Содержание
GDPR — General Data Protection Regulation, или Общий регламент по защите данных Европейского союза. Это самый строгий и влиятельный режим защиты персональных данных в мире, и его действие выходит далеко за границы ЕС. Регламент способен затрагивать и российский бизнес: например, интернет-магазин, который принимает заказы от жителей Евросоюза. Ниже разберем, что такое GDPR, на кого он распространяется, какие права дает гражданам, какие требования предъявляет к компаниям, чем грозит нарушение и как все это соотносится с российским 152-ФЗ.
Что такое GDPR и зачем он нужен
GDPR (General Data Protection Regulation) — это Регламент (ЕС) 2016/679, который устанавливает единые правила обработки персональных данных на территории Европейского союза. Документ заменил устаревшую Директиву 95/46/ЕС и впервые ввел прямое действие во всех странах ЕС, без необходимости отдельной имплементации в национальное право.
Важно правильно понимать хронологию, поскольку в этом часто ошибаются. Регламент был принят 27 апреля 2016 года, а применяется с 25 мая 2018 года. Двухлетний переходный период давал компаниям время привести обработку данных в соответствие с новыми требованиями. Поэтому 2018 год — это дата начала применения, а не принятия регламента.
GDPR преследует несколько связанных целей. Он защищает основные права субъектов данных, устанавливает единые стандарты обработки персональных данных по всему ЕС и усиливает ответственность операторов. Одновременно регламент возвращает гражданам контроль над собственными данными и поддерживает развитие цифровой экономики за счет предсказуемых и прозрачных правил. Конфиденциальность здесь рассматривается не как формальность, а как условие доверия между бизнесом и пользователем. От единых правил выигрывает и цифровая экономика: бизнесу проще работать на общем рынке, когда требования к данным предсказуемы.
Чем GDPR отличается от российского 152-ФЗ
И GDPR, и российский Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» регулируют обработку персональных данных и опираются на схожие базовые понятия: оператор, субъект данных, согласие на обработку. Различия заметны в двух плоскостях. GDPR шире по территории действия — он применяется к компаниям далеко за пределами ЕС. И он жестче по санкциям: штрафы исчисляются процентами от мирового оборота. Подробное сравнение двух режимов и сводная таблица приведены в финальном разделе статьи.
На кого распространяется GDPR
Главный практический вопрос для российского читателя: кто должен соблюдать GDPR. Ответ нередко оказывается неожиданным, поскольку регламент имеет экстерриториальное действие и не ограничивается компаниями из ЕС.
Два критерия применимости
Статья 3 GDPR определяет территориальную сферу действия через два самостоятельных критерия. Европейский союз сознательно сделал действие регламента экстерриториальным, чтобы защита не зависела от места регистрации компании. Регламент применяется, если выполняется хотя бы одно из условий.
Первое: у оператора есть учреждение (establishment) на территории ЕС, и обработка ведется в связи с его деятельностью — независимо от того, где физически происходит сама обработка. Второе: оператор находится за пределами ЕС, но таргетирует субъектов данных в Союзе. Под таргетингом понимают предложение товаров или услуг лицам в ЕС либо отслеживание их поведения, например через веб-аналитику. Именно второй критерий и создает тот самый экстерриториальный эффект, на который часто не обращают внимания.
Контроллер и обработчик данных
GDPR разделяет две роли, и от этого разделения зависит объем обязанностей. Контроллер (controller) определяет цели и способы обработки персональных данных — то есть отвечает на вопросы «зачем» и «как». Обработчик (processor) обрабатывает данные по поручению контроллера и в его интересах. Российскому юристу эта конструкция близка: 152-ФЗ различает оператора и лицо, которое обрабатывает данные по поручению оператора. Распределение ролей важно фиксировать в договоре, поскольку именно оно определяет, кто и за что отвечает перед надзорным органом.
Когда GDPR применяется к российской компании
На практике под GDPR может попасть бизнес, формально не связанный с Европой. Рассмотрим типичные ситуации.
Российский интернет-магазин принимает заказы от жителей ЕС, указывает цены в евро и предлагает доставку в европейские страны — это прямое предложение товаров субъектам в ЕС. SaaS-сервис обслуживает клиентов из Германии или Франции и хранит данные их сотрудников — это обработка данных лиц, находящихся в Союзе. Веб-сайт использует аналитику и рекламные трекеры, которые отслеживают поведение посетителей из ЕС, — это мониторинг поведения по смыслу статьи 3. Во всех этих случаях местонахождение самой компании в России не освобождает ее от требований GDPR. Поэтому оценку применимости регламента стоит проводить заранее, а не после получения претензии.
Кто под защитой GDPR — субъекты данных
GDPR защищает субъектов данных — физических лиц, чьи персональные данные обрабатываются. Под защиту попадают лица, находящиеся в ЕС, прежде всего граждане и резиденты Союза. При этом гражданство как таковое решающего значения не имеет: важно, что человек находится в ЕС и его данные обрабатываются в связанных с этим обстоятельствах.
Персональные данные по статье 4 GDPR — это любая информация, относящаяся к идентифицированному или поддающемуся идентификации физическому лицу. Сюда входят имя, идентификационные номера, данные о местоположении, онлайн-идентификаторы и иные признаки.
Отдельно регламент выделяет специальные категории данных. Статья 9 GDPR относит к ним сведения о расовом и этническом происхождении, политических взглядах, религиозных убеждениях, состоянии здоровья, сексуальной жизни, а также генетические и биометрические данные. Для таких категорий действует усиленный режим: их обработка по общему правилу запрещена и допускается лишь в ограниченном числе случаев, например при явном согласии субъекта или по основаниям, прямо предусмотренным правом ЕС.
Права субъектов персональных данных по GDPR
Права субъектов персональных данных закреплены в Главе III GDPR (статьи 12–22) и образуют один из самых детальных каталогов в мировой практике.
Субъект данных имеет право на прозрачное информирование об обработке и право на доступ к своим данным. Он может требовать исправления неточных сведений и удаления данных — это известное право быть забытым. Регламент дает право на ограничение обработки, когда данные оспариваются или используются неправомерно, и право на портабельность данных: возможность получить свои данные в структурированном формате и передать другому оператору. Дополнительно субъект вправе возражать против обработки, в том числе против профилирования и прямого маркетинга, а также рассчитывать на уведомление в случае утечки, затрагивающей его права.
Российский 152-ФЗ предоставляет субъекту во многом сопоставимый набор прав: доступ к информации об обработке, требование уточнения, блокирования или уничтожения данных, отзыв согласия. Однако GDPR идет дальше за счет права на портабельность и развернутого регулирования права на возражение, которые в российском законе выражены слабее. Для юриста это различие удобно использовать как ориентир при сопровождении клиентов, работающих сразу в двух правовых контурах.
Принципы и требования GDPR
Требования GDPR строятся вокруг набора принципов, которым должна подчиняться любая обработка данных. Принципы GDPR важнее заучивания отдельных статей: именно из них вытекают практические обязанности бизнеса.
Семь принципов обработки
Статья 5 GDPR закрепляет семь принципов. Первый — законность, справедливость и прозрачность обработки. Второй — ограничение цели: данные собирают для конкретных и законных целей. Третий — минимизация сбора данных: оператор обрабатывает только то, что действительно необходимо. Далее идут точность данных и ограничение хранения, согласно которому данные нельзя хранить дольше, чем требуется. Шестой принцип — целостность и конфиденциальность, то есть надлежащая защита данных. Седьмой и в практическом смысле ключевой — подотчетность (accountability): оператор обязан не просто соблюдать принципы, но и быть способным это документально доказать.
Правовые основания обработки — согласие и пять других
Распространенное заблуждение — считать согласие единственным законным основанием для обработки данных. Это неверно. Статья 6 GDPR предусматривает шесть оснований, и согласие лишь одно из них.
Обработка законна, если она опирается хотя бы на одно основание: согласие субъекта; исполнение договора с субъектом; соблюдение правовой обязанности оператора; защита жизненно важных интересов субъекта или другого лица; выполнение задачи в общественных интересах; либо законный интерес оператора, если он не перевешивается правами и интересами субъекта. На практике компании нередко чрезмерно полагаются на согласие там, где уместнее ссылаться на исполнение договора или законный интерес. Правильный выбор основания снижает юридические риски и упрощает работу с правами субъектов.
Ключевые обязанности бизнеса
Из принципов и оснований вытекает ряд конкретных обязанностей. При утечке данных оператор уведомляет надзорный орган в течение 72 часов с момента, когда ему стало о ней известно (статья 33 GDPR). В определенных случаях компания назначает специалиста по защите данных — DPO (статья 37 GDPR): это обязательно для госорганов, при масштабном систематическом мониторинге субъектов и при масштабной обработке специальных категорий данных. Для высокорисковой обработки проводят оценку воздействия на защиту данных — DPIA (статья 35 GDPR). Наконец, операторы ведут реестр операций обработки, что прямо вытекает из принципа подотчетности.
Штрафы и санкции за нарушение GDPR
Штрафы GDPR — один из главных аргументов, который заставляет бизнес относиться к регламенту всерьез. Санкции за нарушение GDPR исчисляются не фиксированными суммами, а долями от мирового оборота организации, что делает их потенциально очень крупными.
Два уровня штрафов
Статья 83 GDPR устанавливает два уровня административных штрафов, и в каждом применяется большая из двух величин.
Первый уровень (статья 83(4)) — до 10 млн € или 2% мирового годового оборота за предыдущий финансовый год, в зависимости от того, что больше. Он касается преимущественно процедурных нарушений: отсутствия реестра обработки, неназначения DPO, когда это обязательно, или неуведомления об утечке. Второй уровень (статья 83(5)) — до 20 млн € или 4% оборота. Он применяется за грубые нарушения: несоблюдение принципов обработки (статья 5), отсутствие законного основания (статья 6), нарушение прав субъектов и незаконную трансграничную передачу данных. Текст регламента прямо говорит о штрафах до 20 млн евро или до 4% годового мирового оборота. Базой для процентного расчета служит весь мировой оборот организации за предыдущий финансовый год, а для групп компаний — консолидированная выручка группы.
Здесь же важно исправить распространенную ошибку: у GDPR нет минимального порога штрафа. Утверждение о каком-либо обязательном минимуме (например, 4 000 €) не соответствует регламенту. Конкретный размер санкции надзорный орган определяет индивидуально, с учетом факторов статьи 83(2): характера, тяжести и длительности нарушения, степени вины, принятых мер по смягчению последствий. Методику расчета подробно описывают Руководящие принципы EDPB 04/2022.
Иные меры надзорных органов
Штрафы — не единственный инструмент. Надзорные органы вправе выносить предупреждения, выдавать предписания привести обработку в соответствие, временно или окончательно ограничивать обработку, а также запрещать передачу данных в третьи страны. Нередко именно запрет на обработку или передачу данных оказывается для бизнеса более болезненным, чем денежная санкция.
Громкие кейсы
Масштаб ответственности хорошо виден на реальных делах. Крупнейший штраф по GDPR получила компания Meta (признана экстремистской и запрещена в РФ): в мае 2023 года ирландская Комиссия по защите данных назначила штраф 1,2 млрд € за незаконную передачу персональных данных пользователей из ЕС в США. За все время действия GDPR надзорные органы вынесли более 2 800 штрафов на общую сумму свыше 7 млрд € — детальные обзоры правоприменения публикуют профильные аналитические ресурсы, например secureprivacy.ai. Судебная практика уточняет и пределы ответственности: в деле C-807/21 (Deutsche Wohnen, решение от 05.12.2023) Суд ЕС указал, что штраф на компанию возможен лишь при наличии умысла или неосторожности.
GDPR и российский бизнес: 152-ФЗ, локализация, трансграничная передача
Для компаний, работающих и в ЕС, и в России, важно соблюдать оба режима одновременно. Российское регулирование персональных данных в последние годы заметно ужесточилось, поэтому связку GDPR и 152-ФЗ нужно учитывать на уровне процессов.
Локализация ПДн россиян
Российское право вводит требование, аналога которому в GDPR нет напрямую. Согласно части 5 статьи 18 152-ФЗ, при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных с использованием баз данных, расположенных на территории России. Требование о локализации персональных данных действует с 1 сентября 2015 года и распространяется в том числе на иностранные сервисы, ориентированные на российских пользователей.
Трансграничная передача: статья 12 152-ФЗ против Главы V GDPR
Логика трансграничной передачи данных в двух режимах различается. В России действует статья 12 152-ФЗ в редакции с 1 марта 2023 года (ФЗ от 14.07.2022 № 266-ФЗ). До начала трансграничной передачи оператор обязан направить предварительное уведомление в Роскомнадзор. Ведомство вправе запретить или ограничить такую передачу. В ЕС Глава V GDPR строится на иных механизмах — решениях о достаточном уровне защиты (adequacy decisions) и стандартных договорных условиях (SCC). Таким образом, Россия использует уведомительно-разрешительную модель через Роскомнадзор, а Евросоюз — систему правовых гарантий со стороны самого экспортера данных.
Компания работает с ЕС и РФ одновременно — что делать
Российские санкции за нарушения в сфере персональных данных существенно выросли. Федеральный закон от 30.11.2024 № 420-ФЗ ввел новые штрафы по КоАП РФ, действующие с 30 мая 2025 года. За утечку данных от 1 000 до 10 000 субъектов компании грозит штраф 3–5 млн ₽, а если утекли специальные категории данных — 10–15 млн ₽. За повторные утечки предусмотрены оборотные штрафы. За неуведомление Роскомнадзора об утечке компаниям грозит 1–3 млн ₽. Уведомить ведомство нужно в сжатый срок (порядка 24 часов) и провести внутреннее расследование.
Вывод для бизнеса простой: при работе на стыке ЕС и РФ необходимо выполнять требования обоих режимов. Со стороны России — это локализация данных и своевременные уведомления Роскомнадзора. Со стороны ЕС — корректный выбор основания обработки, реализация прав субъектов и уведомление надзорного органа об утечке в течение 72 часов.
Чек-лист соответствия GDPR
Чтобы оценить готовность компании, удобно пройти короткий чек-лист по ключевым требованиям регламента:
- Применимость (статья 3). Определите, попадает ли деятельность под GDPR: есть ли учреждение в ЕС или таргетинг субъектов в ЕС.
- Правовое основание (статья 6). Зафиксируйте, на каком из шести оснований строится каждая операция обработки.
- Права субъектов. Настройте процедуры ответа на запросы о доступе, исправлении, удалении и портабельности данных.
- Меры безопасности. Обеспечьте технические и организационные меры защиты, соответствующие рискам.
- DPO и DPIA. Проверьте, нужен ли специалист по защите данных и требуется ли оценка воздействия для высокорисковой обработки.
- Процедура на случай утечки. Подготовьте регламент уведомления надзорного органа в течение 72 часов.
Для наглядного сопоставления двух правовых режимов приведем сравнительную таблицу.
|
Параметр |
GDPR |
152-ФЗ |
|
Территория действия |
Экстерриториально (ст. 3): учреждение в ЕС или таргетинг субъектов в ЕС |
РФ, а также сбор данных граждан РФ |
|
Основания обработки |
Шесть оснований (ст. 6) |
Согласие и перечень оснований (ст. 6) |
|
Права субъектов |
Расширенный набор, включая портабельность (Глава III) |
Базовый набор (ст. 14–17) |
|
Срок уведомления об утечке |
72 часа надзорному органу |
Около 24 часов Роскомнадзору |
|
Трансграничная передача |
Adequacy-решения, SCC (Глава V) |
Предварительное уведомление РКН (ст. 12) |
|
Максимальные штрафы |
До 20 млн € или 4% мирового оборота |
До 15 млн ₽ + оборотные за повторные утечки |
Заключение и куда двигаться дальше
GDPR — это не абстрактная европейская формальность, а режим с экстерриториальным действием, который может затрагивать и российские компании. Чтобы снизить риски, важно заранее оценить применимость регламента, выбрать корректное правовое основание обработки, обеспечить права субъектов и выстроить процедуры на случай утечки. Компаниям, работающим на стыке ЕС и РФ, придется соблюдать оба режима — GDPR и 152-ФЗ — с учетом локализации данных и требований Роскомнадзора. Когда обработка масштабна или затрагивает специальные категории данных, разумно привлечь профильного специалиста по защите данных.
Чтобы системно разобраться в защите персональных данных и подготовиться к роли DPO, изучите курс Moscow Digital School «Защита персональных данных».
Источники и дополнительные материалы
Нормативные правовые акты
- Регламент (ЕС) 2016/679 (GDPR) — полный текст
- GDPR, статья 83 — штрафы и санкции
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»
- Статья 12 152-ФЗ «Трансграничная передача персональных данных»
- Федеральный закон от 30.11.2024 № 420-ФЗ (поправки в КоАП РФ)
Судебная практика и правоприменение
- Обзор штрафов GDPR и кейс Meta (2023)
- Решение Суда ЕС от 05.12.2023 по делу C-807/21 (Deutsche Wohnen)
