GDPR (При соблюдении международных стандартов российские компании также обязаны соблюдать требования российского законодательства о персональных данных (ФЗ-152, ФЗ-242). Возможны конфликты норм, требующие профессиональной юридической оценки.) в Европе, CCPA в Калифорнии и LGPD в Бразилии создают юридические риски для компаний с зарубежными клиентами. Штрафы достигают 20 миллионов евро (≈1,9 млрд ₽) или 4% годовой выручки. Для российских компаний с международными контрагентами это прямая угроза бизнесу.

Это реальность 2026 года. GDPR в Европе, CCPA в Калифорнии и LGPD в Бразилии создают юридические риски для компаний с зарубежными клиентами. Штрафы достигают 20 миллионов евро (≈1,9 млрд ₽) или 4% годовой выручки. Для российских компаний с международными контрагентами это прямая угроза бизнесу.

Это руководство покажет конкретные шаги для проверки текущих процессов обработки данных и адаптации к международным стандартам. Вы получите чек‑листы, примеры реальных штрафов и инструменты для защиты компании от санкций регуляторов.

Цель: система защиты данных для трёх юрисдикций

Вы создадите документированную систему обработки данных, которая соответствует требованиям ЕС, США и Латинской Америки. Результат включает карту потоков данных в компании, обновлённые пользовательские соглашения на трёх языках, технические настройки для управления согласиями пользователей, процедуры удаления данных по запросу клиента и документацию для аудита регуляторами.

Время выполнения: от 40 часов для малого бизнеса до 50 сотрудников до 400 часов для корпорации более 1 000 сотрудников. Стоимость внешних консультантов: от 350 000 до 4 500 000 рублей в зависимости от масштаба.

Необходимые ресурсы:

• Доступ к базам данных компании и CRM
• Юрист с опытом международного privacy law
• Разработчик для изменений в коде сайта и приложений
• Менеджер проекта для координации между отделами

Предварительное условие: у компании есть клиенты из ЕС, США или Бразилии либо планируется выход на эти рынки в течение 12 месяцев.

Шаг 1: Определите применимость законов к вашему бизнесу

Проверьте, попадает ли ваша компания под действие GDPR, CCPA или LGPD.

Откройте таблицу Excel. Создайте три столбца: ЕС, Калифорния, Бразилия. В первой строке напишите количество клиентов из каждого региона за последние 12 месяцев. Во второй строке укажите годовую выручку от этих клиентов в рублях.

GDPR применяется, если у вас есть хотя бы один клиент из ЕС. Гражданство или местонахождение сервера не имеют значения — важен факт обработки данных резидента Евросоюза. Штрафы достигают 20 миллионов евро (≈1,9 млрд ₽) или 4% глобальной выручки. Европейский суд подтвердил штраф Amazon на 746 миллионов евро (≈72 млрд ₽) 18 марта 2025 года за нарушения в обработке согласий пользователей, согласно решению Суда Европейского союза.

CCPA действует при трёх условиях: годовая выручка превышает 25 миллионов долларов (≈1,9 млрд ₽), данные 100 000 и более калифорнийцев в год или 50% и более выручки от продажи данных. Штрафы составляют 2 500 долларов (≈190 тыс. ₽) за непреднамеренное нарушение и 7 500 долларов (≈580 тыс. ₽) за умышленное. Расчёт ведётся за каждого пострадавшего пользователя, как указано в официальном руководстве California Attorney General.

LGPD охватывает компании, обрабатывающие данные бразильцев на территории Бразилии или предлагающие услуги бразильскому рынку. Штрафы достигают 2% выручки в Бразилии, максимум 50 миллионов реалов за нарушение, согласно бразильскому Национальному агентству защиты данных ANPD.

Шаг 2: Составьте карту данных

Зафиксируйте все места, где компания собирает, хранит или передаёт персональные данные.

Создайте документ «Карта данных». Разделите на пять категорий: сбор, хранение, обработка, передача третьим лицам, удаление. Начните с точек сбора. Перечислите все формы на сайте: регистрация, подписка, покупка, обратная связь. Добавьте мобильные приложения. Укажите обязательные поля: имя, email, телефон, адрес доставки, IP-адрес, cookies.

Проверьте систему хранения. Откройте админку CRM. Экспортируйте список полей базы данных. Типичные поля включают ФИО, дату рождения, историю покупок, переписку с поддержкой. Всё это — персональные данные по GDPR.

Опросите отделы. Маркетинг использует email‑рассылки. Продажи хранят контакты в таблицах. Бухгалтерия работает с 1С. IT‑отдел имеет доступ к логам сервера с IP‑адресами.

Проверьте третьи лица. Найдите интеграции: аналитику, метрику, пиксели соцсетей, платёжные системы. Все они получают данные ваших клиентов. По GDPR вы отвечаете за их действия. Карта должна показывать путь каждого байта данных от момента ввода до удаления.

Не забудьте резервные копии. Данные в бэкапах тоже подлежат удалению при запросе клиента.

Шаг 3: Проведите аудит правовых оснований

Определите законное основание для обработки каждой категории данных.

GDPR требует одно из шести оснований: согласие, договор, юридическая обязанность, жизненно важные интересы, публичный интерес, законный интерес. Согласие используется чаще всего, но это самое хрупкое основание. Пользователь может отозвать его в любой момент, как разъясняется в Статье 6 GDPR.

Откройте карту данных из шага 2. Для каждой точки сбора напишите основание. Email для рассылки требует явного согласия. Email для выполнения заказа основан на договоре. Хранение данных для налоговой отчётности — это юридическая обязанность.

Проверьте текущие формы согласия. Найдите чекбоксы на сайте. Типичная ошибка: «Регистрируясь, вы соглашаетесь с политикой конфиденциальности». Это не согласие по GDPR. Требуется активное действие, отдельное от других условий. Предварительно отмеченные галочки запрещены.

CCPA не требует предварительного согласия. Закон даёт право отказаться, а не разрешить. Но для лиц младше 16 лет согласие обязательно. LGPD следует модели GDPR — согласие должно быть конкретным для каждой цели.

Создайте таблицу: столбец «Данные», столбец «Цель использования», столбец «Правовое основание», столбец «Статус соответствия». Заполните для всех процессов.

Шаг 4: Обновите политику конфиденциальности

Перепишите документ с учётом требований трёх законов.

Скачайте текущую политику конфиденциальности с сайта. Откройте в редакторе. Проверьте наличие обязательных разделов по GDPR: цели обработки, правовые основания, сроки хранения, права пользователей, контакты ответственного лица, информация о передаче в третьи страны.

Цели должны быть конкретными. Плохо: «Для улучшения сервиса». Хорошо: «Для отправки уведомлений о статусе заказа» и отдельно «Для персонализации рекламных предложений на основе истории покупок».

Сроки хранения обязательны. Нельзя писать: «Храним, пока необходимо». Укажите конкретно: «Email и история заказов хранятся 3 года с момента последней покупки. Переписка с поддержкой удаляется через 1 год после закрытия обращения».

Добавьте раздел о правах пользователей. GDPR даёт восемь прав: доступ к данным, исправление, удаление, ограничение обработки, переносимость данных, возражение против обработки, права относительно автоматизированных решений, отзыв согласия. CCPA требует раздел «Не продавать мою информацию». LGPD требует указать контакты ответственного за обработку.

Язык документа критичен. Политика должна быть на языке пользователя. Для европейских клиентов добавьте английскую версию минимум. Для бразильских — португальскую. Автоматический перевод недопустим.

Шаг 5: Внедрите механизмы согласия

Настройте техническую систему для получения и фиксации согласий пользователей.

Установите Consent Management Platform. Популярные решения: Cookiebot (Издание не имеет коммерческих отношений с упомянутыми сервисами. Примеры приведены исключительно в информационных целях.) от 10 долларов (≈770 ₽) в месяц, OneTrust корпоративный от 20 000 долларов (≈1,5 млн ₽) в год, Osano от 200 долларов (≈15 тыс. ₽) в месяц. Для малого бизнеса подойдёт бесплатный Termly с ограничением до 100 посетителей в день.

Зарегистрируйтесь в выбранном сервисе. Добавьте домен сайта. Сервис сгенерирует JavaScript‑код (Технические операции должны выполняться квалифицированными IT-специалистами. Неправильное выполнение может привести к потере данных или нарушению работы систем.) . Скопируйте его. Откройте код вашего сайта. Вставьте скрипт перед закрывающим тегом на всех страницах.

Настройте категории cookies. Обязательные: необходимые для работы сайта, сессии, корзина. Пользователь не может отказаться. Опциональные: аналитика, маркетинг, ретаргетинг, персонализация, рекомендации товаров.

Проверьте баннер согласия. Он должен появиться при первом заходе на сайт. Кнопки «Принять все», «Отклонить все», «Настроить» обязательны. Кнопки должны быть равнозначны по размеру и цвету. Нельзя делать «Принять» ярким, а «Отклонить» серым и мелким. Европейский суд подтвердил штраф Amazon на 746 миллионов евро за манипулятивный дизайн баннера согласия.

Настройте блокировку скриптов до получения согласия. По умолчанию аналитика и рекламные пиксели не должны загружаться. CMP управляет этим автоматически.

Создайте базу данных согласий. Зафиксируйте для каждого пользователя: дату и время согласия, IP‑адрес, версию политики конфиденциальности, категории согласий, способ получения. Срок действия согласия составляет 12 месяцев. Через год попросите пользователя подтвердить согласие повторно.

Шаг 6: Реализуйте права пользователей

Создайте процедуры для выполнения запросов на доступ, исправление и удаление данных.

Добавьте форму запроса на сайт. Раздел «Мои данные» или «Privacy Request». Поля: email, тип запроса (доступ, исправление, удаление, отзыв согласия), описание. Кнопка отправки.

Назначьте ответственного сотрудника. Это может быть HR, юрист или IT‑специалист. Человек должен проверять форму ежедневно. Срок ответа по GDPR: 30 дней, продление до 60 дней при сложных запросах. LGPD: 15 дней без права продления. CCPA: 45 дней, продление до 90 дней.

Проверка личности обязательна. Нельзя отправлять данные по email без подтверждения. Попросите пользователя прислать скан паспорта или выполнить двухфакторную аутентификацию через код из SMS.

Для запроса доступа подготовьте экспорт данных. Форматы: PDF для людей, JSON для машинной обработки. Включите всё: профиль пользователя, история заказов, переписка, логи действий, данные из интеграций.

Удаление данных требует внимания. Откройте CRM. Найдите пользователя по email. Удалите или анонимизируйте запись. Анонимизация: замените ФИО на User_12345, email на deleted_12345@anonymized.local. Проверьте все интеграции. Email из базы должен быть удалён из всех email‑сервисов и рекламных систем.

Зафиксируйте выполнение запроса. Создайте лог: дата запроса, дата ответа, тип запроса, действия выполнены, подтверждение отправлено пользователю.

Шаг 7: Настройте защиту данных при передаче

Обеспечьте безопасность персональных данных при передаче третьим лицам и через границы.

Проверьте все контракты с подрядчиками. Поставщики email‑рассылок, платёжные системы, хостинг‑провайдеры должны подписать Data Processing Agreement. Это приложение к основному договору, где подрядчик обязуется соблюдать GDPR, как описано в Стандартных договорных условиях Европейской комиссии.

DPA должен содержать: цели обработки, типы данных, обязанности сторон, меры безопасности, сроки хранения, процедуру уведомления об утечке, право на аудит. Шаблоны DPA доступны у крупных провайдеров.

Передача за пределы ЕС требует дополнительных гарантий. После отмены Privacy Shield в 2020 году единственный легальный механизм — это Standard Contractual Clauses. ЕС опубликовал обновлённые SCC в 2021 году. Передача в Россию из ЕС возможна только через SCC. Европейский суд не признаёт Россию страной с адекватным уровнем защиты данных. Без SCC передача данных незаконна.

Проверьте, где физически хранятся данные. Откройте панель хостинга. Посмотрите локацию серверов. Если данные европейских клиентов на сервере в Москве или Владивостоке — это передача. Нужны SCC с хостинг‑провайдером.

Настройте шифрование при передаче. Все API‑запросы только через HTTPS. Проверьте SSL‑сертификат сайта. Шифрование в покое обязательно для чувствительных данных. Пароли должны храниться в хешированном виде.

Регулярный аудит безопасности критичен. Наймите внешнего специалиста для пентеста раз в год. Утечка данных требует уведомления регулятора в течение 72 часов по GDPR.

Шаг 8: Документируйте процессы обработки

Создайте внутреннюю документацию для демонстрации соответствия при аудите.

Подготовьте Record of Processing Activities. Это реестр всех операций с данными. GDPR требует ROPA для компаний с 250 и более сотрудниками, но рекомендован всем. Формат: таблица Excel или Google Sheets.

Столбцы ROPA: название процесса, цель обработки, категории субъектов данных, категории данных, получатели данных, передача в третьи страны, сроки хранения, меры безопасности. Заполните для каждого процесса.

Data Protection Impact Assessment требуется для высокорисковых операций — когда вы используете автоматизированные решения, влияющие на права людей: скоринг, профилирование, видеонаблюдение с распознаванием лиц. DPIA включает описание процесса, оценку рисков, меры минимизации, согласно руководству британского регулятора ICO.

Назначьте Data Protection Officer, если компания: государственная, регулярно мониторит пользователей в большом масштабе, обрабатывает чувствительные данные. Для частного бизнеса DPO опционален, но рекомендуется при обороте выше 500 миллионов рублей.

Внутренние политики и инструкции обязательны. Напишите документ «Политика обработки персональных данных для сотрудников». Разделы: кто имеет доступ к данным, как запрашивать доступ, как передавать данные коллегам, что делать при утечке, ответственность за нарушения.

Обучите персонал. Проведите вебинар или очную встречу. Темы: основы GDPR, права пользователей, процедура обработки запросов, безопасность паролей, фишинг. Зафиксируйте участие. Обучение раз в год минимум.

Шаг 9: Настройте мониторинг соответствия

Создайте систему регулярной проверки выполнения требований.

Установите календарные напоминания. Ежемесячно: проверка формы запросов пользователей, обновление ROPA при изменениях. Ежеквартально: аудит новых интеграций и подрядчиков. Ежегодно: обновление политики конфиденциальности, обучение сотрудников, внешний пентест.

Подключите автоматические инструменты мониторинга. OneTrust, TrustArc, BigID сканируют вашу инфраструктуру и находят незадекларированные cookies, скрипты третьих лиц, неиспользуемые данные в базах. Стоимость: от 5 000 долларов (≈390 тыс. ₽) в год.

Проверьте cookies на сайте. Откройте Chrome DevTools. Вкладка Application, раздел Cookies. Посмотрите список доменов. Всё, что не ваш домен — это третья сторона. Они должны быть в политике конфиденциальности и баннере согласия.

Аудит базы данных раз в полгода. Экспортируйте список полей CRM. Проверьте, используется ли каждое поле. Собираете дату рождения, но не используете для сегментации? Удалите поле и данные. Минимизация данных — это принцип GDPR.

Проверьте сроки хранения. Напишите SQL‑запрос: выберите записи старше указанного срока. Отправьте им email: «Мы удалим ваши данные через 30 дней, если не подтвердите желание остаться». Нет ответа — удаляйте. Автоматическое удаление критично для масштаба.

Мониторьте изменения законодательства. Подпишитесь на рассылки международных ассоциаций по защите данных. Создайте риск‑регистр. Таблица: потенциальное нарушение, вероятность, последствия, меры минимизации, ответственный, дедлайн. Обновляйте ежеквартально.

Шаг 10: Подготовьтесь к инцидентам

Разработайте план реагирования на утечки данных и запросы регуляторов.

Создайте документ «Incident Response Plan». Разделы: определение инцидента, команда реагирования, процедура уведомления, шаблоны коммуникации, контакты регуляторов.

Инцидент — это несанкционированный доступ, утечка, потеря, изменение или уничтожение данных. Примеры: взлом сервера, потеря ноутбука с клиентской базой, случайная отправка email не тому получателю, ошибка в настройках приватности.

Команда реагирования: IT‑директор (технические меры), DPO или юрист (юридическая оценка), PR‑менеджер (коммуникация), CEO (принятие решений). Контакты всех участников должны быть доступны 24/7.

Процедура уведомления регулятора: оценить инцидент в течение 24 часов, уведомить регулятора в течение 72 часов, если есть риск для прав пользователей. Риск определяется масштабом, типом данных, возможностью злоупотребления.

Уведомление пользователей требуется, если риск высокий. Критерии: данные могут быть использованы для мошенничества, кражи личности, дискриминации. Шаблон уведомления пользователя: описание инцидента простым языком, какие данные затронуты, когда произошло, какие меры приняты, рекомендации пользователю, контакты для вопросов.

Проведите учебный инцидент. Соберите команду. Смоделируйте ситуацию: «Ночью обнаружен несанкционированный доступ к базе данных, скачано 10 000 записей клиентов с email и телефонами». Засеките время. Цель: уложиться в 4 часа.

Документирование инцидента обязательно. Зафиксируйте: дату и время обнаружения, описание, затронутые данные, количество пользователей, принятые меры, уведомления, итоговые выводы, меры предотвращения повторения.

Частые проблемы и решения

Проблема: Баннер согласия не появляется на сайте после установки кода CMP.

Решение: Откройте консоль браузера. Проверьте ошибки JavaScript. Частая причина: конфликт с другими скриптами или AdBlock блокирует CMP. Отключите AdBlock на тестовом домене. Проверьте, что код вставлен до всех других скриптов трекинга. Протестируйте в режиме инкогнито.

Проблема: Пользователь запросил удаление данных, но они остаются в аналитике.

Решение: Аналитические системы не позволяют удалять исторические данные. Используйте User ID для идентификации. Создайте сегмент с этим User ID и исключите из всех отчетов. Альтернатива: используйте современные версии с настройкой автоматического удаления данных через API.

Проблема: Подрядчик отказывается подписывать DPA, утверждая, что это не требуется.

Решение: DPA обязателен по GDPR для всех процессоров данных. Отказ подрядчика создаёт риск для вашей компании. Найдите альтернативного поставщика. Крупные провайдеры предоставляют DPA по умолчанию. Отправьте им шаблон DPA и объясните, что без него сотрудничество невозможно.

Проблема: Регулятор прислал запрос о проверке соответствия GDPR, дал 30 дней на ответ.

Решение: Не игнорируйте запрос. Немедленно свяжитесь с юристом, специализирующимся на GDPR. Соберите всю документацию: ROPA, DPA с подрядчиками, политику конфиденциальности, логи согласий, записи обучения персонала. Ответьте в срок с полным пакетом документов.

Проблема: Компания планирует выход на рынок ЕС через маркетплейс — нужно ли соблюдать GDPR?

Решение: Да. Продажа через маркетплейс не освобождает от GDPR. Вы остаётесь контроллером данных для клиентов. Маркетплейс предоставит инструменты для управления согласиями и запросами, но юридическая ответственность ваша. Подпишите DPA с маркетплейсом.

Проблема: Клиент требует компенсацию за нарушение GDPR, угрожает судом.

Решение: GDPR даёт пользователям право на компенсацию материального и морального вреда. Оцените обоснованность требования с юристом. Если нарушение действительно было, предложите урегулирование до суда. Суды ЕС присуждают компенсации от 500 до 15 000 евро (≈48 тыс. – 1,4 млн ₽) за моральный вред в зависимости от тяжести нарушения.

Что делать дальше

Подключите автоматический мониторинг compliance через специализированные платформы для масштабирования контроля при росте бизнеса. Стоимость таких решений начинается от 480 000 рублей в год, но они окупаются снижением рисков штрафов.

Внедрите Privacy by Design: учитывайте требования защиты данных на этапе разработки новых продуктов и функций, а не постфактум. Каждая новая функция должна проходить проверку на соответствие GDPR до запуска в продакшн.

Получите сертификацию ISO 27001 для демонстрации высокого уровня информационной безопасности при работе с корпоративными клиентами из ЕС. Это конкурентное преимущество при переговорах с крупными европейскими компаниями, как подтверждает международная организация стандартизации ISO.

Присоединяйтесь к отраслевым ассоциациям для доступа к актуальным шаблонам, обучению и нетворкингу с экспертами. Членство даёт доступ к закрытым вебинарам по новым прецедентам и изменениям в законодательстве.

Настройте регулярные внутренние аудиты раз в квартал для выявления новых точек сбора данных при запуске маркетинговых кампаний или технических обновлений. Проактивный подход дешевле реактивного реагирования на штрафы.