152-ФЗ vs GDPR (2026)
Практическое сравнение российского и европейского регулирования обработки персональных данных. Для архитекторов, продуктовых менеджеров, юристов и compliance-офицеров. По состоянию на 2026-06.
TL;DR
152-ФЗ (РФ) — формально похож на GDPR по структуре, но строже в части локализации (первичный сбор ПДн граждан РФ должен происходить на серверах в РФ). GDPR (ЕС) — гибче в правовых основах (legitimate interest допустим), но жёстче в transparency, breach-notification (72ч) и штрафах. Для бизнеса, работающего на оба рынка — обычно проще удовлетворить GDPR + добавить локализацию для 152-ФЗ.
1. Правовые основы обработки
| Основание | 152-ФЗ РФ | GDPR ЕС |
|---|
| Согласие субъекта | да, ст. 6 п. 1 — определённое, информированное, сознательное | да, ст. 6(1)(a) — freely given, specific, informed, unambiguous |
| Исполнение договора | да, ст. 6 п. 5 | да, ст. 6(1)(b) |
| Legal obligation (по закону) | да, ст. 6 п. 2-4 | да, ст. 6(1)(c) |
| Vital interests (жизненно важные интересы) | да, ст. 6 п. 6 | да, ст. 6(1)(d) |
| Public interest / official authority | да, для государственных функций | да, ст. 6(1)(e) |
| Legitimate interest (законный интерес) | отсутствует нет | да, ст. 6(1)(f) — с balancing test есть |
Ключевое отличие: в 152-ФЗ нет legitimate interest как основания. Это означает, что многие use-case-ы, которые в ЕС оформляются через LIA (legitimate interest assessment) — например, реклама на основе поведения, fraud detection на чужих данных — в РФ требуют явного согласия или другого жёсткого основания.
2. Локализация данных
| Аспект | 152-ФЗ | GDPR |
|---|
| Первичный сбор | обязательная локализация в РФ (ст. 18 ч. 5, 242-ФЗ 2014) | нет ограничения на локацию первичного сбора |
| Хранение | обязательно в РФ + допускается копия за рубежом для определённых целей | в любой стране, обеспечивающей достаточный уровень защиты |
| Трансграничная передача | разрешена в страны с adequacy decision Роскомнадзора; в "недостаточно защищённые" — только с согласия | разрешена в страны с adequacy decision Еврокомиссии; иначе через SCC, BCR, иные гарантии |
| Adequacy для США | США в списке "недостаточно защищённых" требуется согласие | EU-US DPF (с 2023) adequate в рамках DPF |
| Cross-border AI training | требует консент + локализованной копии | возможно через SCC + Standard Data Protection Clauses |
3. Права субъектов
| Право | 152-ФЗ (раздел III) | GDPR (раздел III) |
|---|
| Право на информацию | да, ст. 14 | да, ст. 13-14 |
| Право на доступ (subject access request) | да, ст. 14 | да, ст. 15 — расширенный объём |
| Право на исправление | да, ст. 14, 21 | да, ст. 16 |
| Право на удаление / "право быть забытым" | да, ст. 21 | да, ст. 17 — более широкие основания |
| Право на ограничение обработки | отчасти (через прекращение) | да, ст. 18 — явно |
| Право на переносимость данных | отсутствует нет | да, ст. 20 есть |
| Право возражать против автоматизированных решений | да (с 2025 в части AI), ст. 16 | да, ст. 22 — широкое |
| Срок ответа на запрос | 30 дней с возможностью продления | 30 дней (90 в сложных случаях) |
4. AI-обработка (2025-2026 amendments)
Обе юрисдикции в 2024-2025 добавили AI-специфические требования.
| Требование | 152-ФЗ (2025) | GDPR + EU AI Act |
|---|
| Явное уведомление об AI-обработке | да, новая ст. 9.1 (с 2025-09) | да, ст. 22 GDPR + ст. 13 EU AI Act (high-risk) |
| Согласие на тренировку модели | требуется для тренировки на ПДн | требуется legal basis; GDPR DPIA обязателен для high-risk |
| Объяснимость решений | право на разъяснение (запрос к оператору) | "meaningful information about the logic" (ст. 22.3) |
| DPIA / AIA | оценка вреда обязательна для high-risk систем (приказ ФСТЭК 21) | DPIA ст. 35 + AIA ст. 9 EU AI Act для high-risk |
| Регистрация в реестре | в реестре операторов ПДн (Роскомнадзор) | в EU AI Act реестре high-risk систем (с 2026-08) |
5. Breach notification
| Аспект | 152-ФЗ | GDPR |
|---|
| Срок уведомления регулятора | 24 часа (с 2022) + 72 часа повторное подробное | 72 часа (ст. 33) |
| Уведомление субъектов | не позднее 24 часов с момента выявления | "без неоправданной задержки" если высокий риск (ст. 34) |
| Регулятор | Роскомнадзор | национальные DPA (ЦПУ) |
| Документация инцидентов | журнал инцидентов обязателен | журнал нарушений + DPIA |
6. Штрафы и санкции
| Нарушение | 152-ФЗ (КоАП ст. 13.11) | GDPR (ст. 83) |
|---|
| Базовое нарушение | до 700 000 ₽ (юр. лица) | до €10M или 2% global revenue (меньшая ставка) |
| Серьёзное нарушение (отсутствие согласия, локализации) | до 18M ₽ (с 2025, новые поправки) | до €20M или 4% global revenue (большая ставка) |
| Повторное нарушение | до 4% выручки (новинка 2025) | включено в основные потолки |
| Утечка ПДн (с указанием) | до 15M ₽ + до 3% выручки (242-ФЗ 2024) | учитывается как отягчающее |
2025-2026 тренд: 152-ФЗ исторически имел низкие штрафы по сравнению с GDPR, но поправки 2024-2025 годов значительно ужесточили шкалу. По крупным операторам разница в потенциальном штрафе уже не такая радикальная — оценивайте оба риска одинаково серьёзно.
7. Документация и обязательства оператора
| Артефакт | 152-ФЗ | GDPR |
|---|
| Политика обработки ПДн | обязательна, на сайте | privacy policy обязательна |
| Уведомление об обработке (Роскомнадзор) | обязательно | аналогом является DPA register |
| DPO / Ответственный за защиту ПДн | обязательно с 2022 для оп. данных категории ПДн+ | обязателен в случаях ст. 37 (high-risk) |
| DPIA | через приказ ФСТЭК 21 для ГИС | обязательна для high-risk processing (ст. 35) |
| Реестр обработки | обязательный с 2022 для всех операторов | обязательный (ст. 30) для всех > 250 сотрудников |
8. Sectoral overlays
Оба закона дополняются sector-specific требованиями.
| Сектор | 152-ФЗ overlay | GDPR overlay |
|---|
| Медицина | Закон №323-ФЗ "Об охране здоровья граждан" + врачебная тайна | Health Data Recital 35 + HIPAA-style гарантии (страны-члены) |
| Финансы | 3-И ЦБ РФ + банковская тайна | PSD2 + GDPR + EBA guidelines |
| КИИ (critical infrastructure) | 187-ФЗ + ФСТЭК | NIS 2 Directive |
| Образование | 273-ФЗ "Об образовании" + 152-ФЗ | национальные education-законы + GDPR |
Decision rule
- Работаете только в РФ — фокус на 152-ФЗ. Особое внимание: локализация (первичный сбор), уведомление Роскомнадзора, DPO, breach notification 24ч + 72ч.
- Работаете только в ЕС / на ЕС-клиентов — фокус на GDPR. Особое внимание: legitimate interest assessment, DPIA для high-risk, EU-US DPF при работе с США.
- Работаете на оба рынка — практичный путь: построить compliance-уровень по GDPR (более широкий по правам субъектов) и добавить локализацию + российские sectoral overlays. Один документ DPA с расширенными разделами для обеих юрисдикций.
- Делаете AI-продукт на ПДн — оба закона требуют explicit notice + согласие. План: separate consent для AI обучения, DPIA per system, документация обработки, объяснимость решений.
- Не уверены, под чей закон попадаете — критерий: location субъекта данных (не вашей компании). Если хоть один пользователь — гражданин РФ → 152-ФЗ. Если хоть один — резидент ЕС → GDPR. Часто применяются оба.
SLAtech помогает построить compliance-baseline под 152-ФЗ + GDPR одновременно: 152-ФЗ чек-лист · EU AI Act чек-лист · Связаться для аудита ›