GDPR и 152-ФЗ: в чём отличия
Если ваш бизнес работает с аудиторией из Европы и России, вам нужно соблюдать оба закона: европейский GDPR (General Data Protection Regulation) и российский 152-ФЗ «О персональных данных». Эти нормативные акты преследуют одну цель - защиту прав граждан при обработке их персональных данных, но подходят к этому по-разному. Разберём ключевые отличия и дадим практические рекомендации.
Общий обзор
GDPR
General Data Protection Regulation вступил в силу 25 мая 2018 года. Это регламент Европейского союза, который действует напрямую во всех странах ЕС, а также в Исландии, Лихтенштейне и Норвегии (ЕЭЗ). GDPR применяется к любой организации в мире, которая обрабатывает данные резидентов ЕС.
152-ФЗ
Федеральный закон № 152-ФЗ «О персональных данных» действует с 27 июля 2006 года (неоднократно дополнялся). Регулирует обработку персональных данных на территории Российской Федерации. Применяется к любым операторам, обрабатывающим данные российских граждан.
Подробное сравнение
Территориальное действие
| Аспект | GDPR | 152-ФЗ |
|---|---|---|
| Территория действия | Весь мир (если обрабатываются данные резидентов ЕС) | Россия (если обрабатываются данные российских граждан) |
| Экстерриториальность | Да, распространяется на компании за пределами ЕС | Да, требует локализации баз данных в РФ |
| Локализация данных | Ограничения на трансграничную передачу, но без обязательной локализации | Обязательное хранение баз данных на территории РФ |
Определение персональных данных
GDPR использует более широкое определение. Сравним подходы:
GDPR определяет персональные данные как:
- Любую информацию, относящуюся к идентифицированному или идентифицируемому физическому лицу
- Явно включает: онлайн-идентификаторы, данные о местоположении, cookies, IP-адреса
- Выделяет «особые категории данных» (sensitive data): расовое происхождение, политические взгляды, религия, здоровье, биометрия, сексуальная ориентация
152-ФЗ определяет персональные данные как:
- Любую информацию, относящуюся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПД)
- Не содержит исчерпывающего перечня
- Выделяет специальные категории: расовая принадлежность, национальность, политические взгляды, религия, здоровье, интимная жизнь
- Отдельно выделяет биометрические данные
Правовые основания обработки
| Основание | GDPR | 152-ФЗ |
|---|---|---|
| Согласие субъекта | Да | Да |
| Исполнение договора | Да | Да |
| Юридическая обязанность | Да | Да |
| Жизненно важные интересы | Да | Да (угроза жизни и здоровью) |
| Публичные интересы | Да | Да (государственные и муниципальные полномочия) |
| Законный интерес | Да (с балансировкой интересов) | Нет прямого аналога |
Ключевое отличие: GDPR признаёт «законный интерес» (legitimate interest) как самостоятельное основание обработки. В 152-ФЗ такого основания нет, что на практике делает согласие более значимым инструментом.
Требования к согласию
GDPR:
- Свободное, конкретное, информированное и однозначное
- Может быть отозвано так же легко, как было дано
- Молчание или предзаполненные чекбоксы не являются согласием
- Для детей до 16 лет (в некоторых странах ЕС - до 13) требуется согласие родителей
152-ФЗ:
- Конкретное, информированное и сознательное
- Может быть отозвано субъектом в любой момент
- Для определённых случаев требуется письменная форма (бумажная или электронная с ЭП)
- Обработка ПД несовершеннолетних - с согласия законного представителя
Права субъектов данных
| Право | GDPR | 152-ФЗ |
|---|---|---|
| Право на доступ | Да | Да |
| Право на исправление | Да | Да (уточнение) |
| Право на удаление («право быть забытым») | Да (с исключениями) | Да (блокирование и уничтожение) |
| Право на ограничение обработки | Да | Частично (блокирование) |
| Право на переносимость данных | Да | Нет |
| Право на возражение | Да | Да (отзыв согласия) |
| Право не подчиняться автоматизированному решению | Да | Нет прямого аналога |
Право на переносимость данных (data portability) - одно из ключевых нововведений GDPR, которого нет в 152-ФЗ. Оно позволяет пользователю получить свои данные в машиночитаемом формате и передать другому оператору.
Уведомление об утечках
GDPR:
- Уведомление надзорного органа: в течение 72 часов
- Уведомление субъектов данных: «без неоправданной задержки» при высоком риске
- Документирование всех утечек, даже если уведомление не требуется
152-ФЗ:
- Уведомление Роскомнадзора: в течение 24 часов с момента обнаружения
- Уведомление о результатах расследования: в течение 72 часов
- Также необходимо уведомить ГосСОПКА (НКЦКИ)
Российский закон в этой части даже строже: срок уведомления регулятора - 24 часа вместо 72.
Ответственный за обработку данных
GDPR:
- DPO (Data Protection Officer) обязателен для: государственных органов, компаний с систематическим масштабным мониторингом, компаний, обрабатывающих особые категории данных в большом масштабе
- DPO может быть внешним
152-ФЗ:
- Назначение ответственного за организацию обработки ПД обязательно для всех операторов
- Не требуется специальная квалификация (в отличие от DPO в GDPR)
Штрафы и санкции
| Критерий | GDPR | 152-ФЗ |
|---|---|---|
| Максимальный штраф | 20 000 000 € или 4% годового оборота | до 18 000 000 ₽ (с тенденцией к увеличению) |
| Принцип расчёта | Пропорционально обороту компании | Фиксированные суммы по статьям КоАП |
| Другие санкции | Запрет на обработку данных | Блокировка сайта, приостановка деятельности |
Штрафы по GDPR существенно выше. Крупнейшие штрафы исчисляются сотнями миллионов евро (Amazon - 746 млн €, Meta - 1,2 млрд €). Российские штрафы значительно ниже, но постоянно растут.
Трансграничная передача данных
GDPR:
- Свободная передача внутри ЕЭЗ
- За пределы ЕЭЗ - при наличии решения об адекватности, стандартных контрактных оговорок (SCC) или обязательных корпоративных правил (BCR)
- Россия не признана страной с адекватным уровнем защиты
152-ФЗ:
- Трансграничная передача допускается в страны, обеспечивающие адекватную защиту (список определяет Роскомнадзор)
- В иные страны - при наличии согласия субъекта или других оснований
- Первичный сбор данных российских граждан обязательно на территории РФ (локализация)
Что делать, если нужно соблюдать оба закона
Если ваш бизнес работает и с российскими, и с европейскими пользователями:
-
Определите аудиторию. Если сайт доступен пользователям из ЕС и вы целенаправленно работаете с ними (язык, валюта, маркетинг), GDPR на вас распространяется.
-
Создайте два набора документов. Политика конфиденциальности для российской аудитории (по 152-ФЗ) и Privacy Policy для европейской (по GDPR). Или единый документ, покрывающий оба закона.
-
Обеспечьте локализацию данных. Базы данных российских граждан храните в РФ. Для европейских пользователей обеспечьте соответствие требованиям GDPR к трансграничной передаче.
-
Настройте механизм согласий. GDPR требует более строгого подхода к согласиям (opt-in, а не opt-out). Ориентируйтесь на более строгие требования.
-
Обеспечьте реализацию прав. Создайте процедуру обработки запросов субъектов данных, включая право на переносимость (для GDPR) и право на удаление.
Практические рекомендации
- Если работаете только с российскими пользователями, сосредоточьтесь на 152-ФЗ
- Если ваш сайт посещают пользователи из ЕС, но вы не целенаправленно работаете на этот рынок, GDPR скорее всего не применяется
- Если вы активно привлекаете клиентов из ЕС, соблюдайте оба закона, ориентируясь на более строгие требования
- Следите за изменениями: оба закона регулярно обновляются
Начните с документов
Вне зависимости от того, какой закон вы обязаны соблюдать, всё начинается с качественных юридических документов. Генератор документов Порядок поможет создать политику конфиденциальности, соответствующую требованиям 152-ФЗ, за несколько минут. Документы адаптируются под специфику вашего бизнеса, учитывают категории обрабатываемых данных и включают все обязательные разделы. Защитите свой бизнес и данные ваших пользователей уже сегодня.