Далеко не только электронные таблицы: почему внутренние рамки обработки данных рушатся при аудите GDPR

С 2018 по 2026 год европейские органы защиты данных выписали более €4,5 млрд штрафов GDPR. Закономерность за почти каждым действием правоприменения одинакова: организация построила внутренние практики обработки данных на предположениях, а не на фактических требованиях регламента под статьями 5, 6 и 9.

GDPR не заботит то, что вы думаете, какими должны быть правила. Это заботит то, какими на самом деле являются правила. Разрыв между тем, что большинство компаний предполагает, что соответствует — флажки согласия, зашифрованные базы данных, страница конфиденциальности в подвале — и тем, что статьи 5(1), 5(2), 24 и 30 на самом деле требуют — вот откуда происходит каждый штраф из семи цифр.

Если ваша политика защиты данных основана на «мы всегда делали это так» или «наша юридическая команда сказала, что это, вероятно, нормально», вы работаете на придуманных правилах. И каждое тематическое исследование ниже началось одинаково.

Почему компании придумывают свои собственные правила

Обычно это не намеренно. Большинство компаний не садятся и не решают нарушать GDPR. То, что происходит, более тонко:

• Они читают резюме вместо регламента. Кто-то пробежал блог в 2018 году, внедрил то, что понял, и никогда не вернулся к этому. GDPR содержит 99 статей и 173 преамбулы. 500-словное резюме это не охватывает.
• Они копируют то, что делают конкуренты. «Если другие компании в нашей отрасли делают это так, это, вероятно, нормально.» За исключением того, что эти компании также могут быть несоответствующими — они просто еще не были поймены.
• Они предполагают, что согласие охватывает всё. «Пользователь нажал «принять», поэтому мы можем делать с их данными что угодно.» Вот как согласие не работает в соответствии с GDPR. Совсем не так.
• Они путают безопасность данных с защитой данных. Наличие брандмауэра и зашифрованных баз данных — это безопасность. Знание юридического основания для обработки каждой категории персональных данных, соблюдение прав субъектов данных и документирование всего — вот защита данных. Вам нужны оба.
• Они думают, что малые компании освобождены. GDPR применяется к любой организации, которая обрабатывает персональные данные жителей ЕС. Точка. Нет порога доходов. Нет минимума по количеству сотрудников. Компания из одного человека со списком рассылки подпадает под действие GDPR.

Штрафы не являются гипотетическими

С момента вступления GDPR в силу в мае 2018 года органы защиты данных Европы выписали более €4,5 млрд штрафов. Это не теоретические штрафы в документе, который никто не читает. Это реальные счета-фактуры, которые реальные компании должны были оплатить.

Давайте посмотрим на случаи — потому что детали имеют значение.

Meta (Facebook) — €1,2 млрд (май 2023)

Ирландская комиссия по защите данных оштрафовала Meta на €1,2 млрд за нарушение статьи 46(1) — передачу персональных данных пользователей ЕС в Соединённые Штаты без надлежащих гарантий после аннулирования структуры Privacy Shield решением Schrems II. Придуманное правило Meta: «Стандартные договорные положения в соответствии со статьей 46(2)(c) достаточно.» Ответ DPC: подряд СДП не может преодолеть структурные дефициты американского закона о надзоре (раздел 702 FISA), которые лишают граждан ЕС эффективных средств правовой защиты в соответствии со статьей 47 Хартии основных прав ЕС.

Это самый крупный штраф GDPR, когда-либо выписанный. Meta имела четыре года между решением Schrems II (июль 2020 г.) и действием правоприменения для внедрения соответствующих механизмов передачи. Они решили подождать.

Amazon — €746 млн (июль 2021)

CNPD Люксембурга оштрафовал Amazon за нарушение статей 6(1), 12, 13 и 14 — обработка персональных данных для поведенческой рекламы без действительного юридического основания и без предоставления прозрачной информации о том, как эти данные были использованы. Придуманное правило Amazon: «Законный интерес в соответствии со статьей 6(1)(f) охватывает нашу рекламную деятельность.» Тест балансирования CNPD пришел к иному выводу: масштаб, навязчивость и непрозрачность отслеживания поведения на нескольких сайтах не могут быть оправданы законным интересом, когда субъект данных не имеет значимой осведомленности или контроля. Штраф был утвержден в апелляционном порядке.

H&M — €35,3 млн (октябрь 2020)

Этот особенно поучителен. Сервис-центр H&M в Нюрнберге записывал подробную персональную информацию о сотрудниках во время встреч «возвращения на работу» — включая состояние здоровья, семейные проблемы, религиозные убеждения и опыт отпуска. Менеджеры хранили эти заметки на общем диске, доступном другим менеджерам.

Придуманное правило H&M: «Нам нужна эта информация для эффективного управления нашими сотрудниками.» Ответ Гамбургского органа защиты данных: запись здоровья сотрудников и религиозных убеждений без их знания или согласия, а затем ее распространение среди руководства — это огромное нарушение принципов защиты данных.

€35,3 млн за заметки на общем диске.** Нарушение сосредоточено на **статьях 5(1)(a), 5(1)(c) и 6 — законность, справедливость, минимизация данных и отсутствие юридического основания для обработки данных специальной категории в соответствии со статьей 9.

British Airways — £20 млн (октябрь 2020)

Утечка данных раскрыла персональные и финансовые данные примерно 400000 клиентов. ICO обнаружила, что BA не внедрила надлежащие меры безопасности — в частности, она не обнаружила атаку более двух месяцев. Первоначально предложенный штраф составил £183 млн, позже снижен из-за экономического влияния COVID-19.

Придуманное правило British Airways: «Наши существующие меры безопасности достаточны.» Реальность: они имели недостаточный мониторинг, недостаточную многофакторную аутентификацию и плохую сегментацию сети.

Нарушение ссылалось на статьи 5(1)(f) и 32 — обязательство обеспечивать надлежащую безопасность персональных данных, включая защиту от несанкционированной обработки и случайной потери. В соответствии со статьей 33 контролеры должны уведомлять об утечках в течение 72 часов с момента, когда они становятся известны — срок, который невозможно соблюдать, если ваша инфраструктура мониторинга не может обнаруживать вторжения в реальном времени.

Медицинские данные: где ставки самые высокие

Если вы считаете, что штрафы за обычные персональные данные пугают, нарушения, связанные с медицинскими данными, находятся в своей собственной лиге. GDPR классифицирует данные о здоровье как «специальную категорию» в соответствии со статьей 9, что означает, что они получают наивысший уровень защиты и самые строгие требования к обработке.

Вот что это означает на практике: вы не можете обрабатывать данные о здоровье вообще, если не выполняются одно из очень конкретных исключений в статье 9(2). Не «законный интерес.» Не «это полезно для нашего бизнеса.» Вам нужно явное согласие или конкретное юридическое обязательство, или оно должно быть необходимо в целях здравоохранения под ответственностью медицинского работника, связанного секретностью.

Больница Haga (Нидерланды) — €460000

Десятки сотрудников больницы получили доступ к медицинским записям голландской знаменитости без какой-либо законной причины. Больница не имела адекватных элементов управления доступом, чтобы предотвратить или обнаружить несанкционированный доступ к файлам пациентов.

Придуманное правило больницы: «Наш персонал — профессионалы, они будут получать доступ только к записям, которые им нужны.» Ответ голландского органа защиты данных: доверие — это не мера безопасности. Вы должны внедрить элементы управления доступом на основе ролей, логирование и мониторинг.

Португальская больница (Centro Hospitalar Barreiro Montijo) — €400000

Это был один из самых первых штрафов GDPR, когда-либо выписанных. Больница имела 985 активных профилей «врача», в то время как работало только 296 врачей. Социальные работники, техники и административный персонал имели доступ к записям пациентов через разрешения уровня врача.

Придуманное правило больницы: «Мы разберемся с разрешениями в конце концов.» Португальский орган защиты данных (CNPD) обнаружил, что больница нарушила принципы целостности данных, конфиденциальности и минимизации данных.

Почти 700 человек имели доступ к медицинским записям, которые у них не было никаких причин видеть. Это не был сложный взлом. Это была небрежная внутренняя организация.

Шведская линия здравоохранения (1177 Vårdguiden) — €2,5 млн

Примерно 2,7 млн записанных телефонных звонков на горячую линию национального медицинского совета Швеции были сохранены на незащищённом веб-сервере. Никакой шифровки. Никаких аутентификации. Любой, кто найдёт сервер, может слушать звонки, где пациенты обсуждают симптомы, состояния и лечение.

Придуманное правило: «Наш субподрядчик занимается хранением, поэтому это их ответственность.» Шведский орган защиты данных сказал иное. Вы — контролер данных. Вы несете ответственность за своих процессоров. Аутсорсинг работы не аутсорсит ответственность.

Персональные данные: дела, которые влияют на каждый бизнес

Вам не нужно быть больницей или технологическим гигантом, чтобы получить штраф. Подавляющее большинство действий правоприменения GDPR нацеливаются на обычную обработку обычных персональных данных — адреса электронной почты, номера телефонов, истории покупок, поведение при просмотре.

Австрийская почта — €18 млн

Austrian Post создал профили политического сродства для миллионов австрийских граждан, анализируя их демографические данные, адрес и поведение при покупке. Затем они продали эти профили политическим партиям для целевой кампании.

Их придуманное правило: «Это статистический анализ, а не обработка персональных данных.» Австрийский орган защиты данных не согласился. Вывод политических мнений из поведенческих данных является обработкой данных специальной категории. Вы не можете это делать без явного согласия, и уж тем более не продавать политическим партиям.

Vodafone Испания — €8,15 млн (множественные решения)

Vodafone Испания получила несколько штрафов на общую сумму более €8 млн за отправку маркетинговых сообщений без согласия, продолжение звонков людям, которые отказались, и в одном примечательном случае, открытие контракта на телефон на имя кого-то, кто даже не был клиентом Vodafone.

Их придуманное правило: «Отношения с клиентом подразумевают согласие на маркетинг.» Это не так. В соответствии с GDPR каждый канал коммуникации требует отдельного, конкретного согласия. Согласие на электронную почту не означает, что вы согласились на телефонные звонки.

Clearview AI — €20 млн (Франция), €20 млн (Италия), €7,5 млн (Великобритания)

Clearview AI соскабливала миллиарды фотографий из социальных сетей для создания базы данных распознавания лиц, а затем продавала доступ агентствам правоприменения. Они были оштрафованы в нескольких юрисдикциях, потому что обрабатывали биометрические данные — еще одну специальную категорию — миллионов людей без какого-либо юридического основания.

Их придуманное правило: «Фотографии были общественно доступными, поэтому мы можем их использовать.» Общественная доступность не равна согласию на биометрическую обработку. Размещение фотографии в Instagram не дает компании разрешение сканировать ваше лицо и добавлять его в базу данных наблюдения.

Marriott International — £18,4 млн

Утечка данных, возникшая в системе зарезервирования гостей Starwood (до того, как Marriott приобрела Starwood), раскрыла записи примерно 339 млн гостей. Утечка осталась необнаруженной в течение четырех лет.

Придуманное правило Marriott: «Мы унаследовали эту систему через приобретение, поэтому предыдущая позиция безопасности не наша вина.» ICO не согласилась. Когда вы приобретаете компанию, вы приобретаете её обязательства по защите данных. Надлежащая осмотрительность должна включать тщательную оценку практик защиты данных.

Закономерность: что общего у всех этих случаев

Каждый из этих штрафов имеет одну и ту же коренную причину: организация сделала предположения о том, что было разрешено, вместо того чтобы проверить, что закон на самом деле требует.

Предположения выглядят по-разному в каждом случае:

• «Согласие охватывает всё» (нет — согласие имеет строгие требования)
• «Законный интерес — это универсальное решение» (нет — требуется тест балансирования)
• «Наши подрядчики занимаются соответствием» (нет — вы контролер)
• «Данные были общественными» (неуместно — вам все ещё нужно юридическое основание)
• «Мы слишком малы, чтобы быть целью» (размер не определяет правоприменение)
• «Наша отрасль делает это так» (практика отрасли не является юридической защитой)
• «Мы не знали» (незнание не является защитой в соответствии с GDPR)

Что вы должны на самом деле делать

Достаточно о том, что идет не так. Вот как выглядит надлежащее соответствие GDPR — и это не так ошеломляюще, как кажется, когда вы подходите к этому систематически.

1. Нанесите карту своих действий по обработке данных

Перед чем-либо ещё, вам нужно знать какие персональные данные вы обрабатываете, почему и на каком юридическом основании. Это статья 30 — запись деятельности по обработке (ROPA). Каждой организации нужна одна.

Для каждого действия по обработке документируйте:

• Какие данные вы собираете
• Почему вы их собираете (цель)
• Юридическое основание (согласие, контракт, законный интерес, юридическое обязательство, жизненно важные интересы или государственная задача)
• Кто имеет доступ к ним
• Как долго вы их держите
• Передаете ли вы их за пределы ЕС

2. Правильно разберитесь с механизмами согласия

Если вы полагаетесь на согласие как на ваше юридическое основание, оно должно быть:

• Свободно даны — не объединены с условиями обслуживания
• Конкретные — «Я согласен получать маркетинговые письма», а не «Я принимаю все условия»
• Осведомлённые — человек точно знает, на что он согласен
• Однозначные — активное согласие, а не предварительно отмеченные поля или предположение из молчания
• Отзываемые — так же легко отозвать, как дать

3. Внедрите надлежащие элементы управления доступом

Штрафы Haga Hospital и Portuguese Hospital оба основывались на одном и том же: слишком много людей имели доступ к данным, которые им не нужны.

4. Имейте план реагирования на утечку

GDPR требует от вас сообщить о квалифицирующихся утечках вашему органу надзора в течение 72 часов. Вы не сможете соблюдать этот срок, если у вас нет плана, готового перед утечкой.

Решение: Документируйте простой план реагирования на утечку:

• Кто является первым контактным лицом при обнаружении утечки?
• Кто оценивает серьёзность и масштаб?
• Кто решает, уведомлять ли орган и затронутых лиц?
• Какой шаблон вы будете использовать для уведомления?
• Кто общается с внешними сторонами?

Проверьте этот план один раз в год. Настольное упражнение — «Что бы мы делали, если бы нашу список рассылки просочился?» — занимает два часа и может сэкономить вам миллионы.

5. Проверьте своих обработчиков

Каждая третья сторона, которая обрабатывает персональные данные от вашего имени, нуждается в соглашении об обработке данных (DPA). Это включает вашу платформу маркетинга электронной почты, поставщика облачного хостинга, инструменты аналитики, процессор платежей и CRM.

Решение: Перечислите каждый инструмент и сервис, который касается персональных данных ваших пользователей. Проверьте, есть ли у вас DPA с каждым. Большинство SaaS компаний их предлагают — вы обычно должны их просто подписать. Если поставщик не подпишет DPA, прекратите отношения — вы несете личную ответственность в соответствии со статьей 28 за каждого обработчика, работающего без одного.

6. Соблюдайте права субъектов данных

В соответствии с GDPR, люди имеют право на:

• Доступ к своим данным (статья 15)
• Исправление неточных данных (статья 16)
• Стирание их данных — «право быть забытым» (статья 17)
• Ограничение обработки (статья 18)
• Портативность данных (статья 20)
• Возражение обработке (статья 21)

Вы должны ответить на эти запросы в течение одного месяца. Если у вас нет процесса для обработки их, вы сейчас не соответствуете.

7. Обращайтесь с данными о здоровье и конфиденциальными данными с особой осторожностью

Если вы обрабатываете любые данные специальной категории — информацию о здоровье, биометрические данные, расовое или этническое происхождение, политические мнения, религиозные убеждения, членство в профсоюзе, генетические данные или сексуальную ориентацию — вам нужна повышенная защита.

Решение:

• Подтвердите, что у вас есть действительное исключение статьи 9(2) для каждого действия по обработке, включающего данные специальной категории
• Внедрите шифрование в покое и при передаче для всех конфиденциальных данных
• Ограничьте доступ абсолютному минимуму людей
• Рассмотрите оценку влияния на защиту данных (DPIA) — она обязательна для высокорисковой обработки в соответствии со статьей 35
• Если вы обрабатываете данные о здоровье в больших масштабах, назначьте инспектора по защите данных (DPO)

Структура штрафов: как плохо это может быть?

GDPR имеет два уровня максимальных штрафов:

Уровень 1 (статья 83(4)): До €10 млн или 2% годового глобального оборота, в зависимости от того, что больше. Это применяется к нарушениям обязательств, таких как уведомление об утечке, конфиденциальность по дизайну и оценка влияния на защиту данных.

Уровень 2 (статья 83(5)): До €20 млн или 4% годового глобального оборота, в зависимости от того, что больше. Это применяется к нарушениям основных принципов, прав субъектов данных и правил международной передачи.

Для компании с оборотом €500 млн нарушение Уровня 2 может означать штраф до €20 млн. Для Meta с оборотом примерно €120 млрд теоретический максимум составляет €4,8 млрд. Полученные ими €1,2 млрд хорошо в пределах полномочий органа.

Для малых компаний минимальные штрафы все еще значительны. Компания с оборотом €1 млн сталкивается с теоретическим максимумом €20 млн за нарушение Уровня 2 — в двадцать раз больше их всего оборота. На практике регуляторы учитывают соразмерность, но даже «небольшой» штраф €50000 может быть катастрофичным для малого бизнеса.

Прекратите гадать. Начните соответствовать.

GDPR действует уже более восьми лет. «Мы это не поняли» или «мы разберемся в конце концов» давно перестали быть приемлемыми оправданиями. Тенденция правоприменения ясна: штрафы растут по частоте и размеру. Каждый год всё больше компаний узнают с трудом, что придуманные правила их не защищают.

Операционная реальность: соответствие GDPR — это архитектурная дисциплина, а не упражнение в документировании. Это требует постоянного нанесения карт данных, автоматизированной проверки согласия, программного управления доступом, инфраструктуры обнаружения утечек и управления обработчиками. Организации, которые рассматривают соответствие как живую систему, а не как одноразовый проект — это те, которые выживают аудиты.

Компании, которые делают это правильно, не просто избегают штрафов — они строят доверие со своими клиентами. В мире, где скандалы с данными еженедельно попадают в заголовки, подлинная прозрачность в отношении того, как вы обрабатываете персональные данные, является конкурентным преимуществом.

Альтернатива — придумание своих собственных правил и надежда, что никто не заметит — имеет документированный послужной список: штрафы в миллиарды евро, повреждение репутации и предприятия, которые желают, что они просто с самого начала делали это правильно.

Не станьте следующим тематическим исследованием. Исправьте это сейчас.

Подробнее: WhatsApp боты для бизнеса (руководство 2026).