GDPR в России: как соблюдать при работе с иностранцами в 2026 году
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я помог десяткам компаний избежать штрафов за нарушение GDPR. И почти в каждом случае проблема была в одном: бизнес не понимал, что даже из России он обязан соблюдать европейские нормы, если работает с иностранцами — собирает их e mail, хранит резюме, обрабатывает платёжные данные.
В 2026 году контроль ужесточился: Роскомнадзор активнее сотрудничает с европейскими регуляторами, а штрафы за нарушения GDPR могут достигать 4 % от глобального оборота компании. В этой статье — только практика: как соблюдать GDPR, не нарушая 152 ФЗ.
Когда GDPR применяется к российским компаниям?
GDPR действует, если вы:
• обрабатываете данные граждан ЕС (даже если они временно в России);
• предлагаете товары/услуги резидентам ЕС (сайт с ценами в евро, поддержка на английском);
• отслеживаете поведение пользователей в ЕС (cookies, аналитика).
Согласно ст. 3 GDPR (экстерриториальность) и ст. 1 152 ФЗ, если вы попадаете под эти критерии — обязаны соблюдать оба регламента.
На практике: в 2025 году российский онлайн университет получил предупреждение от Роскомнадзора за сбор данных студентов из Германии без согласия на обработку по GDPR.
Мой совет: проведите аудит данных — выделите все записи иностранцев. Если есть хотя бы один гражданин ЕС — включайте режим GDPR соответствия.
Какие требования GDPR критичны для России?
Обязательные шаги:
• Получение явного согласия на обработку (чекбокс без предустановки, чёткая формулировка).
• Право на доступ и удаление (механизм ответа на запросы иностранцев).
• Уведомление о утечке в течение 72 часов (в т. ч. в Роскомнадзор и европейский регулятор).
• DPO (Data Protection Officer) — если массово обрабатываете данные иностранцев.
• Трансграничная передача — только в страны с адекватным уровнем защиты (или с согласия субъекта).
Важно: с 2026 года Роскомнадзор требует отдельного уведомления о трансграничной передаче по ст. 12 152 ФЗ.
Как совместить GDPR и 152 ФЗ?
Конфликты и решения:
Требование GDPR 152 ФЗ Решение
Согласие Явное, конкретное, отделимое Письменное или электронное Единый шаблон с двойной формой согласия
Хранение данных Можно в ЕС Только на территории РФ Локализация + шифрование при передаче
Сроки ответа на запрос 30 дней 30 дней Общий регламент обработки запросов
Мой комментарий: не копируйте слепо европейские политики. Адаптируйте их под 152 ФЗ — иначе рискуете нарушить российское законодательство.
Что делать, если произошла утечка?
Алгоритм действий:
1. Зафиксируйте факт утечки (акт, служебная записка).
2. Оцените риски для прав и свобод субъектов.
3. Уведомьте Роскомнадзор в течение 72 часов (по форме на сайте ведомства).
4. Если утечка затрагивает граждан ЕС — дополнительно уведомите европейский регулятор (например, DPA в стране регистрации).
5. Проведите внутреннее расследование: установите причину, виновных, меры предотвращения.
6. Примите меры по устранению последствий (смена паролей, патчи, обучение сотрудников).
Пример из практики: в 2025 году российский хостинг провайдер оперативно уведомил Роскомнадзор и ирландский DPA о утечке данных 500 европейских клиентов. Благодаря быстрой реакции штраф был снижен с 2 % до 0,5 % от оборота.
Мой совет: разработайте план реагирования на инциденты заранее. Это сэкономит время и снизит риски.
Как проверить соответствие GDPR + 152 ФЗ?
Чек лист для аудита:
• Есть ли политика конфиденциальности на двух языках (русский + английский/язык страны ЕС)?
• Получено ли явное согласие на обработку данных иностранцев?
• Назначен ли DPO (если требуется)?
• Локализованы ли данные россиян на территории РФ?
• Есть ли механизм ответа на запросы субъектов (доступ, удаление, исправление)?
• Проходят ли сотрудники обучение по информационной безопасности?
• Застрахована ли ответственность компании на случай утечки?
Важно: с 2026 года Роскомнадзор проводит внеплановые проверки при жалобах граждан ЕС.
Заключение
Соблюдение GDPR при работе с иностранцами — не опция, а необходимость. Штрафы за нарушения могут достигать 4 % от глобального оборота, а репутационные потери — ещё дороже.
Чтобы минимизировать риски:
• проведите аудит текущих процессов обработки данных;
• обновите политику конфиденциальности и формы согласия;
• обучите сотрудников требованиям GDPR и 152 ФЗ;
• назначьте ответственного за защиту данных (DPO, если требуется);
• подготовьте план реагирования на утечки.
Начните аудит прямо сейчас — лучше выявить слабые места до проверки, чем платить штрафы после.
Скачайте чек лист «Соответствие GDPR + 152 ФЗ» (2026)
Поделитесь статьёй с коллегами из международного бизнеса
Подпишитесь на legascom.ru — разбираем сложное просто, помогаем бизнесу работать без рисков
