Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: 13 июля 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.
Один смысл — два закона
GDPR (General Data Protection Regulation, Регламент ЕС 2016/679) и российский Федеральный закон № 152-ФЗ «О персональных данных» решают одну задачу — защиту персональных данных граждан. Но подходы у них разные, и российский бизнес часто попадает в ловушку: копирует европейскую политику конфиденциальности с сайта-конструктора и думает, что «всё по закону». На деле такая политика не соответствует ни одному из двух законов полностью.
Разберём ключевые различия и главное — когда российской компании нужно соблюдать оба закона одновременно.
Территория действия: кого касается
152-ФЗ действует, если вы обрабатываете данные граждан РФ, находясь в России, либо целенаправленно работаете с российской аудиторией (сайт на русском, цены в рублях, доставка по РФ).
GDPR действует экстерриториально: он касается вас, даже если вы в России, но предлагаете товары или услуги жителям ЕС либо отслеживаете их поведение (например, у вас есть версия сайта на европейских языках, приём оплаты в евро, реклама в Европе).
Вывод: интернет-магазин из Москвы, который продаёт только по России, подчиняется 152-ФЗ. Тот же магазин с доставкой в Германию и оплатой в евро — уже подпадает под оба режима.
5 ключевых различий
1. Локализация данных — есть в 152-ФЗ, нет в GDPR
Главное отличие. Статья 18 ч. 5 152-ФЗ требует, чтобы первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ производились с использованием баз данных, расположенных на территории России. GDPR такого требования не содержит — он лишь регулирует передачу данных за пределы ЕС. Это значит, что сервер вашего сайта и CRM должны физически находиться в РФ.
2. Правовые основания обработки
У GDPR шесть законных оснований (ст. 6), включая «законный интерес» (legitimate interest) — гибкий инструмент, позволяющий обрабатывать данные без согласия, если интересы бизнеса не нарушают прав субъекта. В 152-ФЗ основания жёстче: «законный интерес» как таковой отсутствует, и в большинстве случаев на сайте нужно согласие (ст. 6, 9).
3. Согласие
GDPR допускает согласие «по умолчанию» только в узких случаях и требует «freely given, specific, informed». 152-ФЗ идёт дальше: предустановленная галочка — прямое нарушение, а для специальных категорий и распространения нужна письменная форма (ст. 9, 10, 10.1).
4. Уведомление об утечке
- GDPR: уведомить надзорный орган в течение 72 часов с момента, как стало известно об инциденте (ст. 33).
- 152-ФЗ: уведомить Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов — о результатах внутреннего расследования (ст. 21.1). Российский срок первого уведомления жёстче европейского.
Форма для РКН: https://pd.rkn.gov.ru/incidents/. Подробнее — в статье про реагирование на утечку за 24 часа.
5. Ответственный за обработку
GDPR требует назначения DPO (Data Protection Officer) только при масштабной обработке или обработке спецкатегорий. 152-ФЗ обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1), — независимо от объёма данных.
Сроки ответа субъекту: не путайте нормы
По 152-ФЗ действуют два разных срока, которые часто смешивают:
- 30 дней — на предоставление субъекту информации об обработке его данных (ст. 20 ч. 3).
- 7 рабочих дней — на уточнение, блокирование или уничтожение данных по обоснованному требованию субъекта (ст. 21 ч. 1).
GDPR даёт единый срок — 1 месяц на ответ по правам субъекта (ст. 12), с возможностью продления ещё на два месяца. Российский 7-дневный срок на удаление — один из самых коротких в мире.
Штрафы: сравнение санкций
| Нарушение | 152-ФЗ (КоАП ст. 13.11) | GDPR |
|---|---|---|
| Обработка без основания | 300 000 – 700 000 ₽, повторно до 1,5 млн ₽ | до 20 млн € или 4% оборота |
| Утечка персональных данных | оборотный штраф 1–3% выручки, до 500 млн ₽ | до 20 млн € или 4% оборота |
| Неуведомление РКН/надзора | до 300 000 – 500 000 ₽ | до 10 млн € или 2% оборота |
Российские оборотные штрафы за утечки введены ФЗ № 420-ФЗ от 30.11.2024 и по абсолютным цифрам приблизились к европейским. Подробный разбор — в гайде по штрафам 152-ФЗ.
Когда действуют оба закона
Если ваш бизнес работает и с россиянами, и с жителями ЕС, вы обязаны соблюдать оба режима одновременно. На практике это означает:
- Хранить данные россиян на серверах в РФ (152-ФЗ), а данные европейцев — с соблюдением правил трансграничной передачи GDPR.
- Иметь политику конфиденциальности, закрывающую требования обоих законов.
- Настроить cookie-баннер, который блокирует трекеры до согласия (жёсткое требование GDPR, всё чаще применяемое и в РФ).
- Уведомлять об инцидентах по более короткому из сроков — то есть за 24 часа.
Чеклист для российского бизнеса
- [ ] Данные граждан РФ хранятся на серверах в России (ст. 18 152-ФЗ)
- [ ] Назначен ответственный за обработку ПДн (ст. 22.1)
- [ ] Политика конфиденциальности учитывает 152-ФЗ, а при работе с ЕС — и GDPR
- [ ] Согласие — активное действие, без предустановленных галочек
- [ ] Прописаны сроки ответа: 30 дней (ст. 20) и 7 рабочих дней (ст. 21)
- [ ] Готов регламент уведомления об утечке: 24 часа + 72 часа
- [ ] Оформлена трансграничная передача (Google Analytics, зарубежные сервисы)
Что делать прямо сейчас
Большинству российских компаний не нужен GDPR — но им точно нужен корректный пакет документов по 152-ФЗ, а не переведённый с английского шаблон. Локализация, ответственный, короткие сроки удаления и оборотные штрафы за утечки делают формальный подход слишком рискованным.
Не уверены, что ваш сайт соответствует 152-ФЗ? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →
Статья актуальна на июль 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 6, 9, 10, 18, 20, 21, 21.1, 22.1), КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024, Регламент ЕС 2016/679 (GDPR).