Документы

Как соблюдать GDPR: полная инструкция для бизнеса

11
Последнее обновление: 23 сентября 2025

GDPR — это общеевропейский закон о защите персональных данных. Его цель проста: дать людям контроль над тем, как компании используют их имена, телефоны, электронные адреса, банковские реквизиты и любую другую информацию. Закон действует в странах ЕС, но распространяется и на бизнес за пределами Европы, если он работает с европейскими клиентами.

Когда GDPR применим к вашей компании

GDPR работает по принципу: закон защищает данные людей из Европы, где бы компания ни находилась. Если ваш бизнес в России, но у вас есть клиенты из ЕС, вы обязаны учитывать требования этого регламента.

То есть важно не то, где зарегистрирована компания, а чьи данные она обрабатывает. Разберём на понятных ситуациях.

  • Интернет-магазин

Допустим, вы продаёте товары онлайн и принимаете заказы с доставкой в Германию или Польшу. Чтобы оформить покупку, клиент вводит имя, телефон, адрес и email. Эти данные подпадают под защиту GDPR. Даже если у вас всего один покупатель из ЕС, формально вы уже попадаете под закон.

  • SaaS или облачный сервис

Российская компания предлагает сервис для хранения файлов или совместной работы. Пользователи из Франции регистрируются и оставляют логин, пароль, корпоративный email. Всё это — персональные данные. Значит, сервис обязан соответствовать требованиям GDPR, даже если сервера и сотрудники находятся только в России.

  • Маркетинговая рассылка

Компания собирает адреса посетителей сайта, а среди них есть клиенты из ЕС. На их почту уходят письма с акциями и предложениями. Рассылка — это обработка данных, и если среди подписчиков есть жители Европы, то снова применим GDPR.

Чтобы быстро проверить, касается ли вас GDPR, достаточно ответить на несколько вопросов:

  1. Есть ли у меня клиенты или пользователи из ЕС?
  2. Обрабатываю ли я их персональные данные (имя, адрес, телефон, email, платежные реквизиты)?
  3. Отправляю ли я им письма или показываю рекламу, ориентированную на жителей Европы?
  4. Если на любой вопрос ответ «да», значит, в работе нужно учитывать требования GDPR.

Какие риски и санкции могут грозить бизнесу

— Денежные штрафы

Их размер зависит от тяжести нарушения: от десятков тысяч евро до миллионов. В законе есть ограничение — до 20 миллионов евро или до 4% от годового оборота компании. Обычно выбирают то, что больше. Для крупного бизнеса это особенно болезненно.

— Приостановка обработки данных

Кроме штрафов, регулятор может приостановить обработку данных. Это значит, что компания теряет право собирать и использовать информацию о пользователях, пока не исправит нарушения.

Ещё один вариант санкций — предписание внедрить конкретные меры: усилить шифрование, ограничить доступ сотрудников к данным, создать процесс уведомления клиентов об утечках.

Регуляторы оценивают не только сам факт нарушения, но и отношение компании к нему. Если утечка произошла случайно, но бизнес быстро сообщил клиентам и принял меры, наказание будет мягче. Если же проблемы повторяются, компания игнорирует требования и не реагирует на запросы регуляторов, штрафы и ограничения будут значительно выше.

— Коммерческие риски

Европейские партнёры могут отказаться от работы с компанией, если та не соблюдает GDPR. Платёжные провайдеры и банки иногда блокируют сотрудничество с организациями, у которых есть проблемы с соблюдением правил. Клиенты тоже быстро теряют доверие — утечка базы с контактами или номерами карт может обнулить репутацию за один день.

Ключевые принципы GDPR

Чтобы компания могла работать с персональными данными в Европе, она должна соблюдать базовые правила GDPR.

— Законные основания обработки данных

GDPR разрешает собирать и использовать персональные данные только тогда, когда есть на это законное основание. Их несколько:

  1. Согласие. Клиент чётко подтверждает, что согласен на использование своих данных. Например, подписка на рассылку.
  2. Контракт. Данные нужны для выполнения договора. Классический случай — оформление доставки в интернет-магазине.
  3. Законные обязательства. Когда бизнес должен хранить или передавать данные по закону, например, для налоговой отчётности.
  4. Законный интерес. Компания может использовать данные без отдельного согласия, если это необходимо для работы и не нарушает права клиента. Например, проверка логов для защиты от мошенников.

Здесь важно не путать. Если бизнес собирает телефон для рекламных звонков, нужно согласие. Если для доставки товара — это основание «контракт».

— Принцип минимизации данных

GDPR требует собирать только те данные, которые действительно нужны для конкретной задачи. Если сервису нужна почта для уведомлений — достаточно email. Запрашивать паспортные данные «на всякий случай» нельзя. Это правило сильно сокращает риски: чем меньше данных хранится, тем меньше проблем при возможной утечке.

— Права пользователей

Регламент даёт клиентам набор прав, и бизнес обязан обеспечить их выполнение:

  • право на доступ — клиент может запросить, какие данные о нём хранятся;
  • право на исправление — если информация устарела или есть ошибка;
  • право на удаление — когда человек больше не хочет, чтобы его данные использовали;
  • право на ограничение обработки — временно «заморозить» использование данных;
  • право возражать против использования данных, например, в маркетинговых целях;
  • право на переносимость — клиент может забрать свои данные и передать их другой компании.

Для бизнеса это означает необходимость иметь прозрачный процесс: как быстро отвечать на запросы, кто отвечает, какие каналы связи использовать.

— Принцип подотчётности

GDPR требует не просто соблюдать правила, но и уметь доказать это. У компании должны быть документы и процессы, которые подтверждают: работа с данными ведётся законно. Обычно назначают ответственного сотрудника или отдел, который контролирует эти вопросы.

Подотчётность — это своего рода страховка: если произойдёт проверка, бизнес сможет показать, что у него есть правила, инструкции и журнал действий, а значит, он относится к персональным данным серьёзно.

Эти четыре принципа — основа GDPR. Руководителю важно понимать их, чтобы оценивать риски и выстраивать процессы в компании.

Быстрый аудит персональных данных

Первый шаг на пути к соответствию GDPR — понять, какие персональные данные у вас есть и что с ними происходит внутри компании.

Составьте список всех мест, где могут храниться персональные данные. Это CRM, бухгалтерские программы, почта, мессенджеры сотрудников, сервисы аналитики, формы на сайте. Задача — увидеть полную картину, а не только очевидные базы клиентов. Например, номер телефона может лежать в таблице у менеджера, копия паспорта — в корпоративной почте, а адрес — в сервисе доставки.

Когда список готов, переходите к описанию процессов. Для каждой категории данных нужно ответить на четыре вопроса:

  • какие именно поля собираются (имя, телефон, email, IP-адрес и так далее);
  • зачем они нужны (цель обработки);
  • сколько времени вы их храните;
  • кто имеет доступ.

В итоге получается карта обработки данных. Её удобно вести в таблице. Например:

Источник данных Цель использования Место хранения Кто имеет доступ Правовое основание
Форма на сайте Отправка заказа CRM Отдел продаж Контракт
Email-подписка Рассылка новостей Почтовый сервис Маркетинг Согласие

Чтобы убедиться, что вы на правильном пути, можно пройтись по чек-листу. Он не заменяет полноценный аудит, но сразу показывает слабые места:

  1. Есть ли список всех систем, где хранятся данные?
  2. Знаете ли вы, какие именно категории данных собираются?
  3. Есть ли у каждой категории данных цель обработки?
  4. Проверяете ли вы, действительно ли эти данные нужны?
  5. Установлен ли срок хранения для каждой категории?
  6. Удаляются ли данные после окончания срока?
  7. Понятно ли, кто в компании имеет доступ к каждой базе?
  8. Есть ли контроль за тем, чтобы доступ был только у тех, кому он нужен?
  9. Используются ли внешние сервисы (облачные хранилища, рассылки)?
  10. Заключены ли договоры с этими сервисами на обработку данных?
  11. Есть ли у вас политика конфиденциальности для клиентов?
  12. Указаны ли там цели и сроки хранения данных?
  13. Понимают ли сотрудники, как нужно работать с персональными данными?
  14. Есть ли процесс для удаления или исправления данных по запросу клиента?
  15. Есть ли назначенный ответственный за защиту данных?

Документы и формальности. Что подготовить в первую очередь

После того как вы разобрались, какие данные собираете и зачем, пора подготовить документы. Именно они показывают регулятору и клиентам, что компания работает по правилам и готова отвечать за обработку персональных данных.

— Политика конфиденциальности

Это публичный документ, который размещается на сайте. В нём указывают:

  • какие данные собираются (имя, телефон, email, IP-адрес и т. д.);
  • зачем они нужны (например, для оформления заказа или рассылки);
  • где и сколько времени они хранятся;
  • кто имеет к ним доступ;
  • как клиент может запросить удаление или изменение своих данных.

— Реестр обработок

Это внутренняя таблица, в которой фиксируют все процессы, связанные с персональными данными: от интернет-магазина до внутреннего кадрового учёта. Она помогает контролировать, что нигде нет ошибок и лишних данных.

— Договоры

Если вы передаёте данные сторонним сервисам, нужно заключить договор с обработчиком данных. Это касается CRM, облачных хранилищ, сервисов рассылок.

В договоре обязательно должны быть пункты: какие данные передаются, для каких целей, как они защищаются и кто отвечает за инциденты. Если подрядчик привлекает других поставщиков (субпроцессоров), это тоже должно быть зафиксировано.

— Формы согласий и cookie-баннер

Когда вы собираете данные напрямую, например через форму на сайте, у пользователя должно быть согласие. Оно должно быть чётким и понятным. Нельзя прятать текст в сложных формулировках. Чем проще, тем лучше: «Я согласен на обработку персональных данных для оформления заказа».

Если вы используете cookie для аналитики или рекламы, нужен баннер. В нём должно быть объяснено, какие cookie применяются и зачем. Минимум два варианта выбора: согласиться или отказаться от необязательных cookie.

Передача данных за границу

GDPR строго регулирует, куда и на каких условиях можно передавать персональную информацию. Есть три базовых механизма:

1. ЕС оценивает страну и решает, достаточно ли у неё высокий уровень защиты данных. Россия в этот список не входит, поэтому работать напрямую с таким основанием нельзя.

2. Стандартные договорные положения (SCC) — это типовые контракты, которые можно использовать при передаче данных в страны, которые не попадают под первйы пункт. В них прописаны обязательства получателя данных: как он хранит, защищает и какие права остаются у граждан ЕС.

3. Иные механизмы трансфера — например, binding corporate rules (внутренние корпоративные правила для международных групп компаний). Но для среднего бизнеса это слишком сложно и дорого.

На практике почти всегда применяют SCC. Это документ, который подписывается между вашей компанией и иностранным партнёром или облачным сервисом.

Если российская компания предлагает товары или услуги европейцам, она должна назначить EU Representative — официального представителя в одной из стран ЕС. Его роль — быть точкой контакта для местных регуляторов и граждан. Назначение делается через договор, представитель может быть как юридическим лицом, так и консультантом.

Чтобы передавать данные, стоит заранее собрать пакет документов:

  • подписанный договор с SCC или другой правовой основой;
  • описание того, какие данные передаются и зачем;
  • оценку рисков: где хранится информация, какие меры безопасности применяются.

Например, если вы используете европейский сервис рассылок, нужно подписать с ним SCC и убедиться, что он применяет шифрование, контроль доступа и хранит данные на серверах в ЕС.

FAQ: ответы на вопросы о GPDR

Обязаны ли мы соблюдать GDPR, если продаём через маркетплейс?

Да, если у вас есть клиенты из ЕС. Даже если сам сайт — маркетплейс, ответственность за обработку данных покупателей может распространяться и на продавца. Первое действие — уточните, какие обязанности закрывает площадка, а что остаётся на вас.

Нужно ли хранить данные в ЕС?

Нет, хранить можно и за пределами ЕС. Главное — обеспечить законный механизм передачи данных: например, стандартные договорные положения (SCC).

Можно ли передавать данные в США?

Да, но только при наличии дополнительных гарантий. Обычно это SCC плюс проверка, что у провайдера есть меры безопасности. Если таких гарантий нет, данные лучше не передавать.

Нужен ли свой представитель в ЕС?

Если у вас нет офиса в Европе, но вы работаете с клиентами из ЕС, представитель обязателен. Это человек или компания, которая отвечает на запросы регулятора и пользователей.

Нужно ли брать согласие на каждую рассылку?

Да, согласие нужно на каждую отдельную цель. Если клиент оставил e-mail для покупки, это не значит, что он согласен на маркетинговые письма.

Можно ли использовать бесплатные сервисы аналитики?

Можно, но важно проверить, где сервис хранит данные. Если это США или другая «третья страна», нужно оформить документы на трансфер.

Что делать, если пользователь просит удалить данные?

Нужно выполнить запрос в разумный срок. Обычно даётся до 30 дней. Удаление должно быть реальным: из базы сайта, CRM и резервных копий, если это возможно.

Как долго можно хранить данные клиентов?

Только столько, сколько нужно для цели, ради которой они собирались. Если цель достигнута (например, заказ выполнен и гарантийный срок прошёл), данные лучше удалить.

Нужно ли шифровать данные?

Да, это базовое требование безопасности. Минимум — шифрование при передаче и в хранилище.

Можно ли собирать данные детей?

Да, но с особой осторожностью. Для детей до 16 лет нужно согласие родителей. В некоторых странах порог ниже, например 13 лет.

Нужно ли сообщать о взломе базы данных?

Да, если произошла утечка, об этом нужно уведомить регулятора в течение 72 часов. А ещё самих пользователей.


Попробуете систему в деле? (это бесплатно)

👉 Щелкните здесь, чтобы создать аккаунт 👈

Пробная версия доступна сразу же после создания аккаунта + мы пришлем письмо с подробными инструкциями.

СпрутМонитор главный экран

Похожие записи:

7 приватных браузеров для бизнеса: как сохранять конфиденциальность в 2025 Защита персональных данных клиентов: как избежать утечек и штрафов Zero Trust: что это такое и как внедрить политику нулевого доверия в компании Backd00rБэкдор: что это такое, как угрожает бизнесу, 5 способов защититься Топ-7 программ для слежения за ПК: как контролировать офисных и удалённых сотрудников Что такое бэкапы: топ-3 сервиса для резервного копирования и инструкция по выбору

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *