GDPR (General Data Protection Regulation, Общий регламент о защите данных) — закон ЕС о защите персональных данных, вступивший в силу 25 мая 2018 года. Действует для всех организаций, обрабатывающих данные граждан ЕС — вне зависимости от страны регистрации компании.
Как работает
GDPR создаёт права для субъектов данных и обязанности для операторов:
- Right to access — пользователь вправе запросить все свои данные в течение 30 дней.
- Right to erasure — «право на забвение»: удаление данных по запросу.
- Right to portability — получить данные в машиночитаемом формате (JSON, CSV).
- Right to object — отказаться от обработки в маркетинговых целях.
- Data minimization — собирать только необходимые данные.
Организации обязаны: назначить DPO (Data Protection Officer) при масштабной обработке, провести DPIA (Data Protection Impact Assessment) перед внедрением новых процессов, уведомить надзорный орган об утечке данных в течение 72 часов.
История
GDPR принят в 2016 году, переходный период — 2 года до 2018. Заменил Директиву о защите данных 1995 года. Разработан как ответ на стремительный рост цифровой экономики и скандалы с Cambridge Analytica. Первые крупные штрафы: Google — €50 млн (2019, CNIL Франция), Amazon — €746 млн (2021, Люксембург), Meta — €1.2 млрд (2023, Ирландия). Суммарные штрафы превысили €4 млрд к 2024 году.
GDPR и технические требования
Privacy by Design — защита данных проектируется с нуля, не добавляется позже. Конкретные меры:
- Шифрование данных в покое (dm-crypt, TDE в PostgreSQL).
- Шифрование в транзите (TLS/HTTPS).
- Псевдонимизация — замена идентификаторов на токены.
- Минимальный доступ (Принцип наименьших привилегий).
- Логирование доступа к данным.
- Хранение данных ЕС на серверах в ЕС или странах с adequate protection.
GDPR и российские компании
Если сайт ориентирован на пользователей из ЕС (есть перевод на европейские языки, принимается оплата в EUR), GDPR применяется вне зависимости от юрисдикции компании. Практические последствия: cookie consent banner с явным opt-in, Privacy Policy на языках ЕС, процедуры реагирования на DSR (Data Subject Requests). Хранение данных европейских пользователей: сервер в ЕС или стране с GDPR-adequacy decision (Япония, Канада, Израиль). Россия не входит в список.
На что обращать внимание
Штрафы GDPR: до €20 млн или 4% мирового годового оборота (что больше) за серьёзные нарушения. Для малого бизнеса реальный риск — жалобы пользователей в надзорные органы. Назначение DPO обязательно для компаний, системно обрабатывающих чувствительные данные (здоровье, биометрия). Политика конфиденциальности — лишь один из инструментов соответствия. Реальный GDPR compliance требует аудита всех процессов обработки данных.
GDPR и серверная инфраструктура
Для европейских проектов соответствие GDPR начинается с выбора инфраструктуры. Данные резидентов ЕС должны обрабатываться на серверах, расположенных в ЕЭЗ, либо на основании механизмов адекватной защиты (Standard Contractual Clauses). Это означает, что российские компании, работающие с EU-аудиторией, вынуждены арендовать серверы в Европе — в Германии, Нидерландах, Финляндии.
С точки зрения хостинга GDPR требует наличия SSL-шифрования, регулярного резервного копирования и возможности безвозвратного удаления данных пользователя по запросу (right to erasure). Удаление должно быть реальным, а не пометкой «удалён» — в том числе из бэкапов после установленного срока хранения.
Инструменты вроде Grafana и систем мониторинга помогают фиксировать инциденты с доступом к данным — GDPR обязывает уведомить надзорный орган в течение 72 часов после обнаружения утечки. Журналы доступа к БД, аномальные запросы, экспорт крупных объёмов — всё это должно мониториться и алертиться автоматически. Штрафы за нарушение GDPR исчисляются миллионами евро, поэтому инвестиции в безопасную инфраструктуру окупаются.