Многие российские IT-компании, ориентированные на экспорт, ошибочно полагают, что соблюдения российского 152-ФЗ достаточно для работы на международном рынке. Однако Общий регламент по защите данных (GDPR) имеет экстерриториальное действие. Это значит, что если ваш сайт, приложение или сервис доступны пользователям из Евросоюза, и вы мониторите их поведение (используете cookie, аналитику) или предлагаете им товары/услуги — вы обязаны соблюдать европейские нормы. Игнорирование GDPR для российских компаний чревато гигантскими штрафами до 20 млн евро или 4% от глобального оборота.
GDPR (General Data Protection Regulation) — это золотой стандарт защиты приватности. Его требования значительно строже и детальнее, чем российское законодательство. Ключевое отличие: российский закон формален (важно наличие бумажки), а европейский регламент ориентирован на риск-менеджмент и защиту прав человека. Если вы выходите на рынок ЕС, ваша политика конфиденциальности должна быть переписана с нуля, а процессы обработки данных — перестроены.
Кого касается GDPR в России? (Article 3)
Регламент применяется к вашей компании, если выполняется хотя бы одно из условий:
- Вы ведете деятельность через филиал или представительство в ЕС.
- Вы не присутствуете в ЕС физически, но предлагаете товары или услуги субъектам данных в Союзе (например, цены в евро, доставка в Германию, интерфейс на французском).
- Вы осуществляете мониторинг поведения субъектов в ЕС (поведенческий таргетинг, cookies, трекинг в приложении).
Просто наличие английской версии сайта не делает вас субъектом GDPR, но активный маркетинг на Европу — делает.
Ключевые отличия от 152-ФЗ и требования
Внедрение GDPR для российских компаний требует адаптации по нескольким фронтам.
1. Представитель в ЕС (EU Representative)
Если у вас нет офиса в Европе, но вы обрабатываете данные европейцев регулярно, вы обязаны назначить своего представителя в одной из стран ЕС (ст. 27 GDPR). Это юридическое или физическое лицо, которое будет контактной точкой для надзорных органов и граждан. Отсутствие представителя — самое частое и легко выявляемое нарушение.
2. Privacy by Design и by Default
Безопасность должна быть встроена в архитектуру продукта. Нельзя собирать данные «про запас». Если пользователь регистрируется, галочки согласия на рассылку не должны быть проставлены заранее (Pre-ticked boxes запрещены).
3. Права субъектов (Data Subject Rights)
Европейцы имеют расширенные права, которые вы обязаны технически обеспечить:
- Право на переносимость (Data Portability). Выгрузить все данные о пользователе в машиночитаемом формате (JSON/XML) по его запросу.
- Право на забвение (Right to be Forgotten). Полное удаление данных без возможности восстановления (если нет законных оснований для хранения, например, налоговых).
- Юридическая помощь в решении проблемных ситуаций
- Консультации юриста онлайн проводятся Пн-Пт, с 10:00 до 18:00 часов
4. Уведомление об утечках (Data Breech Notification)
В отличие от РФ, где сроки недавно ужесточили, в Европе правило «72 часов» действует давно. Вы обязаны сообщить о серьезной утечке надзорному органу соответствующей страны ЕС в течение 72 часов с момента обнаружения.
DPO и оценка воздействия (DPIA)
Для масштабных обработок данных требуется назначение DPO (Data Protection Officer) — независимого сотрудника, который следит за соблюдением правил. Также перед запуском новых технологий (например, AI-скоринга) необходимо проводить DPIA (Data Protection Impact Assessment) — оценку воздействия на приватность.
Мы помогаем российским IT-экспортерам построить «мостик» в Европу: проводим Gap-анализ (сравнение текущих процессов с требованиями GDPR), готовим документацию на английском языке, предоставляем услуги EU Representative через наших партнеров и настраиваем процессы реагирования на запросы пользователей, чтобы ваш бизнес был прозрачным и безопасным для европейских партнеров.