Обработка персональных данных. К чему готовиться международному бизнесу

В 2025-2026 годах регуляторы в сфере персональных данных стали намного серьезнее подходить к вопросам безопасности. Роскомнадзор блокирует сайты за утечки, европейские регуляторы выписывают миллиардные штрафы даже американским гигантам. Российский бизнес оказался в ситуации, когда нужно одновременно соответствовать жестким требованиям 152-ФЗ и при этом не вылететь из международного правового поля, работая с европейскими клиентами или партнерами.

Разберем на реальных кейсах, кому и какие документы нужно готовить, чтобы спать спокойно.

Кто сегодня в зоне риска в рамках закона о персональных данных: три типа компаний

Прежде чем говорить о документах, честно ответьте себе на вопрос: работаете ли вы с данными из Европы?

Тип А: «Чисто российский бизнес»

У вас нет клиентов в ЕС, вы не используете европейские хостинги и не передаете данные европейским партнерам.

Что делать: Работать строго по 152-ФЗ. GDPR вас не касается.

Тип Б: «Международный игрок»

У вас есть клиенты в Европе, вы принимаете оплату в евро через европейские платежные системы, используете европейские CRM (например, Salesforce, размещенный в Европе) или ваш сайт явно ориентирован на европейскую аудиторию (есть версии на языках ЕС, цены в евро).

Что делать: Вы подпадаете под действие обоих законов. GDPR распространяется на вас экстерриториально (ст. 3), и требования 152-ФЗ по локализации данных (ст. 18) никто не отменял.

Тип В: «Бизнес с иностранными инвесторами или партнерами»

Ваши акционеры — европейские фонды, или вы заключили договор с европейским контрагентом, который требует подтверждения комплаенс с GDPR.

Что делать: Даже если у вас нет прямых клиентов в Европе, договорные обязательства могут заставить вас соблюдать GDPR. Это частая ловушка для стартапов, привлекающих инвестиции из ЕС.

Многие компании ошибочно полагают, что достаточно перевести сайт на русский и убрать цены в евро, чтобы «спрятаться» от GDPR. Это не так. Европейский суд (CJEU) оценивает совокупность факторов: упоминание европейских клиентов в кейсах, использование европейских соцсетей для продвижения, наличие e-mail рассылки на европейцев. Если вы работаете с Европой — вы под GDPR.

Универсальный пакет документов для работы с персональными данными: как закрыть требования двух законов сразу

Хорошая новость: на 80% требования GDPR и 152-ФЗ пересекаются. 

Плохая новость: различия есть, и они критичны. 

Я подготовил обзор, как реализовать единый пакет, который закроет оба регулятора, если вы его правильно настроите.

Базовый набор документов и действий по персональным данным. Обязателен для всех.

1. Политика обработки персональных данных (публичная)

Должна быть на сайте. Содержать: контакты оператора, цели обработки, правовые основания, сроки хранения, права субъектов, порядок их реализации, информацию о трансграничной передаче.

• Для GDPR — обязательно наличие контактов DPO (Data Protection Officer), даже если вы его не назначали формально, а просто назначили ответственного.
• Для 152-ФЗ — упоминание локализации данных на территории РФ.

2. Согласие на обработку Персональных данных

• GDPR требует «активного действия» — нельзя использовать предустановленные галочки.
• 152-ФЗ требует «конкретности и сознательности».

Решение: Используйте отдельные чекбоксы для каждой цели (маркетинг, аналитика, передача партнерам). Никаких «я согласен со всем» одним кликом.

3. Положение об обработке ПДн (внутренний документ)

Должно описывать реальные процессы: кто имеет доступ, как хранятся данные, как уничтожаются и т. д.

• Для GDPR — обязательное описание процедур реагирования на запросы субъектов.
• Для 152-ФЗ — приказ о назначении ответственного и перечень лиц, допущенных к обработке.

4. Журнал учета обращений субъектов Персональных данных

Единый журнал, где фиксируются все запросы на доступ, исправление, удаление, возражение.

• GDPR требует отвечать за 1 месяц (продление до 3-х),
• 152-ФЗ — за 10 рабочих дней (продление до 15).

Рекомендация: заложите в процессы 7-10 дней, чтобы гарантированно укладываться в оба срока.

5. Договоры с контрагентами (обработчиками персональных данных)

Самый частый риск. В договорах с облачными провайдерами, бухгалтерскими аутсорсерами, курьерскими службами должны быть положения об обработке персональных данных.

• Для GDPR (ст. 28) — обязательные условия: конфиденциальность, помощь в обеспечении прав субъектов, уведомление об утечках, удаление данных по окончании работ.
• Для 152-ФЗ (ст. 6, ч. 3) — поручение оператора с перечнем действий и целей.

Продвинутый набор документов и действий для обработки персональных данных (если ваш Тип Б и В)

6.  Реестр операторов

• GDPR (ст. 30) требует вести детальный реестр всех видов обработки.
• 152-ФЗ (ст. 22) требует уведомлять РКН и вести реестр операторов.

Вам нужно вести внутренний реестр (по форме GDPR), который будет содержать больше информации, чем публичный реестр РКН. Рекомендую вести его на английском и русском сразу.

7. Data Protection Impact Assessment (DPIA) / Оценка воздействия

• GDPR (ст. 35) требует проводить DPIA для «высокорисковых» видов обработки (новые технологии, профилирование, большие объемы спецкатегорий).
• 152-ФЗ (ст. 19) требует «оценку вреда», но это не то же самое.

Если вы используете ИИ, системы скоринга или обрабатываете биометрию в больших масштабах — проведите DPIA. Это защитит вас от претензий обоих регуляторов.

8. Transfer Impact Assessment (TIA) / Межграничные передачи данных 

Для передачи данных из ЕС в Россию, нужно оценивать риски и, возможно, принимать дополнительные меры. Россия не входит в список стран с соответствующей защитой, как требует ЕС. Каждая передача данных из ЕС в РФ должна быть обоснована (SCC, BCR, исключения). Документируйте это.

9. Политика реагирования на инциденты

• GDPR требует уведомить регулятора за 72 часа.
• 152-ФЗ (ст. 21, ч. 3.1) — 24 часа для уведомления РКН о самом факте утечки.

Это зона конфликта. Ваш внутренний регламент должен учитывать оба срока. Мы рекомендуем следующую схему: первые 24 часа — уведомление РКН (как требует РФ), в следующие 48 часов — досбор информации и уведомление европейского регулятора (если инцидент затронул данные европейцев).

10 шагов к двойному комплаенсу по соответствию в обработке персональных данных

Этот план поможет вам системно подойти к вопросу и не упустить детали.

Шаг 1. Аудит данных. Определите, какие данные, от кого и зачем вы собираете. Выделите данные граждан ЕС в отдельную категорию.

Шаг 2. Определите применимость GDPR. Честно ответьте на вопросы из Типа Б и В выше. Если сомневаетесь — проконсультируйтесь с юристом, специализирующимся на международном праве. Ошибка может стоить дороже консультации.

Шаг 3. Назначьте ответственного. В РФ это «лицо, ответственное за организацию обработки ПДн». В терминах GDPR это может быть ваш DPO (даже если он не заявлен официально, функции те же). Издайте приказ.

Шаг 4. Разработайте единый пакет документов. Возьмите за основу список выше. Адаптируйте шаблоны под свой бизнес. Не копируйте чужие политики из интернета — они должны отражать ваши реальные процессы.

Шаг 5. Приведите в порядок согласия. Проверьте все формы на сайте и в офисе. Уберите предустановленные галочки. Добавьте отдельные согласия на разные цели. Внедрите систему хранения согласий.

Шаг 6. Проверьте договоры с партнерами. Разошлите всем контрагентам, кто имеет доступ к вашим данным (или вы к их), дополнительные соглашения о защите ПДн. Это требование обоих законов.

Шаг 7. Обеспечьте локализацию. Если вы обрабатываете данные россиян, базы данных должны находиться на территории РФ. Это императив 152-ФЗ. GDPR этому не противоречит, но требует уведомлять о трансграничной передаче, если доступ из Европы будет.

Шаг 8. Настройте техническую защиту. Минимум: антивирусы, фаерволы, резервное копирование, контроль доступа. Для высоких категорий данных — сертифицированные СКЗИ и DLP.

Шаг 9. Разработайте процедуры ответов на запросы. Пропишите, кто и как обрабатывает запросы граждан. Сроки (10 дней для РФ, 30 дней для ЕС). Формы отказов.

Шаг 10. Обучите сотрудников. Проведите внутренний семинар. Объясните, что такое персональные данные, почему нельзя слать списки клиентов в WhatsApp и как правильно удалять файлы. Человеческий фактор — главная причина утечек.

Что делать, если пришла проверка

Здесь стратегии отличаются кардинально.

Если проверяет Роскомнадзор (РФ)

1. Предъявите документы. Инспектор будет смотреть наличие Политики, согласий, уведомления в РКН, приказа о назначении ответственного.
2. Покажите локализацию. Будьте готовы подтвердить, что базы данных граждан РФ находятся в России (серверные логи, договоры с хостинг-провайдерами).
3. Демонстрируйте открытость. Сотрудничайте, давайте пояснения. 

Если пришел запрос от европейского регулятора (или жалоба от субъекта)

1. Включите юриста. Европейские разбирательства сложны и требуют знания процедур.
2. Соблюдайте сроки. Ответ на запрос субъекта — 1 месяц. Уведомление об утечке — 72 часа.
3. Доказывайте. GDPR работает на презумпции виновности контролера. Вы должны доказать, что у вас были все меры (технические и организационные) и вы действовали ответственно. Здесь и пригодится ваш RoPA, DPIA и журналы.
4. Не игнорируйте. Игнорирование запроса из ЕС — гарантированный путь к максимальному штрафу.

Что должен сделать бизнес прямо сейчас

1. GDPR и 152-ФЗ — не враги, а братья-близнецы с разным воспитанием. Один вырос в либеральной Европе (риски, принципы, свобода выбора), другой — в России (приказы, инструкции, сертификаты). Но база у них одна.
2. Двойной комплаенс реален. Для 80% бизнеса достаточно универсального пакета документов и адекватных технических мер. Сложности начинаются там, где есть массовая обработка биометрии, ИИ или трансграничная передача.
3. Экономия на комплаенсе — ложная экономия. Штрафы по 152-ФЗ за утечки уже достигают миллионов рублей, а по GDPR — миллиардов. Один серьезный инциндент может уничтожить бизнес.
4. Не откладывайте. Если вы еще не начинали, начните сегодня с Шага 1. Проведите аудит. Это даст понимание масштаба бедствия.

Из личной практики могу сказать, 90% проблем связаны не с технической сложностью, а с организационной расхлябанностью: нет назначенного ответственного, согласия собираются «лишь бы были», договоры с партнерами не проверены. Помните: регуляторы (и российский, и европейский) ловят не на том, что у вас стоит не тот фаервол, а на том, что у вас нет доказательств, что вы вообще думали о безопасности данных.