Сколько стоит нарушение GDPR?

Диапазон по ст. 83 GDPR доходит до 20 млн евро или 4% мирового оборота группы. На практике малого и среднего бизнеса налагаемые в Германии штрафы часто находятся в диапазоне от 5 000 до 500 000 евро, в зависимости от тяжести и готовности к сотрудничеству. К этому добавляются расходы на досудебные претензии, обычно от 800 до 2 500 евро за случай.

Нужно ли мне согласие для простой контактной формы?

Нет, если обработка данных может быть основана на ст. 6 п. 1 п. b или п. f GDPR и прозрачно разъяснена. Однако обязательны указание о защите данных непосредственно у формы, чёткий срок хранения и право на удаление. Для маркетинговых дальнейших контактов требуется отдельное явное согласие.

Как долго мне разрешено хранить данные?

Так долго, как это необходимо для цели, после чего данные должны быть удалены или анонимизированы. Для постоянных клиентов обычно действуют три-шесть лет после окончания договора (сроки хранения по Торговому кодексу и Налоговому кодексу Германии), для данных откликов на вакансии шесть месяцев, для адресов рассылки до отзыва согласия, для журналов сервера, как правило, от семи до 14 дней.

Разрешён ли Google Analytics в ЕС?

При активном согласии, анонимизации IP, договоре о поручении обработки и при необходимости стандартных договорных положениях плюс Transfer Impact Assessment, да; после принятия EU-US Data Privacy Framework также снова с решением о соответствии для американских поставщиков. Надзорные органы по защите данных тем не менее рекомендуют европейские альтернативы, поскольку Framework политически нестабилен.

Кто несёт ответственность при нарушениях, агентство или оператор?

Ответственным согласно ст. 4 п. 7 GDPR всегда является оператор сайта. Агентство выступает обработчиком и отвечает только при собственных нарушениях обязанностей или ненадлежащем договоре о поручении обработки. Правовую ответственность нельзя передать на аутсорсинг, а вот техническую реализацию очень даже можно.

Что требует GDPR от веб-сайтов? Обязанности, риски и практика

Самое главное вкратце

GDPR применяется почти всегда: как только веб-сайт обрабатывает IP-адрес, форму обратной связи, рассылку или встроенный скрипт отслеживания, регламент действует в полном объёме.
Шесть обязанностей не подлежат обсуждению: прозрачность, согласие, право на доступ и удаление, безопасность данных, договор о поручении обработки и корректная передача данных в третьи страны образуют основу любого правомерного сайта.
Куки требуют активного согласия: после решения Суда ЕС по делу Planet49 (1 октября 2019 года) предварительно поставленные галочки не считаются согласием. Скрипты разрешено загружать только после opt-in.
Штрафы серьёзны: диапазон по ст. 83 GDPR доходит до 20 млн евро или 4% мирового оборота группы. GDPR Enforcement Tracker к марту 2026 года насчитывает 2 685 случаев с общей суммой около 6,11 млрд евро.
Проверка сайта обязательна: юридические тексты, логика куки, сторонние сервисы, шифрование и потоки данных должны оцениваться как единое целое. Именно здесь большинство сайтов проваливается на практике.

Что конкретно требует GDPR от веб-сайтов?

GDPR требует от каждого веб-сайта обрабатывать персональные данные только при наличии чёткого правового основания, понятно раскрывать каждый процесс обработки и технически защищать данные. На практике это означает полную политику конфиденциальности, активное согласие на куки до загрузки любого стороннего скрипта, документированные согласия, доступные для пользователя права субъектов данных, передачу с шифрованием TLS и договор о поручении обработки персональных данных с каждым внешним сервисом.

Тот, кто профессионально управляет сайтами, должен воспринимать регламент не как препятствие, а как перечень обязанностей. Он определяет шесть опор, по которым аудит оценивает любой сайт. Если хотя бы одна опора не выдерживает, в лучшем случае грозит претензия, в худшем, штраф согласно ст. 83 GDPR в размере до 20 млн евро или 4% мирового оборота группы. В Германии надзорные органы активны: только Уполномоченный по защите данных Гамбурга в 2024 году зафиксировал более 2 600 жалоб и 955 утечек данных. Тот, кто работает в сегменте малого и среднего бизнеса и считает, что это его не касается, упускает из виду, что каждая четвёртая жалоба в Гамбурге, согласно отчёту, напрямую связана с темами веб-сайтов.

Какие данные являются «персональными» и когда применяется GDPR?

Классические идентификаторы на веб-сайте

Персональными являются любые сведения, позволяющие идентифицировать физическое лицо: имя, e-mail, номер телефона, IP-адрес, идентификаторы куки, геолокационные данные, поведение при кликах в аналитических инструментах. GDPR применяется, как только собирается хотя бы один из этих элементов. Чисто визитная страница без формы, без отслеживания, без внешних шрифтов теоретически находилась бы вне сферы действия, но на практике такую почти невозможно встретить.

Особенно чувствительны указанные в ст. 9 GDPR «специальные категории персональных данных»: сведения о здоровье, религиозные или политические убеждения, сексуальная ориентация, биометрические данные. Как только сайт собирает такую информацию, например через форму отклика с указанием инвалидности, медицинский анамнез или регистрационную форму в сфере спорта или ухода, действуют ужесточённые требования, включая прямое и отдельное согласие.

Скрытая передача данных в третьи страны через стандартные инструменты

Как только сайт загружает Google Fonts со стороннего CDN, встраивает видео с YouTube, рассылает новости через Mailchimp или интегрирует чат-бот, он передаёт персональные данные в третьи страны. Не позднее этого момента возникает обязанность документировать и защищать потоки данных. Тот, кто использует передачу данных в США, после решения Суда ЕС по делу Schrems II от 16 июля 2020 года обязан дополнительно проверить, обеспечивает ли конкретная передача равнозначный уровень защиты, и при необходимости применять стандартные договорные положения плюс Transfer Impact Assessment.

Самое распространённое заблуждение в среднем бизнесе звучит так: «Мы вообще не обрабатываем американские данные». Но как только на сайт встроен предпросмотр YouTube-видео, шрифт Google с CDN компании Google или классическая форма Mailchimp, IP-адреса и отпечатки браузера утекают в США ещё до получения согласия. Эти передачи данных происходят незаметно, но с точки зрения регуляторов рассматриваются так же, как осознанный экспорт данных.

Какие шесть обязанностей выполняет соответствующий GDPR веб-сайт?

Шесть областей обязанностей образуют основу любого правомерного сайта. Если хотя бы в одной из них есть открытые фланги, вся система не соответствует требованиям.

Прозрачность и политика конфиденциальности

Политика конфиденциальности должна быть доступна с любой страницы в два клика, называть каждый используемый сервис по имени, указывать сроки хранения и перечислять все права субъектов данных. Шаблонные тексты, не соответствующие реально подключённым инструментам, в большинстве аудитов оказываются самой частой проблемой. Они превращаются в юридического «бумажного тигра», не имеющего ничего общего с фактической обработкой данных. Хорошая политика конфиденциальности читается как инвентарный список потоков данных, а не как образцовый текст.

Правовое основание и согласие

Каждая обработка данных требует одного из шести правовых оснований согласно ст. 6 GDPR. Для маркетинговых куки, аналитики, отслеживания и сторонних скриптов это почти всегда явное согласие. Оно должно быть добровольным, информированным и активным. Молчание, предварительно установленные галочки и «дальнейшая прокрутка означает согласие» после решения Суда ЕС по делу Planet49 явно недействительны.

Права на доступ, удаление и возражение

Пользователи в соответствии со ст. 15–22 GDPR могут получать доступ к своим данным, исправлять, удалять и возражать против обработки. Доступная контактная точка и документированный процесс обязательны, а не опциональны. На практике достаточно чёткого e-mail-адреса, за которым стоит реальный рабочий процесс. На запросы необходимо ответить в течение месяца. Тот, кто игнорирует обращения или затягивает рассмотрение, по нашему опыту рискует получить жалобу в компетентный надзорный орган, что почти всегда приводит к официальному разбирательству.

Безопасность данных на современном уровне техники

Ст. 32 GDPR требует технических и организационных мер на современном уровне техники. К ним относятся шифрование TLS, регулярные обновления всех компонентов CMS и плагинов, управление патчами для сторонних зависимостей и документированная процедура резервного копирования. Там, где заканчивается безопасность данных, начинаются описанные в нашей статье о крупнейших уязвимостях веб-сайтов поверхности атаки.

Договор о поручении обработки с каждым подрядчиком

С каждым внешним подрядчиком, обрабатывающим персональные данные (хостер, почтовый сервис, поставщик аналитики, облачное хранилище), необходим договор о поручении обработки персональных данных согласно ст. 28 GDPR. Без такого договора обработка изначально незаконна. Большинство серьёзных поставщиков предоставляют этот договор как PDF для скачивания или позволяют заключить его электронно через настройки аккаунта. Сведения о том, какие договоры имеются в наличии, должны храниться в простом реестре, который в случае необходимости можно за минуты предъявить надзорному органу.

Корректная защита передачи данных в третьи страны

Потоки данных за пределы ЕЭП допускаются только при наличии решения о соответствии (в настоящее время, например, EU-US Data Privacy Framework с 2023 года) или при применении стандартных договорных положений плюс проверки передачи. Американские инструменты без надлежащего правового основания являются одной из самых частых причин штрафов для европейских компаний среднего бизнеса. Тот, кто может заменить классический американский сервис (инструмент рассылки, аналитики или форм), получает не только правовую безопасность, но и существенно снижает текущую нагрузку по документированию.

Создайте юридически безопасный сайт прямо сейчас

Соответствие требованиям защиты данных и технически грамотная реализация

Запросить необязательную консультацию

Когда куки требуют активного согласия?

Как только куки или сопоставимая технология отслеживания не является технически строго необходимой, требуется активное согласие пользователя до её срабатывания. Суд ЕС однозначно разъяснил это в решении по делу Planet49 (дело C-673/17, 1 октября 2019 года): предварительно проставленные галочки не являются действительным согласием. Федеральный суд Германии немедленно последовал этой позиции в деле BGH I ZR 7/16, а в Германии § 25 TDDDG (ранее TTDSG) реализует этот стандарт на национальном уровне.

Четыре требования к правомерному куки-баннеру

Конкретно это означает четыре требования к куки-баннеру. Первое: никаких куки или внешних скриптов до получения согласия, ни Google Analytics, ни Meta Pixel, ни встроенных YouTube-видео. Второе: равнозначные кнопки «Отклонить» и «Принять» на первом уровне, без тёмных паттернов. Третье: гранулярный выбор по категориям. Четвёртое: возможность в любой момент отозвать согласие. Как эти требования реализуются на практике, подробно описывает наше руководство по обязательному использованию куки-баннера.

Надзорные органы теперь читают исходный код с помощью инструментов, автоматически проверяющих куки-баннеры. Тот, кто загружает встроенный скрипт до получения согласия, попадает в поле зрения сразу. Типичный рефлекс малого и среднего бизнеса «но ведь так делают все» в разбирательстве не помогает. Решающим является исключительно то, блокирует ли логика куки фактически до получения согласия или лишь косметически отображает выбор.

Каковы штрафы за нарушения GDPR?

Законодательные рамки согласно ст. 83 GDPR

Диапазон штрафов согласно ст. 83 GDPR составляет до 20 млн евро или 4% годового мирового оборота группы, в зависимости от того, что выше. Для менее серьёзных нарушений действует половинный диапазон: 10 млн евро или 2% оборота.

Что надзорные органы реально назначают

Насколько серьёзно надзорные органы относятся к этому, показывает отчёт GDPR Enforcement Tracker 2026 юридической фирмы CMS: 2 685 задокументированных штрафов на сумму около 6,11 млрд евро, плюс 440 случаев по сравнению с прошлогодним отчётом. Самый крупный единовременный штраф составляет 1,2 млрд евро в отношении Meta Platforms Ireland (май 2023 года) за недопустимую передачу данных в США.

Для малых и средних веб-сайтов штрафы такого масштаба редки, но 50 000–500 000 евро в нижней границе шкалы малого и среднего бизнеса являются реалистичными значениями и часто касаются дефектов куки-баннеров, ошибочных политик конфиденциальности или недостаточного шифрования. К этому добавляются расходы на досудебные претензии и репутационный ущерб. Как показывает отчёт Bitkom о защите данных 2024 на основе опроса 605 компаний, 94% компаний оценивают нагрузку от GDPR как высокую, у 63% она по сравнению с предыдущим годом ещё выросла, а 84% считают, что её внедрение никогда не будет полностью завершено. Кривая комплаенса не выравнивается. Она становится круче.

Какие ошибки в области GDPR я чаще всего встречаю при аудите?

В аудитах, которые я с командой Evelan проводил для веб-сайтов малого и среднего бизнеса в период с 2020 по 2026 годы, четыре класса ошибок повторяются настолько постоянно, что я узнаю их вслепую. Отрасль играет при этом удивительно малую роль: будь то ремесло, консалтинг, здравоохранение или софт, паттерны остаются одинаковыми.

Куки-баннер для вида

Первый класс, это куки-баннер, который только играет спектакль. Визуально корректный, технически бесполезный: Google Analytics, Meta Pixel и YouTube-iframe загружаются до того, как пользователь сделает выбор. На каждом втором сайте при аудите я вижу именно это. Устранение нетривиально, потому что затрагивает порядок инъекции скриптов, но оно неизбежно. Тот, кто детально проверяет проблему, обычно находит не один, а три или четыре скрипта, которые срабатывают параллельно и совместно строят полный профиль отслеживания задолго до того, как баннер вообще закрыт.

Устаревшие политики конфиденциальности

Второй класс, это политика конфиденциальности, не соответствующая используемой технологии. Генераторы создают 30 страниц текста, а CMS уже три года подключает новые сервисы без того, чтобы кто-то поддерживал политику в актуальном состоянии. HubSpot, Calendly, новый чат-бот, встроенная платформа отзывов, ничего из этого в документе нет. Согласно ст. 13 GDPR это дефект прозрачности. Тот, кто относится к политике как к живому документу и при каждом внедрении инструмента её один раз правит, надёжно устраняет эту проблему.

Непреднамеренная передача данных в третьи страны

Третий класс, это непреднамеренная передача данных в третьи страны. Google Fonts с CDN, встроенное видео Vimeo, американский инструмент рассылки без надлежащего правового основания. После Schrems II это одна из самых дорогих ошибок, потому что она запускает передачу данных без гарантий защиты. Часто эти сервисы были подключены много лет назад прежним агентством, ничего не документировалось, и после смены персонала уже никто не знает, какой токен в каком плагине куда отправляет данные.

Уязвимости безопасности под косметикой комплаенса

Четвёртый класс, это уязвимость безопасности под слоем косметики GDPR. Устаревшие версии WordPress, непатченные плагины, отсутствие TLS на поддоменах. Безопасность данных согласно ст. 32 GDPR нарушена не только тогда, когда атака прошла успешно, а уже тогда, когда меры не соответствуют «современному уровню техники». Тот, кто ищет здесь второе мнение, найдёт в статье о правомерном веб-сайте систематический чек-лист. Безупречная политика конфиденциальности не защищает от недооценённого бэкенда, а штрафное разбирательство при утечке данных не делает скидку на то, что логика куки во фронтенде формально была корректной.

Как проверка сайта на соответствие GDPR делает Ваш сайт правомерным?

Проверка сайта на соответствие GDPR объединяет три уровня, которые в обычных аудитах часто рассматриваются изолированно: юридические документы, техническая логика куки и скриптов, а также потоки данных к сторонним сервисам. Только сочетание этих трёх ракурсов показывает, действительно ли сайт соответствует требованиям.

Профессиональный GDPR-аудит сайта проверяет, среди прочего:

использование куки и инструментов отслеживания
соответствие политики конфиденциальности GDPR
внешние сервисы и сторонние поставщики
функции форм и хранение данных
меры безопасности, такие как SSL и конфигурация сервера

Так формируется реалистичная картина того, насколько хорошо защита данных на сайте действительно реализована на практике.

Как проходит проверка Evelan на практике

В типичной проверке Evelan мы открываем сайт в новой сессии браузера без блокировщиков рекламы, фиксируем с помощью браузерных DevTools каждый сетевой запрос до и после получения согласия, сравниваем результат с политикой конфиденциальности и сопоставляем каждый сторонний сервис с имеющимся или отсутствующим договором о поручении обработки. Если обнаруживается скрипт, срабатывающий без согласия, или сервис, не указанный в тексте политики, это пункт аудита номер один. Из этого формируется план мероприятий, в котором правовые, технические и организационные пробелы расставлены по приоритетам, чтобы Вам не пришлось решать всё одновременно: сначала риски.

Параллельно мы проверяем состояние шифрования, актуальность CMS и плагинов, а также процедуру резервного копирования и восстановления. Так из чисто документального аудита получается технический чек, который также оценивает безопасность данных по ст. 32 GDPR. Письменный отчёт содержит для каждого пробела оценку риска, конкретный путь реализации и оценку трудозатрат. Так руководство принимает решения с цифрами в руках, а не на основе интуиции.

Из практики Evelan

Северогерманская финансово-консультационная компания, консультирующая клиентов по вопросам управления активами и финансирования, хотела вынести обмен документами между консультантами и клиентами за пределы электронной почты. До этого опросы клиентов, заявки на финансирование, договорные документы и подтверждения личности отправлялись вложением через классические почтовые ящики. С точки зрения GDPR, это нагромождение проблем на узком пространстве: незашифрованная передача чувствительных данных об имуществе и кредитоспособности, отсутствие контроля доступа после отправки, отсутствие процедуры удаления, отсутствие надлежащим образом документированного договора о поручении обработки с почтовым провайдером. Не позднее отправки опросной формы с указанием семейного положения, дохода, имущества и кредитных обязательств надзорный орган сразу нашёл бы основания для претензий.

Совместно мы спроектировали и реализовали индивидуальное облачное приложение, в котором клиенты через защищённый доступ могут загружать документы, заполнять опросные формы, подавать заявки на финансирование и подписывать договоры в цифровом виде. В центре стояли три блока GDPR. Первое: чёткое правовое основание для каждого класса данных, со ступенчатым согласием для данных о кредитоспособности и финансировании. Второе: техническая защита по ст. 32 GDPR с серверами в Германии, шифрованием в состоянии покоя и при передаче, гранулярным контролем доступа для каждого консультанта и каждого клиента, а также журналы аудита для каждого обращения к документу. Третье: полный договор о поручении обработки между консультационной компанией и Evelan как оператором, который явно регулирует субподрядчиков, места хранения и сроки удаления.

Результат: после внедрения финансово-консультационная компания полностью отказалась от вложений по электронной почте для чувствительных документов клиентов. Консультанты и клиенты работают в проверяемом рабочем процессе, который технически принуждает к соблюдению требований GDPR, а не просто их отображает. При жалобах или запросах любой поток данных можно отследить за минуты, включая доказательство того, кто и когда получил доступ к какому документу. Приложение готово к будущим требованиям, например к новым срокам хранения или дополнительным уровням аутентификации, без необходимости пересоздавать правовую основу.

GDPR-проверка для Вашего сайта?

Мы проверяем юридические тексты, логику куки, сторонние сервисы и безопасность данных в рамках структурированного аудита. Результат, это приоритизированный план мероприятий, который в первую очередь устраняет риски.

Посмотреть услугу по защите данных

Начать запрос проекта

Часто задаваемые вопросы

Правовое основание для каждой обработки данных, полную и актуальную политику конфиденциальности, активное согласие на куки до загрузки любого скрипта отслеживания, доступные права субъектов данных, шифрование TLS, договор о поручении обработки с каждым подрядчиком и корректное решение для передачи данных в третьи страны. Эти шесть областей образуют минимальный стандарт.

Что требует GDPR от веб-сайтов? Обязанности, риски и практика

Содержание

Что конкретно требует GDPR от веб-сайтов?