аналитика 14 октября 2026 По состоянию на 14 октября 2026

152-ФЗ vs GDPR: ключевые отличия

152-ФЗ и GDPR регулируют обработку персональных данных, но строятся на разных принципах, предполагают разные правовые основания и устанавливают разные санкции.

Компании, работающие с данными граждан РФ и ЕС одновременно, обязаны соблюдать оба регламента. Разрыв в подходах создаёт точки конфликта: то, что допустимо по одному закону, нарушает другой.

Если вы юрист и сопровождаете бизнес с международным присутствием — эта статья даёт структурированное сравнение норм, правовых оснований и санкций для практической работы. →

Российские компании, работающие с европейскими партнёрами, клиентами или платформами, сталкиваются с двойной регуляторной нагрузкой. 152-ФЗ требует локализации, уведомления Роскомнадзора и отдельных согласий. GDPR строится на балансе интересов, принципе подотчётности и праве на переносимость данных. Знать, где нормы пересекаются, а где расходятся — необходимо для корректного выстраивания комплаенс-программы и подготовки внутренней документации.

Чем 152-ФЗ и GDPR отличаются по структуре и сфере применения?

152-ФЗ распространяется на операторов, обрабатывающих персональные данные граждан России на территории РФ. GDPR применяется к любому оператору, обрабатывающему данные лиц, находящихся в ЕС, вне зависимости от того, где сам оператор зарегистрирован. Это принципиальное различие: российский закон следует территориальному принципу регистрации оператора, европейский — принципу местонахождения субъекта.

По объёму регулируемых субъектов 152-ФЗ охватывает операторов — юридических лиц, физических лиц, государственные органы. GDPR разграничивает контролёра (controller) и обработчика (processor), устанавливая прямые обязательства для обоих. В 152-ФЗ аналогичная конструкция — оператор и лицо, осуществляющее обработку по поручению (ст. 6 ч. 3), — менее детализирована: требования к договору поручения прописаны значительно скромнее.

«Ст. 3 ФЗ-152 — оператор: государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и/или осуществляющие обработку персональных данных.»

GDPR вводит понятие совместных контролёров (joint controllers) с обязательным соглашением об ответственности между ними. 152-ФЗ такой конструкции не предусматривает, что создаёт правовую неопределённость при совместной обработке данных несколькими российскими операторами.

Какие правовые основания обработки ПДн предусмотрены в каждом законе?

Ст. 6 ФЗ-152 называет 11 оснований обработки персональных данных. Первое и базовое — согласие субъекта. Помимо него закон допускает обработку в целях исполнения договора (п. 5), исполнения обязанности оператора (п. 2), защиты жизни и здоровья (п. 4), в статистических и исследовательских целях (п. 7) и ряде иных случаев.

GDPR закрепляет 6 оснований в ст. 6: согласие, исполнение договора, выполнение юридического обязательства, защита жизненно важных интересов, выполнение задачи в общественных интересах и законный интерес контролёра (legitimate interest). Последнее основание — ключевое отличие: GDPR допускает обработку без согласия, если интерес оператора обоснован и не противоречит интересам субъекта. 152-ФЗ аналогичной универсальной конструкции не содержит.

«Ст. 6 ФЗ-152 — обработка персональных данных допускается в 11 случаях, включая согласие субъекта, исполнение договора, исполнение обязанности оператора.»

Практическое следствие: маркетинговая рассылка существующим клиентам в ЕС может основываться на legitimate interest при соблюдении баланс-теста. В России та же рассылка по 152-ФЗ требует явного согласия субъекта по ст. 9, если иное основание не применимо. Несоблюдение этого различия при разработке единой политики для двух юрисдикций — типовая ошибка.

Разрабатываете единую политику для РФ и ЕС?

Политика конфиденциальности, написанная «под GDPR», не закрывает требования 152-ФЗ. Различия в основаниях обработки, перечне обязательных разделов и локализации данных создают конкретные правовые риски. Аудит DATUM по чек-листу из 38 пунктов выявит разрывы и позволит устранить их до проверки РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как различаются требования к согласию субъекта?

Ст. 9 ФЗ-152 содержит закрытый перечень обязательных реквизитов согласия: ФИО субъекта, контактные данные, наименование оператора, цель, перечень персональных данных, перечень действий, срок и порядок отзыва. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) — его нельзя встраивать в договор, оферту или политику конфиденциальности. Согласия, полученные до 01.09.2025 в составе иных документов, обратной силой не затрагиваются, но при перезаключении договоров переоформление обязательно.

GDPR предъявляет к согласию схожие, но иначе сформулированные требования: оно должно быть свободным, конкретным, информированным и однозначным. GDPR допускает согласие в виде флажка на сайте или иного явного действия; отдельный документ не требуется. При этом бремя доказывания факта согласия лежит на операторе — это общее правило для обоих режимов.

Ключевое расхождение: GDPR разрешает согласие путём конклюдентных действий при наличии чёткого информирования. 152-ФЗ для письменного согласия (в случаях, когда оно требуется в письменной форме, — ст. 9 ч. 4) устанавливает строгие формальные требования. Отсутствие письменного согласия там, где оно обязательно, влечёт ответственность по ч. 2 ст. 13.11 КоАП — штраф для юридического лица 300 000–700 000 рублей.

Что проверить в согласиях при двойном комплаенсе

Согласие на обработку ПДн оформлено отдельным документом (требование 152-ФЗ с 01.09.2025 по ФЗ-156).
В документе указаны все реквизиты ст. 9 ФЗ-152: цель, перечень ПДн, действия, срок, порядок отзыва.
Для европейской аудитории предусмотрен механизм отзыва согласия, столь же простой, как его предоставление (требование GDPR ст. 7(3)).
Согласие на распространение ПДн оформлено отдельно от основного — по ст. 10.1 ФЗ-152.
Для специальных категорий ПДн (ст. 10 ФЗ-152 / ст. 9 GDPR) согласие получено в явной письменной форме с указанием конкретной цели.

Как два закона трактуют принципы обработки персональных данных?

Ст. 5 ФЗ-152 называет 7 принципов: законность и справедливость, обработка только в конкретных и заранее определённых целях, недопустимость объединения баз с несовместимыми целями, соответствие объёма ПДн целям, точность и достаточность данных, хранение не дольше необходимого, уничтожение или обезличивание при достижении целей.

GDPR в ст. 5 закрепляет 6 принципов с иными формулировками: законность, справедливость и прозрачность (lawfulness, fairness, transparency); ограничение цели; минимизация данных (data minimisation); точность; ограничение хранения; целостность и конфиденциальность. Плюс отдельный принцип подотчётности (accountability): оператор не только обязан соблюдать принципы, но и способен это доказать.

Принцип подотчётности — структурное отличие GDPR от 152-ФЗ. Он предполагает ведение записей о деятельности по обработке (Records of Processing Activities, RoPA), проведение оценки воздействия (DPIA), назначение DPO в установленных случаях. Российский закон содержит аналоги: ст. 18.1 обязывает оператора принимать меры по обеспечению соответствия, а ст. 22.1 — назначить ответственное лицо. Но требование документирования в 152-ФЗ менее формализовано, чем RoPA в GDPR.

Где расходятся нормы об отдельных правах субъектов?

Оба закона закрепляют за субъектом право на доступ к своим данным, их уточнение, блокирование и уничтожение. Однако детализация и сроки различаются. По ст. 20 ФЗ-152 оператор отвечает на запрос субъекта в течение 10 рабочих дней с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. GDPR отводит контролёру один календарный месяц с возможностью продления до трёх месяцев при уведомлении субъекта о причинах задержки.

Право на переносимость данных (data portability) — исключительно GDPR, ст. 20. 152-ФЗ аналога не содержит. Право на забвение (right to erasure) в GDPR предусмотрено ст. 17 с шестью основаниями удаления. В 152-ФЗ право на уничтожение ПДн регулируется ст. 21, перечень оснований уже и менее детализирован.

Право возражать против автоматизированных решений закреплено в GDPR ст. 22. В 152-ФЗ близкая норма — ст. 16, запрещающая принятие решений на основе исключительно автоматизированной обработки, если это порождает правовые последствия. Формулировки схожи, но GDPR детально регулирует исключения и гарантии, 152-ФЗ — нет.

Если юрист составляет пакет ОРД для компании с европейскими клиентами — требования 152-ФЗ и GDPR нужно учесть в одном документе. Комплект ОРД DATUM охватывает 38 документов под российское право и включает адаптацию для трансграничных операторов. Срок — от 5 рабочих дней.

Собрать ОРД под ключ

Как соотносятся санкции за нарушения в двух режимах?

GDPR устанавливает два уровня штрафов: до 10 млн евро или 2% годового оборота — за менее серьёзные нарушения; до 20 млн евро или 4% годового оборота — за нарушения базовых принципов, оснований обработки и прав субъектов. Применяется наибольшая из двух сумм.

152-ФЗ с 30.05.2025 предусматривает 18 составов по ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024). Базовые штрафы — от 30 000 до 700 000 рублей за типовые нарушения. Штраф за утечку от 1 000 до 10 000 субъектов по ч. 12 — 3–5 млн рублей; за утечку более 100 000 субъектов по ч. 14 — 10–15 млн рублей. Оборотный штраф по ч. 15 при повторной утечке — 1–3% совокупной годовой выручки, не менее 20 млн рублей, не более 500 млн рублей.

«Ст. 13.11 ч. 15 КоАП (в ред. с 30.05.2025) — оборотный штраф за повторную утечку: 1–3% совокупной годовой выручки за предшествующий год, не менее 20 млн ₽, не более 500 млн ₽.»

Дополнительное отличие: в России с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ за незаконные использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Максимальная санкция по ч. 5 — лишение свободы до 10 лет при наступлении тяжких последствий. GDPR уголовной ответственности не предусматривает, оставляя это на усмотрение государств-членов ЕС.

Как это применяется на практике

Кейс 1. Юридический советник IT-компании (Центральный ФО, осень 2025) готовил политику конфиденциальности единую — для пользователей из России и ЕС. В политике было одно согласие с перечнем ПДн. При проверке РКН выявил, что документ не является отдельным в смысле ст. 9 ФЗ-152 (в ред. с 01.09.2025), а согласие на распространение данных не выделено. Компании предъявили протокол по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица по этой части — 300 000–700 000 рублей. Переработка документации заняла три недели; протокол оспорили, сославшись на исправление нарушения до вынесения постановления.

Кейс 2. В деле компании из сферы e-commerce (Северо-Западный ФО, начало 2026) DPO-аутсорсер при проверке обнаружил, что маркетинговые рассылки европейским подписчикам проводились на основании «согласия», встроенного в форму регистрации без возможности отдельного отказа. Одновременно аналогичные рассылки российским пользователям не имели отдельного согласия по ст. 9 ФЗ-152. Регуляторы двух юрисдикций получили жалобы от пользователей. Компания была вынуждена разделить базы, пересобрать форму согласия и переоформить договор с подрядчиком рассылок как поручение обработки по ст. 6 ч. 3 ФЗ-152. Стоимость устранения — в несколько раз выше, чем превентивный аудит.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — чек-лист 38 пунктов, отчёт с планом устранения
Комплект ОРД под ключ — политика, согласия, приказы, регламенты
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Ст. 3 ФЗ-152 определяет обработку как любое действие с персональными данными: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование, удаление, уничтожение. Перечень открытый. Даже простое хранение базы данных с ФИО сотрудников — обработка персональных данных, требующая соблюдения 152-ФЗ в полном объёме.

2. На основании чего можно обрабатывать ПДн?

Ст. 6 ФЗ-152 называет 11 оснований. Наиболее распространённые для бизнеса: согласие субъекта (п. 1), исполнение договора, стороной которого является субъект (п. 5), и исполнение обязанностей оператора по законодательству РФ (п. 2). В отличие от GDPR, в 152-ФЗ нет универсального основания «законный интерес» — его отсутствие нужно учитывать при разработке правовой базы для маркетинговых активностей.

3. Что грозит за нарушение 152-ФЗ?

Административная ответственность по ст. 13.11 КоАП в редакции с 30.05.2025 — от 30 000 до 700 000 рублей за типовые нарушения, до 15 млн рублей за утечку более 100 000 субъектов (ч. 14), оборотный штраф 1–3% выручки (не менее 20 млн рублей) при повторной утечке (ч. 15). С 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ — до 10 лет лишения свободы за незаконные действия с ПДн в компьютерных системах при тяжких последствиях.

4. Нужно ли уведомлять РКН малому бизнесу?

По общему правилу ст. 22 ФЗ-152 оператор уведомляет РКН о намерении обрабатывать персональные данные до начала обработки. Исключения закреплены в ч. 2 ст. 22: в частности, обработка ПДн работников в кадровых целях или обработка ПДн для заключения и исполнения договора с субъектом без передачи третьим лицам. Если деятельность компании выходит за рамки этих исключений — уведомление обязательно независимо от размера бизнеса. Неуведомление с 30.05.2025 влечёт штраф 100 000–300 000 рублей по ч. 10 ст. 13.11 КоАП.

5. С какого возраста нужно согласие на ПДн?

152-ФЗ не устанавливает прямого возрастного порога для дееспособности при даче согласия на обработку ПДн. По общим нормам ГК РФ полная дееспособность наступает с 18 лет; ограниченная — с 14. Согласие несовершеннолетнего до 14 лет даёт законный представитель. GDPR в ст. 8 прямо устанавливает 16 лет для онлайн-сервисов (государства-члены могут снизить до 13). Это различие критично для EdTech и детских платформ, работающих в обеих юрисдикциях.

Итог

152-ФЗ и GDPR решают схожие задачи, но разными инструментами. Российский закон строится на уведомительной модели, формальных требованиях к согласию и локализации. GDPR — на принципе подотчётности, балансе интересов и широких правах субъекта. Для компаний с двойным присутствием минимально достаточная программа комплаенса должна закрывать требования обоих режимов: отдельные согласия по 152-ФЗ, RoPA и DPIA по GDPR, локализация баз в России и уведомление РКН о трансграничной передаче.

Практика DATUM по 152-ФЗ включает аудит операторов с международным присутствием, подготовку пакетов ОРД с учётом требований к трансграничной передаче и сопровождение взаимодействия с Роскомнадзором.

КЗ

Кирилл Захаров

Партнёр · Цифровые продукты

Партнёр практики DATUM по цифровым продуктам и e-commerce. Специализация — cookies, согласия в SaaS и интернет-магазинах, трансграничные сервисы аналитики, политики конфиденциальности для маркетплейсов.

14 октября 2026 года