление надзорного органа. На практике ориентируйтесь на более жёсткий срок — 24 часа для обоих регуляторов.
Отсутствие «законного интереса» в 152-ФЗ
GDPR позволяет обрабатывать данные на основании законного интереса контролёра (например, для прямого маркетинга). В 152-ФЗ такого основания нет — нужно либо согласие, либо прямое указание закона. Для российского контура придётся собирать согласия там, где в ЕС можно обойтись без них.
Штрафы и ответственность
GDPR известен рекордными штрафами: крупные взыскания достигают сотен миллионов евро. Российские штрафы традиционно были скромнее, но с 2024 года ситуация изменилась: оборотные штрафы до 3% выручки и уголовная ответственность за незаконную обработку данных делают последствия сопоставимыми.
Типичные ошибки при международном комплаенсе
Ошибка 1: «Мы не работаем с ЕС — GDPR нас не касается»
Проверьте внимательно: если среди ваших клиентов есть граждане ЕС (даже проживающие в России), если вы используете европейские SaaS-сервисы для обработки данных или если ваш сайт доступен на английском и принимает заказы из Европы — GDPR может на вас распространяться.
Ошибка 2: «Достаточно соблюдать один закон — второй покроется автоматически»
Законы не являются подмножествами друг друга. 152-ФЗ требует локализацию данных в РФ — GDPR этого не требует. GDPR предоставляет право на перенос данных — 152-ФЗ такого права не знает. Необходима отдельная работа по каждому закону.
Ошибка 3: «У нас один DPO на обе юрисдикции»
Формально это допустимо, но на практике DPO по GDPR и ответственный по 152-ФЗ имеют разные функции. DPO по GDPR должен быть независим от руководства, а ответственный по 152-ФЗ обычно назначается из числа руководителей. Рекомендуется разделять роли.
Рекомендации для компаний с двойным комплаенсом
- Проведите маппинг потоков данных — определите, какие данные подпадают под GDPR, какие под 152-ФЗ, какие под оба
- Разделите контуры — техническое и организационное разделение обработки данных россиян и европейцев
- Используйте наиболее строгий стандарт — если требование одного закона жёстче, применяйте его для обоих
- Назначьте DPO и ответственного — это могут быть разные люди с разной зоной ответственности
- Подготовьте два комплекта документов — политики и регламенты для каждой юрисдикции
- Внедрите единый процесс реагирования на инциденты — с учётом самых коротких сроков уведомления (24 часа по 152-ФЗ)
- Регулярно пересматривайте соответствие — оба закона активно развиваются, требования меняются
Полный комплект документов по 152-ФЗ и адаптация под требования GDPR — часть нашей услуги комплаенс. Мы помогаем выстроить единую систему, которая соответствует обоим регуляторным режимам. Также рекомендуем провести аудит информационной безопасности, чтобы оценить техническую готовность инфраструктуры к требованиям обоих законов.
Полезные шаблоны
Для самостоятельной работы используйте наши готовые шаблоны документов — они покрывают основные требования 152-ФЗ и могут стать основой для адаптации под GDPR.
Работаете с данными граждан ЕС и РФ одновременно? Свяжитесь с нами — поможем выстроить комплаенс под обе юрисдикции. Начните с экспресс-аудита, чтобы оценить текущий уровень соответствия.