GDPR в сравнении с 152-ФЗ. Полное сравнение систем защиты данных

GDPR и 152-ФЗ — два подхода защиты персональных данных. Но насколько они похожи? В этом руководстве мы сравним их по 10 основным параметрам: от определений и принципов до штрафов и трансграничной передачи. Вы узнаете, какой закон строже, где больше гибкости и что можно позаимствовать каждому из них для совершенствования.

В 2018 году GDPR произвел эффект разорвавшейся бомбы, заставив компании по всему миру переписывать свои политики. 152-ФЗ, действующий с 2006 года, к тому времени уже прошел долгий путь эволюции, но под влиянием европейского тренда также стал ужесточаться. Сегодня эти два регулятора существуют параллельно, и для компании, работающей с российскими и европейскими данными, соблюдение обоих — сложная, но выполнимая задача.

1. Философия и структура: два подхода к праву

GDPR — это Конституция защиты данных в Европейском Союзе. Он пытается предусмотреть всё. 152-ФЗ — это «скелет», который обрастает мясом через приказы ФСТЭК, ФСБ и Роскомнадзора. Отсюда главное различие: GDPR дает цели и принципы, а российское регулирование — конкретные технические требования.

2. Сфера действия: где и кого защищаем?

Территориальный принцип (экстерриториальность)

• GDPR (ст. 3): Распространяется на всех, кто обрабатывает данные резидентов ЕС, если обработка связана с предложением товаров/услуг или мониторингом их поведения. Не важно, где находится компания — в США, Китае или России. Если вы продаете европейцам, вы под GDPR.
• 152-ФЗ (ст. 1, ч. 1.1): Также имеет экстерриториальный принцип, но с упором на граждан РФ. Если иностранная компания обрабатывает данные россиян на основании договора или согласия, она обязана соблюдать 152-ФЗ.

Объект защиты

• GDPR: Защищает физических лиц (субъектов данных). Данные юридических лиц не подпадают под действие Регламента (п. 14).
• 152-ФЗ: Защищает физических лиц (субъектов ПДн). Данные юрлиц также не являются предметом регулирования, за исключением данных ИП, которые приравниваются к физлицам.

3. Базовые определения

4. Правовые основания обработки: можно и нельзя

Оба закона содержат закрытый перечень оснований.

• GDPR (ст. 6): Согласие, договор, юридическое обязательство, жизненно важные интересы, публичный интерес/официальные полномочия, законный интерес контролера.
• 152-ФЗ (ст. 6): Согласие, достижение целей, предусмотренных законом, исполнение судебных актов, исполнение договора, защита жизни и здоровья, законные интересы оператора (только для определенных сфер, например, возврат просроченной задолженности), журналистская/научная деятельность, статистика и др.

Основные различия

GDPR имеет мощнейшее основание — “законный интерес” (ст. 6(1)(f)). Это позволяет компаниям обрабатывать данные без согласия, если их интерес не перевешивает права субъекта (например, direct marketing, предотвращение мошенничества). Это дает огромную гибкость.

152-ФЗ использует “законные интересы оператора” как основание, но в очень урезанном виде (п. 7, ч. 1, ст. 6) и только в случаях, прямо предусмотренных законом (например, закон о коллекторах). Для обычного бизнеса это основание практически недоступно.

Где больше маневра? Безусловно, в GDPR. 152-ФЗ жестко привязывает обработку либо к согласию, либо к прямому указанию в другом федеральном законе.

5. Специальные категории и биометрия

Особенность 152-ФЗ: В последние годы появились жесткие требования к биометрии. С 2023 года компании обязаны использовать Единую биометрическую систему (ЕБС) для большинства операций с биометрией, если они хотят идентифицировать клиентов. GDPR таких требований к единой государственной системе не содержит, оставляя выбор технологии за бизнесом.

6. Права субъектов: у кого больше?

Базовый набор прав совпадает: право на доступ, исправление, удаление (право на забвение), ограничение обработки, возражение.

Но есть нюансы:

• Право на переносимость данных:
  • GDPR (ст. 20): Субъект имеет право получить свои данные в структурированном, машиночитаемом формате и передать их другому контролеру. Это активное право, стимулирующее конкуренцию.
  • 152-ФЗ: Такого права нет. Вы можете получить данные для ознакомления, но требовать их в формате для передачи конкуренту — нельзя.
• Право на забвение:
  • GDPR: Очень широкое. Обязывает контролера, обнародовавшего данные, уведомить других контролеров об удалении ссылок, копий.
  • 152-ФЗ: В России действует отдельный закон о “праве на забвение” в поисковиках (ФЗ-149), но сам 152-ФЗ гарантирует удаление данных при отзыве согласия или достижении целей обработки, но без механизма уведомления третьих лиц.

7. Трансграничная передача данных

Оба закона требуют, чтобы передача данных в страны с “недостаточным” уровнем защиты была особо обоснована.

Что лучше? Система GDPR гибче и прозрачнее. Она позволяет бизнесу самому разрабатывать механизмы защиты при передаче данных, используя одобренные шаблоны. Российская система более “разрешительная” (можем запретить) и бюрократизированная (уведомление на каждое направление).

8. Технические меры защиты: свобода или инструкция?

Это, пожалуй, самый контрастный раздел.

• GDPR (ст. 32): Требует принимать “соответствующие технические и организационные меры” с учетом уровня техники, стоимости и рисков. Что это за меры — решает сам контролер. Может использовать шифрование, а может иные способы. Главное — чтобы работало и можно было доказать (псевдонимизация рекомендуется, но не обязательна).
• 152-ФЗ (ст. 19): Требует принимать меры, установленные Правительством РФ, ФСТЭК и ФСБ. Существуют конкретные уровни защищенности (УЗ-1, УЗ-2, УЗ-3), для каждого из которых предписано, какие именно средства защиты (СЗИ) использовать, сертифицированные ли они, как их настраивать.

Сравнение подходов

9. Ответственность и штрафы: кто бьет больнее?

Оба закона предусматривают внушительные штрафы, но считаются они по-разному.

• GDPR (ст. 83):
  • До 20 млн евро или 4% от мирового годового оборота (берется большая сумма).
  • Штрафы применяются за сам факт нарушения.
• 152-ФЗ (ст. 24 КоАП РФ):
  • До 3 млн рублей для юрлиц за обычные нарушения (например, обработка без согласия).
  • За повторную утечку данных: для должностных лиц до 1 млн руб., для юрлиц — до 3 млн руб. (оборотные штрафы пока не введены, но обсуждаются).
  • С 2025 года действуют оборотные штрафы за утечки: от 1% до 3% годовой выручки, но не менее 20 млн и не более 500 млн рублей.

Сравнительная таблица штрафов (в рублях, по курсу)

10. Что можно позаимствовать друг у друга?

Оба закона не идеальны и могли бы улучшиться, переняв лучшее у соседа.

Что 152-ФЗ мог бы взять у GDPR:

1. Институт “законного интереса”. Это бы дало российскому бизнесу гибкость в обработке данных для прямого маркетинга, предотвращения мошенничества и аналитики, не собирая каждый раз согласия.
2. Право на переносимость данных. Это стимулировало бы конкуренцию и упростило бы для граждан смену банка, оператора связи и т.д.
3. Риск-ориентированный подход. Вместо жестких требований “для всех” (сертифицированные СЗИ для каждого ИП, собирающего email), перейти к модели, где требования зависят от объема и чувствительности данных.
4. Стандартные договорные условия (SCC) для трансграничной передачи. Это упростило бы жизнь компаниям, работающим с контрагентами в “серых” зонах, и снизило бы бюрократию.

Что GDPR мог бы взять у 152-ФЗ:

1. Конкретику в технических требованиях. Европейским компаниям часто не хватает четких инструкций. Российский опыт с уровнями защищенности и конкретными СЗИ мог бы быть полезен как рекомендательный стандарт.
2. Требование к локализации данных. Идея хранить данные граждан на территории страны может показаться излишней, но с точки зрения суверенитета и юрисдикции — это мощный инструмент. В ЕС этот вопрос также поднимается, но не на уровне жесткого требования для всех.
3. Четкое регулирование биометрии через единую систему. Хотя это спорный момент с точки зрения свободы выбора, для государства это инструмент контроля и стандартизации. ЕС пока идет по пути фрагментарного регулирования.

11. Резюме: что выбрать?

Выбор не стоит. Если ваша компания работает в обеих юрисдикциях, вы обязаны соблюдать оба закона.

Краткий чек-лист для международной компании:

• Определите, подпадаете ли вы под действие GDPR (есть ли у вас клиенты/пользователи в ЕС).
• Определите, подпадаете ли вы под действие 152-ФЗ (есть ли у вас клиенты/пользователи в РФ).
• Если “да” на оба вопроса, готовьтесь к самому строгому сценарию: вам нужно будет выполнять требования обоих законов одновременно.
• Приведите политики в соответствие с обоими требованиями. Это реально, так как базовые принципы совпадают.
• Для хранения данных граждан РФ используйте серверы на территории РФ (локализация).
• Для трансграничной передачи данных из ЕС подготовьте пакет документов по SCC.
• Постройте систему защиты информации, которая учитывает и риск-ориентированный подход GDPR, и технические требования ФСТЭК.

12. Полезные ссылки