GDPR и международные данные

GDPR (General Data Protection Regulation) - это Регламент Европейского союза 2016/679 о защите персональных данных, вступивший в силу 25 мая 2018 года и применяемый экстерриториально: он распространяется на любую российскую компанию, которая обрабатывает данные граждан ЕС, предлагает им товары или услуги либо отслеживает их поведение в интернете. По состоянию на май 2026 года GDPR остаётся действующим регуляторным стандартом для трансграничной передачи данных, а штрафы за нарушения достигают 20 млн евро или 4% глобального годового оборота компании - в зависимости от того, какая сумма больше. Российский бизнес, работающий с европейскими партнёрами, клиентами или сотрудниками, несёт прямые правовые и репутационные риски при несоблюдении требований регламента.

Тема GDPR и международной передачи данных актуальна для российских IT-компаний, экспортёров, маркетплейсов и любого бизнеса с европейским присутствием. Вопросы соответствия требованиям GDPR, законной передачи персональных данных за рубеж, соотношения GDPR и российского законодательства о персональных данных (Федеральный закон № 152-ФЗ) требуют системного юридического подхода - разовые консультации здесь не работают.

Что такое GDPR и кого он обязывает в России?

GDPR обязывает российскую компанию соблюдать его требования, если она обрабатывает персональные данные физических лиц, находящихся на территории ЕС, - вне зависимости от того, где зарегистрирована сама компания. Статья 3 Регламента 2016/679 устанавливает экстерриториальный принцип: достаточно факта предложения товаров или услуг резидентам ЕС либо мониторинга их поведения. Это означает, что российский интернет-магазин с доставкой в Германию, SaaS-сервис с европейскими пользователями или рекрутинговая платформа, собирающая резюме граждан ЕС, подпадают под действие GDPR.

Регламент разграничивает два ключевых субъекта: контролёр данных (data controller) - лицо, определяющее цели и способы обработки, и обработчик данных (data processor) - лицо, обрабатывающее данные по поручению контролёра. Российская компания может выступать в обоих качествах одновременно. Для каждого из них GDPR устанавливает отдельный перечень обязательств: контролёр несёт основную ответственность перед субъектом данных, обработчик - договорную ответственность перед контролёром и регуляторную перед надзорным органом.

Практически важно: GDPR требует назначить представителя в ЕС (статья 27), если компания систематически обрабатывает данные граждан ЕС в крупных масштабах или обрабатывает специальные категории данных. Отсутствие представителя - самостоятельное нарушение, за которое надзорные органы государств-членов ЕС вправе наложить штраф до 10 млн евро. Многие российские компании игнорируют это требование, полагая, что физическое отсутствие в ЕС защищает их от ответственности. Это ошибочная позиция: надзорные органы Германии, Нидерландов и Ирландии неоднократно возбуждали дела против нерезидентов.

Частая ошибка - смешивать понятия "обработка данных граждан ЕС" и "хранение данных на серверах в ЕС". GDPR привязан к субъекту данных, а не к географии сервера. Российская компания, хранящая данные европейских пользователей на серверах в Москве, всё равно обязана соблюдать GDPR.

Соотношение GDPR и Федерального закона № 152-ФЗ "О персональных данных" создаёт двойную регуляторную нагрузку. Российское законодательство требует локализации данных российских граждан на серверах в РФ (статья 18.1 Закона № 152-ФЗ), тогда как GDPR устанавливает собственные требования к трансграничной передаче. Компания, работающая в обоих правопорядках, обязана выполнять оба режима одновременно - без возможности выбора "более удобного".

Неочевидный риск: российские компании, получившие инвестиции от европейских фондов или имеющие европейских акционеров, нередко попадают под GDPR через корпоративные соглашения об обмене данными внутри группы. Такая передача данных между аффилированными лицами требует отдельного правового основания - стандартных договорных оговорок (SCC) или обязательных корпоративных правил (BCR).

Пропуск срока уведомления надзорного органа об утечке данных - 72 часа с момента обнаружения по статье 33 GDPR - автоматически квалифицируется как самостоятельное нарушение. При масштабной утечке это добавляет к основному штрафу ещё один, и совокупные санкции могут превысить 10 млн евро.

Если ваша компания работает с европейскими клиентами или партнёрами и вы не уверены, распространяется ли на неё GDPR, - это уже риск. Надзорные органы ЕС не предупреждают о проверке заранее.

Как законно передавать персональные данные в страны ЕС и за рубеж?

Законная трансграничная передача персональных данных в страны ЕС возможна по нескольким правовым основаниям: решение об адекватности (adequacy decision) Европейской комиссии, стандартные договорные оговорки (Standard Contractual Clauses, SCC), обязательные корпоративные правила (Binding Corporate Rules, BCR) или явное согласие субъекта данных при соблюдении ряда условий. Глава V GDPR (статьи 44-49) устанавливает исчерпывающий перечень механизмов - передача за его пределами незаконна вне зависимости от договорённостей сторон.

Решение об адекватности означает, что Европейская комиссия признала уровень защиты данных в третьей стране эквивалентным европейскому. Россия в этот список не включена. Это означает, что передача данных из ЕС в Россию (например, от европейского работодателя к российскому подрядчику) требует применения одного из альтернативных механизмов - прежде всего SCC.

Стандартные договорные оговорки - наиболее распространённый инструмент для российских компаний. Европейская комиссия в июне 2021 года утвердила новые модульные SCC, заменившие прежние версии. Переходный период истёк в декабре 2022 года: все действующие договоры на обработку данных должны содержать актуальные SCC. Компании, использующие старые оговорки образца 2001 или 2010 годов, формально нарушают GDPR - даже если договор в остальном соответствует регламенту.

Для внутригрупповой передачи данных (между материнской и дочерней компаниями) оптимальный инструмент - BCR. Их разработка и согласование с надзорным органом занимают от 12 до 24 месяцев и требуют значительных ресурсов, поэтому BCR экономически оправданы только для крупных корпоративных структур с постоянным потоком данных внутри группы.

Согласие субъекта данных как основание для трансграничной передачи применяется ограниченно. GDPR допускает его использование только для разовых передач, не носящих систематического характера. Если компания ежедневно передаёт данные тысяч пользователей в третью страну, опираться на согласие нельзя - надзорные органы квалифицируют это как обход требований главы V.

Что подготовить для законной трансграничной передачи данных:

• Реестр операций по обработке данных (Record of Processing Activities, RoPA) с указанием всех получателей в третьих странах.
• Актуальные SCC (версия Европейской комиссии от июня 2021 года) в составе договора с каждым получателем данных за пределами ЕС.
• Оценка воздействия на защиту данных (DPIA) - для высокорисковых операций обработки (статья 35 GDPR).
• Политика конфиденциальности с разделом о трансграничной передаче и правовых основаниях.
• Договор об обработке данных (DPA) с каждым обработчиком, действующим от имени контролёра.

Неочевидный риск: российские компании нередко включают SCC в договор, но не проводят предварительную оценку законодательства страны-получателя (Transfer Impact Assessment, TIA). После решения Суда ЕС по делу Schrems II (июль 2020 года) TIA стала обязательным элементом: если законодательство страны-получателя позволяет государственным органам получать доступ к данным без судебного контроля, SCC сами по себе недостаточны - необходимы дополнительные технические и организационные меры.

Какие требования GDPR наиболее часто нарушают российские компании?

Российские компании чаще всего нарушают три группы требований GDPR: отсутствие правового основания для обработки данных (статья 6), несоблюдение принципа минимизации данных (статья 5) и ненадлежащее информирование субъектов данных (статьи 13-14). По данным надзорных органов государств-членов ЕС, именно эти нарушения составляют большинство дел, возбуждённых против нерезидентов в 2023-2025 годах.

Правовое основание для обработки - ключевой элемент соответствия GDPR. Статья 6 устанавливает шесть оснований: согласие, исполнение договора, выполнение юридического обязательства, защита жизненно важных интересов, выполнение задачи в общественных интересах, законный интерес контролёра. Российские компании часто указывают "согласие" как универсальное основание, не осознавая, что GDPR предъявляет к нему жёсткие требования: согласие должно быть свободным, конкретным, информированным и однозначным. Заранее проставленные галочки, молчаливое согласие или согласие как условие использования сервиса - всё это не соответствует требованиям статьи 7.

Принцип минимизации данных означает, что компания вправе собирать только те данные, которые необходимы для конкретной цели обработки. На практике это нарушается при разработке форм регистрации, анкет и CRM-систем: маркетологи добавляют поля "на всякий случай", не задумываясь о правовом основании для каждого из них. Каждое избыточное поле - потенциальное нарушение статьи 5(1)(c) GDPR.

Права субъектов данных по GDPR включают право на доступ (статья 15), право на исправление (статья 16), право на удаление (статья 17), право на ограничение обработки (статья 18), право на переносимость данных (статья 20) и право на возражение (статья 21). Компания обязана ответить на запрос субъекта данных в течение одного месяца. Отсутствие процедуры обработки таких запросов - типичная ошибка, которая выявляется при первой же жалобе в надзорный орган.

Уведомление об утечке данных - ещё одна зона риска. Статья 33 GDPR обязывает контролёра уведомить надзорный орган об утечке в течение 72 часов с момента её обнаружения. Если утечка создаёт высокий риск для прав субъектов данных, статья 34 требует также уведомить самих субъектов. Многие компании не имеют процедуры реагирования на инциденты и обнаруживают утечку спустя недели - к этому моменту срок уведомления уже пропущен.

Как соотносятся GDPR и российский закон о персональных данных?

GDPR и Федеральный закон № 152-ФЗ "О персональных данных" действуют параллельно и не исключают друг друга: российская компания, обрабатывающая данные граждан ЕС, обязана соблюдать оба режима одновременно. Российское законодательство регулирует обработку данных российских граждан и устанавливает требование локализации (статья 18.1 Закона № 152-ФЗ), тогда как GDPR применяется к данным граждан ЕС вне зависимости от места хранения. Роскомнадзор и европейские надзорные органы действуют независимо друг от друга.

Ключевые различия между двумя режимами существенны для практики. GDPR устанавливает более высокие требования к качеству согласия: российский закон допускает согласие в форме конклюдентных действий (статья 9 Закона № 152-ФЗ), тогда как GDPR требует однозначного подтверждения. GDPR вводит обязательную оценку воздействия (DPIA) для высокорисковых операций - российский закон аналогичного инструмента не предусматривает. Сроки хранения данных: GDPR требует установить конкретный срок и обосновать его, российский закон допускает более гибкий подход.

Практически важно: требование локализации по Закону № 152-ФЗ и требование GDPR о трансграничной передаче могут вступать в конфликт. Если российская компания обязана хранить данные российских граждан в России, но при этом передаёт их европейскому партнёру для исполнения договора, она должна обеспечить соответствие обоим режимам: локализовать первичную базу в России и одновременно обеспечить правовое основание для передачи копии в ЕС.

Роскомнадзор с 2022 года существенно усилил надзор за трансграничной передачей данных. Уведомление о намерении осуществить трансграничную передачу теперь подаётся через портал Роскомнадзора до начала передачи (статья 12 Закона № 152-ФЗ в редакции 2022 года). Отсутствие уведомления - административное правонарушение по статье 13.11 КоАП РФ, штраф для юридических лиц составляет от 100 000 до 300 000 рублей. При повторном нарушении - до 500 000 рублей.

Самостоятельная разработка политики конфиденциальности без анализа применимых режимов регулирования приводит к тому, что документ соответствует одному закону и нарушает другой. Средняя стоимость приведения документации в соответствие с обоими режимами после выявления нарушений в 2-3 раза превышает стоимость превентивного аудита.

Если вы уже получили запрос от европейского надзорного органа или жалобу от субъекта данных, промедление с ответом усугубляет ситуацию. GDPR устанавливает месячный срок для ответа на запрос субъекта данных - его нарушение является самостоятельным основанием для штрафа.

Частые вопросы

1. Распространяется ли GDPR на российскую компанию, у которой нет офиса в ЕС?

GDPR распространяется на российскую компанию без офиса в ЕС, если она предлагает товары или услуги гражданам ЕС либо отслеживает их поведение - это прямо установлено статьёй 3 Регламента 2016/679. Наличие физического присутствия в ЕС не является условием применимости регламента. Достаточно того, что сайт компании доступен в ЕС, принимает оплату в евро или содержит контент на языках государств-членов ЕС - надзорные органы расценивают это как признак намерения работать с европейскими потребителями.

2. Какой штраф грозит за нарушение GDPR и может ли он быть взыскан с российской компании?

Штраф за нарушение GDPR составляет до 20 млн евро или до 4% глобального годового оборота компании - применяется большая из двух сумм. Взыскание с российской компании возможно через арест активов в ЕС, блокировку платёжных систем или через судебные процедуры в государствах-членах ЕС. На практике надзорные органы чаще добиваются исполнения через давление на европейских партнёров и платёжных посредников, чем через прямое взыскание.

3. Нужно ли получать новое согласие пользователей при переходе на новые стандартные договорные оговорки (SCC)?

Новые SCC, утверждённые Европейской комиссией в июне 2021 года, требуют перезаключения договоров об обработке данных с получателями в третьих странах, но не обязывают получать новое согласие от субъектов данных. Согласие субъекта данных и SCC - разные правовые инструменты: SCC регулируют отношения между контролёром и обработчиком, а не между контролёром и субъектом данных. Переход на новые SCC должен был быть завершён до декабря 2022 года.

4. Как GDPR соотносится с требованием Роскомнадзора о локализации данных?

Требование локализации данных российских граждан на серверах в России (статья 18.1 Федерального закона № 152-ФЗ) и требования GDPR действуют параллельно и не исключают друг друга. Компания обязана хранить первичную базу данных российских граждан в России и одновременно обеспечить правовое основание по GDPR для передачи данных граждан ЕС. Уведомление о трансграничной передаче подаётся в Роскомнадзор до начала передачи через портал ведомства.

5. Обязательно ли назначать DPO (Data Protection Officer) для российской компании, работающей с данными граждан ЕС?

Назначение DPO (сотрудника по защите данных) обязательно в трёх случаях, установленных статьёй 37 GDPR: если обработка данных является основным видом деятельности компании и осуществляется в крупных масштабах, если компания систематически и масштабно отслеживает поведение субъектов данных, или если компания обрабатывает специальные категории данных (здоровье, биометрия, политические взгляды). DPO может быть штатным сотрудником или внешним специалистом - GDPR допускает оба варианта.

GDPR создаёт реальную регуляторную нагрузку для российского бизнеса, работающего с европейскими данными. Экстерриториальный принцип, двойная регуляторная среда (GDPR плюс Закон № 152-ФЗ) и жёсткие санкции требуют системного подхода: разовая консультация не заменяет полноценный комплаенс. Ключевые точки риска - трансграничная передача данных без актуальных SCC, отсутствие представителя в ЕС и неготовность к обработке запросов субъектов данных в установленные сроки.

Юридическая фирма «Ветров и партнёры» сопровождает российские компании в вопросах соответствия GDPR с момента вступления регламента в силу. Практика охватывает аудит документации, разработку политик обработки данных, подготовку SCC и DPA, представление интересов при взаимодействии с надзорными органами. Опыт работы с IT-компаниями, экспортёрами и международными корпоративными структурами позволяет учитывать специфику каждого сектора.