GDPR vs 152‑ФЗ: сравнение требований и подходов

GDPR и 152‑ФЗ формируют два крупных режима защиты персональных данных. Их цель общая — законная и безопасная обработка, — но принципы реализации, роли, штрафы и практика различаются. Ниже представлены ключевые отличия и сходства, чтобы вы могли быстро выстроить комплаенс и для европейских пользователей, и для граждан РФ.

![Схематичная диаграмма пересечения требований GDPR и 152-ФЗ]

Table of contents

• Кому применяется и экстерриториальность
• Роли и термины: контролер, оператор, процессор
• Правовые основания и принципы обработки
• Права субъектов и согласие
• DPO и ответственный за ПДн
• DPIA и российские аналоги анализа рисков
• Безопасность и защита по умолчанию
• Инциденты и уведомления регуляторов
• Специальные категории, биометрия, дети
• Документация и реестры
• Санкции и штрафы
• Сводная таблица отличий
• Практические шаги для компаний

Кому применяется и экстерриториальность

• GDPR распространяется на компании в ЕС и на тех, кто предлагает товары и услуги гражданам ЕС или мониторит их поведение. Экстерриториальность широкая.
• 152‑ФЗ обязателен для всех операторов, обрабатывающих персональные данные граждан РФ, включая иностранных операторов, если обработка связана с предложением товаров и услуг в России.

Отдельная особенность российского режима — локализация данных. Операторы обязаны обеспечивать первичный сбор и хранение персональных данных граждан РФ в базах данных, расположенных в России. Подробнее см. страницы: О законе 152‑ФЗ, Текст 152‑ФЗ, последняя редакция, Изменения 2025, а также про инфраструктуру: Серверы, хостинг, ЦОД, Облака и Yandex Cloud.

Кросс‑граничная передача в ЕС основана на механизме адекватности, стандартных контрактных клауз и т. п. В РФ действуют собственные правила уведомления и ограничения при трансграничной передаче, см. Трансграничная передача ПДн.

Роли и термины: контролер, оператор, процессор

• В GDPR ключевые роли — контролер и процессор. Контролер определяет цели и средства, процессор действует на основании договора и инструкций.
• В 152‑ФЗ аналог контролера — оператор ПДн. Передача и поручение обработки третьим лицам оформляется договором с обязательными условиями. Термины раскрыты в Статья 3 152‑ФЗ, также см. Поручение обработки ПДн и Передача третьим лицам.

Практика: для внешних подрядчиков оформляйте договор поручения с указанием целей, мер безопасности, ответственности и порядка возврата или уничтожения данных.

Правовые основания и принципы обработки

И GDPR, и 152‑ФЗ позволяют обрабатывать данные на законных основаниях. В ЕС это перечислено в статье 6 GDPR. В РФ основания содержатся в Статья 6 152‑ФЗ, а также в специальных нормах для отдельных категорий данных.

• Общие принципы: законность, минимизация, точность, ограничение срока хранения, безопасность и прозрачность. Обзор принципов: Принципы и цели обработки.
• Основания без согласия в РФ: исполнение договора, закон, суд, защита жизни и здоровья и др. См. Обработка без согласия.

Права субъектов и согласие

Права субъектов в GDPR шире (включая переносимость и ограничение обработки). В 152‑ФЗ закреплены права на получение информации, уточнение, блокирование, удаление, отзыв согласия и пр. Полный обзор: Права субъектов ПДн, Заявления и отзыв согласия.

Согласия оформляйте корректно и адресно: Согласие на обработку ПДн, Согласие на распространение ПДн, Отзыв согласия. Для сайтов важны прозрачные формы и cookie‑баннеры: Cookie и баннеры, Формы на сайте и согласие, Яндекс Метрика и 152‑ФЗ.

DPO и ответственный за ПДн

• GDPR требует назначать Data Protection Officer в случаях, предусмотренных регламентом (публичные органы, масштабный мониторинг, обработка специальных категорий данных).
• В РФ прямого аналога должности DPO нет, но назначение ответственного за организацию обработки ПДн обязательно для оператора. Это часто обсуждают как dpo ответственный 152 фз. Обязанности и место роли в системе комплаенса: Ответственный за обработку ПДн, Внутренний контроль и обучение.

Практика: закрепите роль приказом, опишите полномочия, порядок взаимодействия с ИБ и юристами, измеримые KPI и процедуры отчетности руководству.

DPIA и российские аналоги анализа рисков

GDPR предусматривает Data Protection Impact Assessment для операций с высоким риском. В 152‑ФЗ прямого требования DPIA нет, но существует комплекс риск‑ориентированных процедур ИБ и приватности:

• моделирование угроз ИСПДн и выбор мер в зависимости от уровня защищенности, см. Модель угроз ИСПДн, Уровни защищенности ИСПДн
• организационные и технические меры безопасности по требованиям регуляторов, см. Меры безопасности ПДн, Требования ФСТЭК и ФСБ

Если ищете соответствие логике DPIA, выстраивайте собственный риск‑асессмент, который объединяет юридические риски (законность целей и оснований) и ИБ‑риски (угрозы, уязвимости, последствия). Это отвечает запросу dpia 152 фз в практической плоскости.

Безопасность и защита по умолчанию

GDPR вводит требования privacy by design и by default. 152‑ФЗ закрепляет обязанность принимать достаточные меры для защиты ПДн, включая криптографию и разграничение доступа, журналирование, уничтожение по срокам и пр. Полезные материалы: Криптография и шифрование, Меры безопасности ПДн.

Поддерживайте актуальность документов, регламентов и технического контура ИСПДн, периодически пересматривайте модель угроз и проводите тесты на проникновение в разумных пределах.

Инциденты и уведомления регуляторов

• GDPR обязывает уведомлять надзорный орган без неоправданной задержки, зачастую в течение 72 часов, а в некоторых случаях — информировать субъектов.
• В РФ действуют требования об уведомлении Роскомнадзора и организации ответных действий при утечках и нарушениях безопасности. Практическая часть: Инциденты и утечки ПДн, Уведомление Роскомнадзор, Проверки Роскомнадзора, Действия при нарушении ПДн.

Совет: подготовьте заранее план реагирования и шаблоны уведомлений, проработайте каналы связи с подрядчиками и владельцами систем.

Специальные категории, биометрия, дети

Оба режима ужесточают требования для чувствительных данных.

• Специальные категории и медицинские данные: Специальные категории ПДн, Медицинские ПДн
• Биометрия: в РФ ужесточены правила обработки, нужна явная правовая база и дополнительные меры, см. Биометрические ПДн
• Дети и несовершеннолетние: родительское согласие и повышенная прозрачность, см. Дети и несовершеннолетние ПДн

Также помните о доступности и распространении: Общедоступные ПДн.

Документация и реестры

• GDPR требует вести учетные записи по видам обработки (RoPA), DPA‑договоры с процессорами, политики, реестры согласий.
• 152‑ФЗ требует политику и комплект внутренних документов: Политика обработки ПДн, Пакет документов, Документы для сайта. Для отдельных операторов предусмотрено уведомление РКН и внесение в Реестр операторов ПДн.

Совет: выстраивайте единую карту процессов и баз данных, синхронизируйте сроки хранения и процедуры уничтожения с регламентами: Сроки хранения ПДн, Уничтожение и блокировка ПДн.

Санкции и штрафы

• GDPR — значительные штрафы до 20 млн евро или до 4 процента от мирового оборота за прошлый год, плюс репутационные риски и запреты обработки.
• РФ — административная ответственность по КоАП и иные меры, см. Ответственность и штрафы 152‑ФЗ, КоАП 13.11 ПДн, а также практику: Судебная практика 152‑ФЗ.

Сводная таблица отличий

Критерий	GDPR	152‑ФЗ
Сфера действия	ЕС и экстерриториально	РФ и случаи обработки ПДн граждан РФ
Локализация	Нет общего требования	Локализация данных граждан РФ в РФ
Роли	Контролер, процессор, DPO	Оператор, поручение обработки, ответственный
Правовые основания	Широкий перечень, баланс интересов	Основания по закону, согласие, иные специальные нормы, см. Статья 6
DPIA	Обязательно для высоких рисков	Прямого аналога нет, есть модель угроз и меры ИБ
Приватность по умолчанию	Прямое требование	Через меры безопасности и ограничение доступа
Инциденты	Уведомление DPA, часто 72 часа	Уведомления в РКН и субъектам по установленным правилам
Штрафы	До 20 млн евро или 4 процента оборота	КоАП 13.11, иные меры воздействия
Куки и трекинг	Требования ePrivacy, согласие	Прозрачность и информирование, см. Cookie и баннеры

Практические шаги для компаний

Если вы одновременно обрабатываете данные граждан ЕС и РФ:

1. Проведите инвентаризацию данных и картирование процессов. Убедитесь, что хранение данных граждан РФ локализовано. Проверьте платформы: Требования к сайту 152‑ФЗ, SSL и HTTPS, Tilda, WordPress, Bitrix.
2. Сопоставьте правовые основания по каждому процессу и региону. Используйте готовые шаблоны согласий: Шаблоны и формы и Генератор политики и согласий.
3. Назначьте DPO для GDPR‑контуров при необходимости и ответственного за ПДн для 152‑ФЗ. Обеспечьте обучение и контроль: Внутренний контроль и обучение.
4. Проведите аналог DPIA для высокорисковых процессов и сформируйте модель угроз ИСПДн. Реализуйте меры ИБ в соответствии с Требованиями ФСТЭК и ФСБ и Мерами безопасности.
5. Подготовьте план реагирования на инциденты, прописав сроки и каналы уведомления: Инциденты и утечки ПДн, Уведомление Роскомнадзор.
6. Оформите документы: политика, реестры, договоры поручения, регламенты. Используйте готовые комплекты: Пакет документов 152‑ФЗ, Документы для сайта. Для терминов и аббревиатур пригодится Глосcарий 152‑ФЗ.
7. Проведите аудит соответствия и регулярный мониторинг: Аудит соответствия 152‑ФЗ, Аудит сайта, Онлайн проверка сайта.

![Иллюстрация дорожной карты внедрения требований GDPR и 152-ФЗ]

Вывод и следующий шаг

Сравнение GDPR и 152‑ФЗ показывает, что базовые цели совпадают, но инструменты и акценты различаются. Европейский режим детальнее регламентирует приватность по умолчанию и DPIA, а российский — ставит акцент на локализацию, меры ИБ и формализацию роли ответственного. Чтобы уверенно работать на обоих рынках, выстройте единый риск‑ориентированный процесс, синхронизируйте документы и регулярно обновляйте практики с учетом изменений законодательства.

Нужен быстрый старт без ошибок и лишних затрат времени Перейдите к готовым решениям и поддержке экспертов: Консалтинг и документы под ключ и Генератор политики и согласий.