GDPR для российских компаний в 2025. Кого и как касается?
Российские и СНГ-компании сталкиваются с новой реальностью: международные рынки требуют соблюдения GDPR, платформы не публикуют приложения без понятных и прозрачных документов об использовании персональных данных, что ведет к потере доступа к иностранной аудитории. Разбираем риски.
IT-компаниям и геймдеву: изучите риски международного расширения без учета локальных требований по ПД (в т.ч. пресловутый GDPR).
🌏 МЕЖДУНАРОДНОЕ РАСШИРЕНИЕ - НОВЫЕ ПРАВИЛА ИГРЫ
GDPR касается всех, кто работает с европейскими пользователями
Регуляторы переходят от предупреждений к реальным санкциям. По информации из открытых источников, за период действия GDPR в ЕС общая сумма штрафов достигла €5.88 млрд по состоянию на январь 2025 года.
Но проблема не только и не столько в штрафах регуляторов. Основные сложности возникают при взаимодействии с платформами для дистрибуции — Steam, App Store, Google Play и т.д.
ДОКУМЕНТИРОВАННЫЕ ПОТЕРИ В СТОРАХ
Как несоответствие требованиям влияет на дистрибуцию
🧮 Статистика отклонений в App Store:
Apple отклоняет около 40% приложений при первичной публикации. Среди основных причин - нарушения политики конфиденциальности и отсутствие корректных пользовательских соглашений.
- App Store: обязательное заполнение App Privacy Details
- Google Play: обязательное заполнение Data Safety Section
Без этих разделов модерацию не пройти
⚙️ Влияние на ранжирование:
Алгоритмы современных сторов учитывают compliance при ранжировании. Приложения с прозрачными политиками получают преимущество в поиске и рекомендациях.
🇪🇺 Европейские пользователи:
Исследования показывают, что европейские пользователи избегают приложений без ясной политики конфиденциальности, что влияет на retention и конверсию.
⬇️ Особенности применения GDPR:
Принцип таргетинга GDPR применяется при активном таргетинге на европейскую аудиторию через рекламу или локализацию. Адаптация под локальное законодательство рекомендуется также при получении значительной части органического трафика из ЕС (ориентировочно 5%+).
⚖️ Законодательство некоторых стран требует размещения документов по обработке ПД на местном языке:
- Локализация обязательна: в России, Франции, Индонезии и некоторых иных странах
- Желательна: в Бразилии, Филиппинах и некоторых иных странах при активной работе
🌎 АМЕРИКАНСКАЯ СПЕЦИФИКА - ОТСУТСТВИЕ ЕДИНОГО ЗАКОНА
США: мозаика требований вместо единого стандарта
Основная сложность: В США отсутствует единый федеральный закон о персональных данных, аналогичный европейскому GDPR.
⚙️ Структура американского регулирования:
- Федеральные отраслевые законы: COPPA (дети), HIPAA (медицина), FERPA (образование)
- Законы штатов: каждый штат может принять собственное регулирование
- Калифорния как ориентир: CCPA (2018) и CPRA (2023) влияют на другие штаты
- FinTech попадает под банковское регулирование штатов
- EdTech должен соответствовать образовательным стандартам
- HealthTech подчиняется медицинским требованиям
- Детские приложения обязаны соблюдать федеральный закон в этой сфере
❗️ Рекомендация: Начинать с соответствия калифорнийским стандартам как базовому уровню.
КОНКУРЕНТНЫЕ ПРЕИМУЩЕСТВА КОМПАНИЙ С СОБЛЮДЕНИЕМ GDPR
Compliance как конкурентное преимущество
Что получают GDPR-готовые компании:
- Качество аналитических данных Правильно полученные согласия обеспечивают более качественную аналитику - данные собираются от заинтересованных пользователей, а не случайного трафика.
- Архитектурные улучшения Требования "privacy by design" заставляют закладывать безопасность на этапе проектирования, что делает продукт более надежным и масштабируемым.
- Доверие пользователей Прозрачность в обработке данных повышает доверие, особенно среди европейских пользователей, которые более чувствительны к вопросам приватности.
- Партнерские возможности Международные партнеры, инвесторы, рекламные сети часто требуют подтверждения соответствия GDPR как условие сотрудничества. В некоторых случаях data privacy включается в состав due diligence отчетов в качестве отдельного раздела.
- Приоритет в размещении Некоторые европейские платформы и каталоги отдают предпочтение сертифицированным по GDPR решениям при прочих равных условиях.
ПРИНЦИПЫ МЕЖДУНАРОДНОЙ АДАПТАЦИИ
Поэтапный подход к международным требованиям
Реальность: Невозможно сразу соблюдать требования всех стран мира в области персональных данных - они кардинально различаются. Нужен системный подход.
1. Базовый минимум (Must have):
- Полное соблюдение 152-ФЗ + уведомление РКН
- Политика конфиденциальности на русском языке
- Privacy Policy на английском с понятным описанием процессов
2. При дистрибуции через платформы:
Без корректного заполнения этих разделов публикация затруднена
3. При активном выходе на новый рынок требуется предварительная адаптация под местное законодательство:
- При активной онлайн и офлайн маркетинговой компании
- При таргетированной рекламе в конкретной стране
- При переводе интерфейса на местный язык
4. Реактивная адаптация - ориентируемся на пользователей:
- Мониторинг географии пользователей как регулярная практика
- При получении +5% трафика из новой юрисдикции - оценка соответствия
- Рекомендуется оценить необходимость адаптации под местные требования
💸 ДОКУМЕНТИРОВАННЫЕ ШТРАФЫ - РЕАЛЬНЫЕ КЕЙСЫ
Крупнейшие документированные санкции GDPR
- Meta* - €1.2 млрд (май 2023)
Штраф за трансграничную передачу данных европейских пользователей в США без адекватных механизмов защиты. - Amazon - €746 млн (июль 2021)
Нарушения в системе рекламного таргетинга без должного согласия пользователей. - Meta* (Instagram*) - €405 млн (сентябрь 2022)
За неправильную обработку персональных данных подростков 13-17 лет. - Meta* (Facebook*/Instagram*) - €390 млн (январь 2023)
За принуждение к согласию через изменение условий использования. - TikTok - €345 млн (сентябрь 2023)
За нарушения при обработке детских персональных данных.
* — Instagram (принадлежит компании Meta, бывш. Facebook, признанной экстремистской и запрещённой на территории РФ)
📊 Статистика по отраслям:
Наибольшее количество GDPR-штрафов в Европе получили: Здравоохранение (15,5%), Телекоммуникации (14,9%), Госорганы (13,7%), Финансы (13,1%).
➡️ Тренд: Регуляторы теперь штрафуют не только крупные корпорации, но и средние компании в различных секторах экономики.
🔎 ТИПОВЫЕ ОШИБКИ МЕЖДУНАРОДНОГО РАСШИРЕНИЯ
Самые дорогие ошибки при выходе на зарубежные рынки
1. Некорректные cookie-баннеры (основная причина штрафов)
- Предустановленные галочки согласия
- Принуждение к согласию для доступа к сайту
- Отсутствие возможности легко отозвать согласие
2. Детские данные (критично для геймдева)
- Сбор данных детей без верификации возраста и согласия родителей
- Особенно рискованно для игр и образовательных приложений
3. Неправильная интеграция с аналитикой
- Google Analytics, Facebook* Pixel без соответствующих уведомлений (* — Instagram (принадлежит компании Meta, признанной экстремистской и запрещённой на территории РФ)
- Передача данных в США без Adequacy Decision
- Отсутствие возможности opt-out для пользователей
4. Игнорирование запросов пользователей
- Отсутствие функции удаления аккаунта
- Превышение 30-дневного срока ответа на запросы
- Отказ в предоставлении данных пользователю
5. Неучтенная география пользователей
- «Не планировали работу в ЕС» не освобождает от ответственности
- Получение значительного трафика из регулируемых юрисдикций требует адаптации
Данная информация носит общий характер и не является юридической консультацией. В каждом конкретном случае необходима индивидуальная оценка. Для принятия решения рекомендуем проконсультироваться с юристом.
____________________________________________________________________
Больше практических советов для бизнеса читайте в нашем Telegram канале: https://t.me/Lex_by_Smollex
🎁 ПОДАРОК от Smollex: PDF-инструкция «Протокол действий в страшных ситуациях для директоров и владельцев бизнеса: 8 самых частых неприятностей, 4 главных вопроса к каждой ситуации»
А если вам нужна помощь или консультация — пишите мне в личные сообщения: https://t.me/vladimir_smolik