GDPR и российское законодательство: как работать с иностранными клиентами и не получить штраф в Европе и РФ

Q: GDPR и российское законодательство: как работать с иностранными клиентами и не получить штраф в Европе и РФ

Сравнительный анализ требований GDPR и ФЗ-152 о персональных данных для российского бизнеса, работающего с иностранными клиентами. Локализация данных россиян, правила трансграничной передачи, работа с согласиями, штрафы 2025-2026 годов и пошаговая стратегия комплаенса. Инструкция для экспортёров, онлайн-школ, SaaS-проектов и всех, кто работает с клиентами из РФ и ЕС.

15 мая 2026

13 минут

Вы запускаете онлайн-школу, куда записываются студенты из Германии. Или SaaS-сервис, которым пользуются клиенты из Франции. Или интернет-магазин, который отправляет товары в страны Балтии. Поздравляю: теперь вы подпадаете под действие GDPR (General Data Protection Regulation) — регламента ЕС, который считается самым строгим законом о данных в мире. И параллельно вы обязаны соблюдать российский ФЗ-152 «О персональных данных».

Проблема в том, что требования двух систем противоречат друг другу. GDPR требует хранить данные там, где удобно бизнесу, а 152-ФЗ — на серверах в России. GDPR требует назначить ответственного за защиту данных (DPO) при массовой обработке, а в РФ эта практика пока не устоялась. Как совместить? Как не получить штраф до 4% годового оборота в Европе и до 500 млн рублей в России? Разбираем пошагово.

Из этой статьи вы узнаете:

✅ Когда российский бизнес обязан соблюдать GDPR (и можно ли этого избежать)
✅ Новые требования 152-ФЗ с 2025 года: локализация баз, оборотные штрафы, уведомления о трансграничной передаче
✅ Главные противоречия между российским и европейским законодательством — и как их обойти
✅ Пошаговый план настройки комплаенса для работы с клиентами из РФ и ЕС
✅ Что делать при утечке данных: алгоритм для двух регуляторов

Часть 1. Когда российский бизнес обязан соблюдать GDPR

Многие предприниматели ошибочно полагают, что GDPR касается только европейских компаний. Это не так. Регламент имеет экстерриториальное действие (статья 3 GDPR): он применяется ко всем, кто обрабатывает данные граждан ЕС, независимо от местонахождения компании .

Три критерия попадания под GDPR

Вы обязаны соблюдать GDPR, если:

Вы предлагаете товары или услуги резидентам ЕС (например, сайт с ценами в евро, доставка в Европу, поддержка на европейских языках).
Вы отслеживаете поведение пользователей в ЕС (используете cookies, аналитику, онлайн-трекинг, геолокацию).
У вас есть хотя бы один клиент или контрагент — гражданин ЕС, чьи данные вы обрабатываете (включая email для рассылок, резюме, платёжные данные) .

Пример из практики: Российская онлайн-школа проводила вебинары для студентов из Германии. Сайт был на русском, но были кнопки оплаты в евро и поддержка на английском. Суд ЕС признал, что школа «предлагает услуги» резидентам ЕС, и применил GDPR. Школа получила предупреждение от регулятора и была вынуждена перестраивать всю систему обработки данных .

⚠️ Важно: Наличие сайта на русском языке НЕ освобождает от GDPR, если вы целенаправленно работаете с европейской аудиторией. Ключевой критерий — «предложение услуг»: цены в евро, поддержка на английском, доменная зона .eu, реклама, таргетированная на ЕС.

Часть 2. Ключевые требования ФЗ-152 (особенно изменения 2025–2026 годов)

Российское законодательство о персональных данных постоянно ужесточается. В 2025–2026 годах вступили в силу несколько важных изменений, которые напрямую касаются работы с иностранными клиентами.

2.1. Локализация данных граждан РФ (статья 18 ФЗ-152)

Что изменилось с 1 июля 2025 года:

При сборе персональных данных граждан РФ через интернет их запись, систематизация, накопление, хранение и извлечение должны осуществляться с использованием баз данных, находящихся на территории России .
Уточнение (обновление, изменение) и хранение данных граждан РФ, включая их копии, также должны производиться с использованием российских баз данных .
Это требование не распространяется на случаи, предусмотренные пунктами 2, 3, 4, 8 части 1 статьи 6 ФЗ-152 (например, исполнение договора, защита жизни и здоровья, обработка общедоступных данных) .

Что это значит на практике: Если вы собираете данные россиян через формы на сайте, подписки, заказы — физически база данных (БД) должна находиться на сервере в РФ. Даже если ваш сервер находится в Европе, а данные россиян «пролетают» через него транзитом — формально нарушение.

💡 Решение: Используйте российский хостинг (Beget, Timeweb, Ru-Center, VK Cloud) или облачную БД на территории РФ. Если работаете с зарубежными провайдерами (AWS, Google Cloud) — проверьте, есть ли у них российский регион данных.

2.2. Оборотные штрафы за утечку данных (с конца 2024 года)

В ноябре 2024 года подписан закон об оборотных штрафах за утечки персональных данных . Это кардинально меняет риски для бизнеса:

Масштаб утечки	Штраф для юрлиц (по ст. 13.11 КоАП РФ)
Утечка ПД менее 1000 субъектов (или 10 000 ID)*	150 000 – 500 000 ₽ (при повторной — 300 000 – 500 000 ₽)
Утечка ПД 1000 – 10 000 субъектов	3 – 5 млн ₽
Утечка ПД 10 000 – 100 000 субъектов	5 – 10 млн ₽
Утечка ПД более 100 000 субъектов	10 – 15 млн ₽
Утечка ПД специальных категорий (раса, религия, здоровье, биометрия)	10 – 20 млн ₽
Повторная утечка биометрии или спецкатегорий ПД	1 – 3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽

* ID — уникальное обозначение сведений о физическом лице .

Важно: Штрафы по новым частям (12–18) не дают 50-процентной скидки за раннюю оплату. Для повторных нарушений с биометрией и спецкатегориями — оборотные штрафы, от которых сложно защититься даже крупному бизнесу .

Что делать: Внедрите защиту от утечек заранее. Штрафы — это последствие. Гораздо страшнее репутационные потери и потеря клиентов. Законы ужесточились, и Роскомнадзор теперь может штрафовать на суммы, сопоставимые с годовым бюджетом компании.

2.3. Новые требования к трансграничной передаче (с 2025–2026)

С 2025 года использование отдельных метрических программ, таких как Google Analytics, если их функционал предполагает обработку персональных данных, считается трансграничной передачей .

Что теперь обязательно при передаче данных в страны без адекватного уровня защиты (включая большинство стран ЕС):

Подать уведомление в Роскомнадзор о намерении осуществлять трансграничную передачу — до начала такой деятельности .
Получить письменное согласие субъекта на трансграничную передачу (с указанием стран и целей) .
Для специальных категорий ПД (биометрия, состояние здоровья) — согласие исключительно в письменной форме .

Форма уведомления доступна на Портале персональных данных Роскомнадзора: https://pd.rkn.gov.ru/cross-border-transmission/form2/ .

Часть 3. Где GDPR и 152-ФЗ «враждуют»: как разрешить конфликты

Основная проблема для российского бизнеса — одновременное соблюдение двух систем с противоположными требованиями . Вот главные противоречия и способы их обхода.

Конфликт №1. Локализация данных россиян (152-ФЗ) vs. свободное хранение в ЕС (GDPR)

152-ФЗ: Данные россиян — только на серверах в РФ.
GDPR: Не запрещает хранение в других странах, но требует адекватного уровня защиты.

Решение: Используйте гибридную схему хранения :

Данные граждан РФ хранятся на физических серверах в РФ (арендованных у российского хостинг-провайдера).
Данные граждан ЕС могут храниться в ЕС или любой другой стране, соответствующей GDPR (например, с использованием SCC — стандартных договорных клаузул).
При передаче данных из РФ в ЕС — заполняйте уведомление в Роскомнадзор и получайте согласие субъекта.

Конфликт №2. Согласие на обработку (ФЗ-152 vs. GDPR)

GDPR: Требует «явного» (explicit) согласия — чекбокс без предустановленной галочки, чёткое описание целей, возможность отозвать согласие так же легко, как и дать .

152-ФЗ: Допускает «конклюдентные действия» (например, проставление галочки в форме «Я принимаю условия оферты») и не требует отдельного чекбокса для каждой цели.

Решение: Создайте «единый шаблон с двойной формой согласия» :

Отдельный чекбокс для россиян (по 152-ФЗ) и отдельный — для граждан ЕС (по GDPR).
Для граждан ЕС — обязательно чекбокс НЕ предустановлен, текст ссылается на конкретные цели обработки, есть отдельная кнопка «Отозвать согласие».
Ведите журнал согласий (кто, когда, какая версия документа).

Конфликт №3. Data Protection Officer (DPO) по GDPR vs. необязательность в РФ

GDPR: Если вы массово обрабатываете данные граждан ЕС или обрабатываете спецкатегории (здоровье, биометрия), вы обязаны назначить DPO .

152-ФЗ: Не требует отдельной роли «офицера по защите данных» (хотя ответственность возлагается на оператора).

Решение: Вы можете назначить одного человека (или компанию) DPO для соответствия GDPR. Это может быть ваш штатный специалист по ИБ или внешний консультант. Главное — его контакты должны быть указаны в Privacy Policy и доступны для субъектов данных .

Конфликт №4. Уведомление об утечке (72 часа по GDPR vs. неопределённый срок по РФ)

GDPR: Требует уведомить регулятора в течение 72 часов после обнаружения утечки .
152-ФЗ (новая редакция): Требует уведомить Роскомнадзор «без промедления», но чёткого срока в 72 часа пока нет (хотя правоприменительная практика стремится к такому же сроку).

Решение: Разработайте единый план реагирования на инциденты для обоих регуляторов :

Оповещение Роскомнадзора: по форме на сайте ведомства.
Оповещение европейского регулятора (DPA — Data Protection Authority) в стране, где зарегистрирован ваш представитель в ЕС, или в главной стране нахождения субъектов утечки.
Если утечка коснулась граждан ЕС — обязательно уведомление в течение 72 часов. За опоздание — дополнительные штрафы.

Часть 4. Пошаговая стратегия комплаенса для работы с РФ и ЕС

Шаг 1. Аудит данных: кто вы и какие данные собираете

Первым делом проведите аудит :

Выделите все записи иностранных граждан (по гражданству, по IP, по месту жительства). Если есть хотя бы один гражданин ЕС — вы подпадаете под GDPR.
Определите, какие категории данных собираете: обычные (имя, email), специальные (здоровье, биометрия), платёжные, cookie и т.д.
Узнайте, где хранятся данные: на каких серверах, у каких хостинг-провайдеров, в каких странах.

Для аудита можно использовать специальные программы или обратиться к юристам, специализирующимся на GDPR и 152-ФЗ.

Шаг 2. Выбор инфраструктуры: гибридное хранение данных

Для данных граждан РФ: серверы в РФ (Beget, Timeweb, Ru-Center, VK Cloud, Yandex Cloud). Арендуйте физические серверы или облачные БД с гарантией локализации.
Для данных граждан ЕС: можно использовать европейские облака (AWS Frankfurt, Google Cloud Frankfurt, Hetzner, OVH) или те же российские серверы с дополнительными соглашениями. Но GDPR не запрещает хранение в РФ, если вы обеспечиваете адекватный уровень защиты (например, SCC).
Если работаете с обоими потоками: Настройте разные очереди данных, чтобы не смешивать. Можно использовать одно физическое расположение (например, сервер в РФ), но с чётким разделением прав доступа и шифрованием.

Шаг 3. Юридическая документация: что должно быть у вас

Для соответствия 152-ФЗ и GDPR вам понадобятся следующие документы (часть из них можно объединить) :

Политика конфиденциальности (Privacy Policy) — на двух языках (русский + английский / язык страны ЕС). Содержит:
- Какие данные собираете и для каких целей
- Правовые основания обработки (для GDPR — отдельно для каждой цели)
- Сроки хранения
- Способы отзыва согласия и удаления данных
- Информацию о трансграничной передаче (какие страны, на каких основаниях)
Пользовательское соглашение (Terms of Use) — для интернет-магазинов и платформ.
Форма согласия на обработку ПД (Opt-in форма) — с двумя вариантами: для граждан РФ (по 152-ФЗ) и для граждан ЕС (по GDPR).
Отдельное согласие на трансграничную передачу (в письменной или электронной форме с сохранением доказательства).
Договор поручения на обработку ПД (DPA — Data Processing Agreement) — если вы передаёте данные третьим лицам (хостинг-провайдерам, CRM-системам, аналитическим сервисам) .

📌 Важно: Не копируйте шаблоны из интернета. Штрафы за «галочку для галочки» сейчас огромны . Адаптируйте политики под вашу бизнес-модель, типы собираемых данных и страны, где находятся ваши клиенты.

Шаг 4. Назначение Data Protection Officer (DPO) для GDPR

Если вы массово обрабатываете данные граждан ЕС или работаете с какими-либо специальными категориями (здоровье, биометрия, политические взгляды), по GDPR вы обязаны назначить ответственного за защиту данных (DPO).

Кто может быть DPO: штатный сотрудник (например, юрист по data privacy или IT-директор), если он обладает экспертными знаниями. Или внешняя компания (аутсорсинговый DPO). Контакты DPO должны быть указаны в Политике конфиденциальности .

Шаг 5. Процессы: как правильно собирать согласия и отвечать на запросы

Ваши интерфейсы (формы подписки, корзины, регистрации) должны быть перестроены с учётом требований обоих законов :

Чекбоксы для сбора данных:
- Для граждан РФ: чекбокс может быть предустановлен («галочка по умолчанию») — этого достаточно по 152-ФЗ.
- Для граждан ЕС: чекбокс НЕ должен быть предустановлен, текст должен быть чётким (не в подстрочнике), согласие должно быть «явным» (explicit). Объясните, для чего собираются данные.
Механизм отзыва согласия: У пользователя должна быть лёгкая возможность отозвать согласие (например, ссылка «Отписаться от рассылки» в каждом письме).
Доступ к данным: У вас должен быть процесс ответа на запрос субъекта о том, какие данные вы о нём храните (в течение 30 дней).
Право на удаление: Вы обязаны удалить данные по требованию пользователя в течение 30 дней (с некоторыми исключениями).

Шаг 6. Защита данных: шифрование, логирование, тестирование

Требования к информационной безопасности в обоих законодательствах становятся жёстче.

Минимальный набор мер (общий для обоих требований):

Шифрование данных при передаче (TLS 1.2 / 1.3) и при хранении (AES-256).
Логирование всех доступов к базам данных (кто, когда, какие записи смотрел).
Тестирование на проникновение (Pentest) хотя бы раз в год.
Автоматическое удаление данных по истечении срока хранения (например, через 3 года после последней активности).

Шаг 7. Реагирование на утечки: единый план для двух регуляторов

Разработайте внутренний регламент действий при утечке данных . Чётко пропишите, кто отвечает за связь с регуляторами, кто за техническое расследование, кто за коммуникацию с клиентами.

Алгоритм при утечке:

Зафиксировать факт утечки (акт, служебная записка, время обнаружения).
Оценить риски для субъектов данных (категории данных, масштаб, потенциал вреда).
Уведомить Роскомнадзор в течение 72 часов.
Если утечка затронула граждан ЕС: уведомить европейский DPA в течение 72 часов (страна, где вы зарегистрировали представителя или где находится большинство пострадавших).
Провести внутреннее расследование: установить причину, виновных, закрыть уязвимости.
Принять меры по устранению последствий (смена паролей, отзыв ключей, уведомление клиентов).

Важно: По новому российскому законодательству, за неуведомление Роскомнадзора об утечке грозит штраф от 1 до 3 млн рублей . Не затягивайте!

Часть 5. Штрафы и риски: что будет, если не соблюдать

Российские штрафы (ФЗ-152):

За утечку от 1000 субъектов — от 3 до 5 млн ₽ .
За утечку более 100 000 субъектов — от 10 до 15 млн ₽ .
За повторную утечку биометрии или спецкатегорий — до 500 млн ₽ или 1–3% годовой выручки .
За непредоставление уведомления о трансграничной передаче — штраф до 300 000 ₽.

Европейские штрафы (GDPR):

Два уровня штрафов:
- До 10 млн евро или 2% глобального годового оборота — за нарушение обязанностей по учёту обработки, уведомлению утечек, оценке рисков.
- До 20 млн евро или 4% глобального годового оборота — за нарушение базовых принципов обработки (отсутствие согласия, незаконная передача, игнорирование прав субъектов).
Реальные кейсы: Amazon оштрафован на 746 млн евро, WhatsApp — на 225 млн евро, Google — на 50 млн евро.

Нефинансовые риски:

Блокировка сайта Роскомнадзором (внесение в реестр нарушителей прав субъектов ПД).
Блокировка в App Store и Google Play — приложения не пройдут модерацию без корректной Privacy Policy .
Репутационный ущерб — клиенты перестают доверять.
Потеря партнёров — многие B2B-контракты требуют сертификации по GDPR.

⚠️ Реальность 2026 года: Роскомнадзор активно сотрудничает с европейскими DPA по обмену информацией об утечках . Если произошла утечка данных и вы не уведомили российский регулятор, но европейский DPA узнал от пострадавших граждан ЕС — вам грозят двойные штрафы. Скрывать бесполезно.

Заключение: комплаенс — не расход, а входной билет на международный рынок

Соблюдение и 152-ФЗ, и GDPR одновременно — сложная задача. Это требует изменений в IT-архитектуре (локализация), юридической документации (двуязычные политики) и бизнес-процессах (согласия, сроки ответа). Но это не невыполнимо.

Компании, которые инвестируют в комплаенс с данными, получают конкурентное преимущество на международном рынке. Европейские партнёры и клиенты доверяют тем, кто уже прошёл сертификацию и готов к проверкам.

Краткий чек-лист для старта:

[ ] Проведите аудит данных: какие данные, откуда, кому принадлежат.
[ ] Выделите в отдельный поток данные граждан РФ и граждан ЕС.
[ ] Разместите данные россиян на серверах в РФ (локализация).
[ ] Разработайте двуязычную Политику конфиденциальности (русский + английский/немецкий/французский).
[ ] Настройте формы сбора согласий: для граждан РФ — один чекбокс, для граждан ЕС — другой, не предустановленный.
[ ] Назначьте ответственного за обработку данных (DPO), если требуется.
[ ] Подайте уведомление в Роскомнадзор о трансграничной передаче (если передаёте данные за пределы РФ).
[ ] Разработайте план реагирования на утечки (72 часа).
[ ] Проведите обучение сотрудников (хотя бы базовое).
[ ] Закажите пентест и аудит ИБ у сторонней компании.

Если вам нужна помощь с настройкой комплаенса под 152-ФЗ и GDPR — мы в EDGESECTION проводим аудит систем обработки данных, помогаем с локализацией, настраиваем согласия в интерфейсах и интегрируем процессы в CRM и 1С.

Заказать аудит системы обработки персональных данных →

Оставить заявку

Автор: