Logo WCR Consulting
WCR Consulting
Главная/ IP / Право/ Юридическая упаковка/ ЕС / GDPR
🇪🇺 Европейский Союз — GDPR

GDPR-compliance для сайта:
документы, согласия, штрафы

General Data Protection Regulation (GDPR) применяется экстратерриториально — к любому сайту, который обрабатывает данные резидентов ЕС. Штрафы превысили €7,1 млрд с 2018 года. Максимум — 4% глобальной выручки или €20 млн.

GDPR ePrivacy Directive Digital Services Act Art.27 EU Representative SCCs €7,1 млрд штрафов
GDPR-compliance для сайта → ← Все юрисдикции
🇪🇺
GDPR применяется экстратерриториально (Art.3). Если ваш сайт доступен пользователям из ЕС, собирает их данные или таргетирует EU-аудиторию — GDPR распространяется на вас, даже если компания зарегистрирована в РФ, Казахстане или ОАЭ. EU AI Act (в силе с 02.08.2026) вводит дополнительные обязательства для AI-систем.
€7,1Bсовокупные штрафы GDPR
с 2018 года
4%максимальный штраф —
% глобальной выручки
443уведомления о breach
в день (2025, +22% YoY)
27стран ЕС с национальными
DPA-регуляторами
Регуляторная среда

Три ключевых регламента ЕС
для сайтов и платформ

GDPR — не единственный закон. Для полного compliance сайта в ЕС нужно учитывать три пересекающихся регламента.

Каждый из 27 членов ЕС имеет свой национальный DPA (Data Protection Authority) с полномочиями накладывать штрафы. Координация — через EDPB (European Data Protection Board). Ирландский DPC выдал штрафов на €4 млрд — потому что там штаб-квартиры Meta, Google, TikTok.

Применимые регламенты
GDPR — General Data Protection Regulation. Согласие, минимизация данных, права субъектов, DPO, ROPA, DPIA, breach notification 72ч, трансграничные трансферы (SCCs/DPF).
ePrivacy Directive — Cookies, email-маркетинг, электронные коммуникации. Cookie-баннер с opt-in обязателен. CNIL оштрафовал Google на €150М за cookies.
Digital Services Act (DSA) — Для платформ с UGC: прозрачность алгоритмов, модерация контента, notice-and-action, отчётность.
Два уровня штрафов

Штрафы GDPR: Art.83

Штрафы зависят от типа нарушения, масштаба ущерба и оборота компании.

УровеньТипы нарушенийМаксимальный штраф
Tier 1Нет ROPA, нет DPO, нет DPIA, нет breach notification, нет DPA с процессорами€10М или 2% выручки
Tier 2Незаконная обработка, нарушение прав субъектов, незаконный трансфер данных за пределы ЕС€20М или 4% выручки
CookiesНет opt-in согласия, dark patterns в баннере, pre-ticked boxesНац. штрафы (CNIL: €150М)
AI ActНарушения high-risk AI: нет DPIA, нет документации, нет human oversight (с 02.08.2026)€15М или 3% выручки
Документы для сайта

Что обязательно по GDPR
для сайта с EU-аудиторией

Privacy Policy (GDPR-compliant)Art.13–14. Контроллер, цели, правовые основания, права субъектов, трансферы, DPO контакт.
Cookie Policy + CMP-баннер (opt-in)ePrivacy. Opt-in до загрузки cookies. Reject = Accept по заметности. Категории, логирование.
Terms of Use / Terms of ServiceПрименимое право, ответственность, IP, UGC. Для SaaS — SLA, auto-renewal, data portability.
Data Processing Agreement (DPA)Art.28. С каждым субпроцессором (хостинг, CRM, аналитика, email). Без DPA — Tier 1 штраф.
Records of Processing Activities (ROPA)Art.30. Реестр всех операций: цели, категории данных, получатели, сроки хранения, меры защиты.
Data Protection Impact Assessment (DPIA)Art.35. При high-risk: профилирование, масштабный мониторинг, специальные категории, AI.
EU Representative (Art.27)Компания вне ЕС + обработка данных EU-резидентов = обязательно. Контакт — в Privacy Policy.
Breach Notification процедураArt.33–34. 72 часа на уведомление DPA. Уведомление субъектов при высоком риске.
Трансграничные трансферы

Передача данных
за пределы ЕС

Одна из самых штрафоёмких зон. Meta заплатила €1,2 млрд за трансфер данных EU-пользователей в США без надлежащих safeguards.

Механизмы легального трансфера: Adequacy Decision, Standard Contractual Clauses (SCCs) с Transfer Impact Assessment (TIA), Data Privacy Framework (для сертифицированных US-компаний), Binding Corporate Rules (BCR).

Для компаний из СНГ: если данные EU-резидентов обрабатываются на серверах в РФ, Казахстане, ОАЭ — нужны SCCs + TIA. Нет adequacy decision для этих стран.

Механизмы трансфера
1Adequacy Decision — страна с адекватной защитой по решению ЕС
2SCCs + TIA — Standard Contractual Clauses с оценкой рисков
3Data Privacy Framework — для сертифицированных US-компаний
4BCR — Binding Corporate Rules для внутригрупповых трансферов
!РФ, КЗ, ОАЭ — нет adequacy. Нужны SCCs + TIA
WCR Consulting

GDPR-compliance для сайта
и платформы под ключ

Готовим полный комплект GDPR-документов для сайтов, SaaS, маркетплейсов и крипто-проектов с EU-аудиторией.

  • Аудит сайта на GDPR-compliance
  • Privacy Policy (GDPR Art.13–14)
  • Cookie Policy + CMP-баннер (opt-in)
  • DPA с субпроцессорами (Art.28)
  • ROPA — реестр обработки (Art.30)
  • DPIA для high-risk обработки (Art.35)
  • Назначение EU Representative (Art.27)
  • SCCs + TIA для трансграничных трансферов
🇪🇺 GDPR 📋 Полный пакет ⏱ 7–14 рабочих дней 📄 EN + RU 🔄 Ревизия 6–12 мес.
Заказать GDPR-compliance →
FAQ

Частые вопросы о GDPR

Применяется ли GDPR к компании из РФ / Казахстана / ОАЭ? +
Да, если компания обрабатывает данные резидентов ЕС. GDPR действует экстратерриториально (Art.3): если сайт доступен EU-пользователям, предлагает им товары/услуги или отслеживает их поведение — GDPR распространяется на оператора независимо от места регистрации. При этом нужно назначить EU Representative (Art.27).
Что такое EU Representative и когда он обязателен? +
EU Representative (Art.27) — физлицо или организация в ЕС, представляющая non-EU контроллера/процессора перед DPA и субъектами данных. Обязателен, если компания вне ЕС систематически обрабатывает данные EU-резидентов. Исключения: эпизодическая обработка без high-risk данных и госорганы. Контакт указывается в Privacy Policy.
Как правильно настроить cookie-баннер по GDPR? +
Opt-in модель: никакие cookies (кроме strictly necessary) не загружаются до согласия. Кнопки Accept и Reject одинаково заметны — dark patterns штрафуются. Категории: necessary, analytics, marketing. Механизм отзыва согласия. Логирование: время, IP, версия, действие. CMP-платформа (Cookiebot, OneTrust, Usercentrics) с Google Consent Mode.
Нужен ли DPA с Google Analytics, Mailchimp, HubSpot? +
Да. По Art.28 GDPR DPA обязателен с каждым субпроцессором, который обрабатывает данные EU-резидентов от вашего имени. Большинство предоставляют стандартный DPA по запросу. Без подписанного DPA — Tier 1 штраф (до €10М или 2% выручки).
Чем GDPR отличается от 152-ФЗ? +
GDPR требует правовое основание для каждой операции (6 оснований, Art.6), 152-ФЗ опирается на согласие. GDPR даёт право на portability и erasure. GDPR обязывает DPIA для high-risk обработки. GDPR не требует локализации данных, 152-ФЗ обязывает хранить на территории РФ. Штрафы GDPR — до 4% глобальной выручки, 152-ФЗ — до 500 млн ₽.
Как передавать данные из ЕС в Россию / Казахстан / ОАЭ? +
Для этих стран нет Adequacy Decision ЕС. Легальные механизмы: Standard Contractual Clauses (SCCs) новой редакции 2021 года + Transfer Impact Assessment (TIA). Для внутригрупповых — Binding Corporate Rules (BCR). Consent субъекта — только как исключение (Art.49), не для систематических трансферов.
Смотрите также

Связанные направления

📋Юридическая упаковка

Все юрисдикции

 🇬🇧Великобритания

UK GDPR после Brexit

 🇷🇺Россия (152-ФЗ)

GDPR vs 152-ФЗ

 🛡IP / Право

Все направления

Нужен GDPR-compliance для сайта?

Расскажите о проекте — подготовим Privacy Policy, DPA, ROPA и полный пакет документов для EU-аудитории.

Заказать GDPR-compliance → Задать вопрос

GDPR-compliance для сайта: документы, штрафы, cookie-баннер, DPA, ROPA, EU Representative