GDPR (General Data Protection Regulation) и российский 152-ФЗ преследуют схожую цель — защиту персональных данных, но различаются в деталях. Компании, работающие с европейской аудиторией, должны соответствовать обоим регуляторным режимам. Рассмотрим ключевые сходства и различия.
Общее: принципы обработки данных
Оба режима базируются на схожих принципах:
- Законность и справедливость — данные обрабатываются только на законном основании.
- Целевое ограничение — данные собираются для конкретных, явно указанных целей.
- Минимизация данных — собирать только то, что необходимо для цели.
- Точность — данные должны быть актуальными.
- Ограничение хранения — данные хранятся не дольше, чем необходимо.
- Целостность и конфиденциальность — обеспечивается безопасность данных.
Сравнительная таблица: GDPR vs 152-ФЗ
| Параметр | GDPR | 152-ФЗ |
|---|---|---|
| Дата принятия | 2018 | 2006 (ред. 2024) |
| Согласие | Явное, отзывное | Явное, отзывное |
| Права субъекта | Доступ, исправление, удаление, портабельность | Доступ, исправление, удаление, блокировка |
| DPO | Обязателен для ряда операторов | Ответственный за ПД — обязателен |
| Уведомление об утечке | 72 часа регулятору, субъекты при риске | 24 ч регулятору, 72 ч — результаты расследования |
| Локализация | Не требуется (СЗ ЕС) | Обязательна для данных граждан РФ |
| Макс. штраф | 4% от мирового оборота или 20 млн EUR | До 3% от оборота (утечка) или фиксированные |
| Реестр обработок | Обязателен (Article 30) | Уведомление РКН + внутренние документы |
| Оценка рисков (DPIA) | Обязательна для высокорискованных обработок | Не регламентирована явно, но рекомендована |
Ключевые различия
Локализация данных
152-ФЗ (с поправкой 242-ФЗ) требует хранить данные граждан РФ на серверах в России. GDPR не требует хранить данные граждан ЕС на серверах в ЕС, но ограничивает передачу данных в третьи страны без надлежащих гарантий.
Трансграничная передача
По GDPR передача данных за пределы ЕС допускается на основании: решения об адекватности, стандартных договорных условий (SCC), Binding Corporate Rules. Россия не признана «адекватной» страной по GDPR. По 152-ФЗ передача данных возможна в страны, ратифицировавшие Конвенцию 108, или при специальных условиях (ст. 12 152-ФЗ).
Штрафы
GDPR предусматривает значительно более высокие максимальные штрафы. Однако российские оборотные штрафы (с 2024 года) также могут быть весьма значительными для крупных компаний.
Практические рекомендации для двойного соответствия
- Разработайте единую политику конфиденциальности с разделами для российских и европейских пользователей.
- Локализуйте данные граждан РФ в российском ЦОД, данные граждан ЕС — в европейском.
- Обеспечьте выполнение прав субъектов: доступ, исправление, удаление, портабельность.
- Назначьте DPO/ответственного за ПД с функционалом, покрывающим оба режима.
- Заключите SCC с зарубежными поставщиками облачных услуг.
Связанные статьи
Требования 152-ФЗ подробно — в статье 152-ФЗ в 2026 году: полный гид по соответствию сайта. О трансграничной передаче данных — Трансграничная передача данных: новые правила 2025–2026.
Итог
Двойное соответствие возможно, но требует системного подхода. Начните с аудита вашего сайта на help152.ru для проверки соответствия российскому законодательству как первому уровню.