Дисклеймер: Статья носит информационный характер и не является юридической консультацией. Актуальность: 13 июля 2026 года. Учтены изменения ФЗ № 420-ФЗ от 30.11.2024.

Один смысл — два закона

GDPR (General Data Protection Regulation, Регламент ЕС 2016/679) и российский Федеральный закон № 152-ФЗ «О персональных данных» решают одну задачу — защиту персональных данных граждан. Но подходы у них разные, и российский бизнес часто попадает в ловушку: копирует европейскую политику конфиденциальности с сайта-конструктора и думает, что «всё по закону». На деле такая политика не соответствует ни одному из двух законов полностью.

Разберём ключевые различия и главное — когда российской компании нужно соблюдать оба закона одновременно.


Территория действия: кого касается

152-ФЗ действует, если вы обрабатываете данные граждан РФ, находясь в России, либо целенаправленно работаете с российской аудиторией (сайт на русском, цены в рублях, доставка по РФ).

GDPR действует экстерриториально: он касается вас, даже если вы в России, но предлагаете товары или услуги жителям ЕС либо отслеживаете их поведение (например, у вас есть версия сайта на европейских языках, приём оплаты в евро, реклама в Европе).

Вывод: интернет-магазин из Москвы, который продаёт только по России, подчиняется 152-ФЗ. Тот же магазин с доставкой в Германию и оплатой в евро — уже подпадает под оба режима.


5 ключевых различий

1. Локализация данных — есть в 152-ФЗ, нет в GDPR

Главное отличие. Статья 18 ч. 5 152-ФЗ требует, чтобы первичный сбор, запись, систематизация, накопление, хранение, уточнение и извлечение персональных данных граждан РФ производились с использованием баз данных, расположенных на территории России. GDPR такого требования не содержит — он лишь регулирует передачу данных за пределы ЕС. Это значит, что сервер вашего сайта и CRM должны физически находиться в РФ.

2. Правовые основания обработки

У GDPR шесть законных оснований (ст. 6), включая «законный интерес» (legitimate interest) — гибкий инструмент, позволяющий обрабатывать данные без согласия, если интересы бизнеса не нарушают прав субъекта. В 152-ФЗ основания жёстче: «законный интерес» как таковой отсутствует, и в большинстве случаев на сайте нужно согласие (ст. 6, 9).

3. Согласие

GDPR допускает согласие «по умолчанию» только в узких случаях и требует «freely given, specific, informed». 152-ФЗ идёт дальше: предустановленная галочка — прямое нарушение, а для специальных категорий и распространения нужна письменная форма (ст. 9, 10, 10.1).

4. Уведомление об утечке

  • GDPR: уведомить надзорный орган в течение 72 часов с момента, как стало известно об инциденте (ст. 33).
  • 152-ФЗ: уведомить Роскомнадзор в течение 24 часов о факте инцидента и в течение 72 часов — о результатах внутреннего расследования (ст. 21.1). Российский срок первого уведомления жёстче европейского.

Форма для РКН: https://pd.rkn.gov.ru/incidents/. Подробнее — в статье про реагирование на утечку за 24 часа.

5. Ответственный за обработку

GDPR требует назначения DPO (Data Protection Officer) только при масштабной обработке или обработке спецкатегорий. 152-ФЗ обязывает каждого оператора-юрлицо назначить лицо, ответственное за организацию обработки ПДн (ст. 22.1), — независимо от объёма данных.


Сроки ответа субъекту: не путайте нормы

По 152-ФЗ действуют два разных срока, которые часто смешивают:

  • 30 дней — на предоставление субъекту информации об обработке его данных (ст. 20 ч. 3).
  • 7 рабочих дней — на уточнение, блокирование или уничтожение данных по обоснованному требованию субъекта (ст. 21 ч. 1).

GDPR даёт единый срок — 1 месяц на ответ по правам субъекта (ст. 12), с возможностью продления ещё на два месяца. Российский 7-дневный срок на удаление — один из самых коротких в мире.


Штрафы: сравнение санкций

Нарушение152-ФЗ (КоАП ст. 13.11)GDPR
Обработка без основания300 000 – 700 000 ₽, повторно до 1,5 млн ₽до 20 млн € или 4% оборота
Утечка персональных данныхоборотный штраф 1–3% выручки, до 500 млн ₽до 20 млн € или 4% оборота
Неуведомление РКН/надзорадо 300 000 – 500 000 ₽до 10 млн € или 2% оборота

Российские оборотные штрафы за утечки введены ФЗ № 420-ФЗ от 30.11.2024 и по абсолютным цифрам приблизились к европейским. Подробный разбор — в гайде по штрафам 152-ФЗ.


Когда действуют оба закона

Если ваш бизнес работает и с россиянами, и с жителями ЕС, вы обязаны соблюдать оба режима одновременно. На практике это означает:

  • Хранить данные россиян на серверах в РФ (152-ФЗ), а данные европейцев — с соблюдением правил трансграничной передачи GDPR.
  • Иметь политику конфиденциальности, закрывающую требования обоих законов.
  • Настроить cookie-баннер, который блокирует трекеры до согласия (жёсткое требование GDPR, всё чаще применяемое и в РФ).
  • Уведомлять об инцидентах по более короткому из сроков — то есть за 24 часа.

Чеклист для российского бизнеса

  • [ ] Данные граждан РФ хранятся на серверах в России (ст. 18 152-ФЗ)
  • [ ] Назначен ответственный за обработку ПДн (ст. 22.1)
  • [ ] Политика конфиденциальности учитывает 152-ФЗ, а при работе с ЕС — и GDPR
  • [ ] Согласие — активное действие, без предустановленных галочек
  • [ ] Прописаны сроки ответа: 30 дней (ст. 20) и 7 рабочих дней (ст. 21)
  • [ ] Готов регламент уведомления об утечке: 24 часа + 72 часа
  • [ ] Оформлена трансграничная передача (Google Analytics, зарубежные сервисы)

Что делать прямо сейчас

Большинству российских компаний не нужен GDPR — но им точно нужен корректный пакет документов по 152-ФЗ, а не переведённый с английского шаблон. Локализация, ответственный, короткие сроки удаления и оборотные штрафы за утечки делают формальный подход слишком рискованным.

Не уверены, что ваш сайт соответствует 152-ФЗ? Запустите бесплатный аудит сайта на соответствие 152-ФЗ →


Статья актуальна на июль 2026 года. Нормативные акты: 152-ФЗ «О персональных данных» (ст. 6, 9, 10, 18, 20, 21, 21.1, 22.1), КоАП ст. 13.11 в редакции ФЗ № 420-ФЗ от 30.11.2024, Регламент ЕС 2016/679 (GDPR).


Связанные материалы