GDPR действует с 2018 года, но регуляторы продолжают штрафовать. По данным EDPB, в 2025 году сумма штрафов выросла на 23% YoY.
Ошибка 1: Нет DPA с подрядчиками
Data Processing Agreement обязателен с каждым, кто обрабатывает ПД от вашего имени. AWS, Google Cloud, Mailchimp, Sendgrid — все требуют DPA. Без него — GDPR нарушен, даже если данные в безопасности.
Ошибка 2: «Free tier без DPA»
Часто бесплатные тарифы SaaS не имеют DPA — это нормально для маркетинга, но не для enterprise-клиентов. B2B-клиенты из ЕС не смогут вас купить без DPA.
Ошибка 3: Cookies баннер «pre-ticked»
Решение CJEU от 2019 года: pre-ticked cookies — это не consent. Баннер должен требовать явного действия. Штрафы: до €150 млн (Meta case — €1,2 млрд).
Ошибка 4: Нет records of processing
Статья 30 GDPR требует вести реестр операций обработки ПД. Если у вас его нет — это отдельное нарушение + затрудняет ответ регулятору.
Ошибка 5: Не ответили на запрос субъекта в 30 дней
Субъект ПД (ваш клиент) запросил удаление — обязаны ответить за 30 дней. Не ответили — отдельный штраф €10–20 млн или 2–4% оборота.
Ошибка 6: Хранение ПД «вечно»
GDPR требует хранить ПД только пока есть легитимная цель. Если клиент ушёл — удалите в течение 30 дней. «Мы храним на всякий случай» — нарушение.
Ошибка 7: Трансфер в третьи страны без safeguards
После Schrems II передача ПД в США требует SCC (Standard Contractual Clauses) + Transfer Impact Assessment. Просто подключить AWS US-east без этого — нарушение.
Чеклист compliance
- 1DPA со всеми sub-processors
- 2Records of Processing Activities (RoPA)
- 3Cookies consent — explicit opt-in
- 4Privacy Policy на сайте (на языке пользователя)
- 5Privacy by Design — DPIA для новых фич
- 630-day SLA на запросы субъектов
- 7Data retention policy + автоматическое удаление
- 8Breach response plan (72h уведомление регулятора)
