Защита данных · По всему миру

GDPR для иностранных компаний, продающих в ЕС: практическое руководство

BRАвтор: редакция Brisamo·Обновлено: июнь 2026·8 мин чтения

Общий регламент ЕС по защите данных (GDPR) не останавливается на границах Европы. Если ваш бизнес находится за пределами ЕС, но продаёт товары или услуги людям в Европе, GDPR может применяться к вам в полном объёме — даже если у вас нет офиса, сотрудников или серверов где-либо в блоке. Самое сложное для иностранных компаний — обычно вообще осознать, что они подпадают под регулирование, а затем понять, как соблюдение требований выглядит на практике.

Управляете ли вы интернет-магазином, программной платформой, маркетинговым агентством или сервисом по подписке, в тот момент, когда вы намеренно охватываете клиентов в ЕС, вы можете принять на себя набор правовых обязанностей, незнакомых и строго обеспечиваемых к исполнению. Правила и цифры со временем меняются, поэтому воспринимайте этот материал как общую справочную информацию, а не как совет применительно к вашей ситуации.

Применяется ли GDPR к моему бизнесу?

GDPR может затронуть бизнес, учреждённый за пределами ЕС, двумя основными путями, и достаточно лишь одного из них. Первый — когда вы предлагаете товары или услуги людям, находящимся в ЕС, независимо от того, взимаете ли вы с них плату. Второй — когда вы отслеживаете поведение людей в ЕС, например посредством трекинга, профилирования или аналитики, привязанной к их онлайн-активности.

Сам по себе факт наличия сайта, доступного европейцам, ещё недостаточен. Значение имеет то, нацеливаетесь ли вы намеренно на рынок ЕС. На это указывают следующие признаки:

  • Указание ваших цен в евро или другой валюте ЕС.
  • Предоставление сайта или контента на языке ЕС, не используемом в вашей стране.
  • Упоминание клиентов из ЕС, доставка в страны ЕС или использование домена верхнего уровня ЕС.
  • Маркетинг или реклама, нацеленные на людей в конкретных государствах — членах ЕС.

Если что-либо из этого описывает ваш бизнес, исходите из того, что GDPR применим, и соответственно обращайтесь с персональными данными ваших клиентов из ЕС. Значение имеет местонахождение лица, чьи данные вы обрабатываете, а не его гражданство и не то, где случилось зарегистрировать вашу компанию.

Основные обязанности, которые вы принимаете

GDPR построен на наборе принципов, применимых ко всему, что вы делаете с персональными данными: вы должны иметь законное основание для их обработки, использовать их только для ясных и ограниченных целей, поддерживать их точность, хранить не больше, чем нужно, удерживать не дольше, чем необходимо, и обеспечивать их безопасность. Эти принципы звучат абстрактно, но превращаются в конкретные обязанности.

  • Законное основание для каждой операции, например согласие, исполнение договора или законный интерес, который вы можете задокументировать.
  • Ясная информация о конфиденциальности, сообщающая людям, кто вы, какие данные собираете, зачем, как долго храните и с кем делитесь.
  • Действительное согласие там, где вы на него опираетесь, — свободно данное, конкретное и столь же легко отзываемое, как и предоставленное, что особенно важно для маркетинга и многих файлов cookie.
  • Соблюдение прав субъектов данных, включая доступ, исправление, удаление, переносимость и возражение, обычно в установленный срок.
  • Надлежащие меры безопасности и процедуру реагирования на нарушения персональных данных, включая уведомление регуляторов и затронутых лиц, где это требуется.

От вас также ожидается ведение записей о вашей деятельности по обработке и, для обработки повышенного риска, проведение оценки воздействия на защиту данных до её начала. Если ваша основная деятельность связана с крупномасштабной или чувствительной обработкой, вам может потребоваться назначить специалиста по защите данных.

Назначение представителя в ЕС

Одно требование застаёт многие иностранные компании врасплох. Если GDPR применяется к вам, а у вас нет учреждения в ЕС, вы, как правило, обязаны назначить в письменной форме представителя в ЕС — лицо или компанию, базирующуюся в государстве-члене, где находятся некоторые из ваших затронутых клиентов. Этот представитель действует как местная точка контакта для физических лиц и для органов по защите данных, и его реквизиты должны быть указаны в вашем уведомлении о конфиденциальности.

Существуют ограниченные исключения, например когда ваша обработка является лишь эпизодической и низкорисковой, но они уже, чем принято думать. Назначение представителя не снимает вашей собственной правовой ответственности — вы остаётесь полностью ответственны, — но неназначение его при необходимости само по себе является нарушением, на которое регуляторы могут отреагировать.

Передача данных за пределы ЕС

Для бизнеса из-за пределов ЕС отправка персональных данных из Европы в вашу страну является передачей, которую GDPR тщательно регулирует. Вы не можете просто перемещать данные куда захотите. Если ваша страна официально признана ЕС обеспечивающей адекватный уровень защиты, передача может осуществляться свободнее. Если нет, вам, как правило, нужна одобренная гарантия, прежде чем какие-либо данные покинут ЕС.

  • Стандартные договорные положения — самый распространённый инструмент, представляющий собой одобренные ЕС типовые условия договора, обязывающие стороны защищать данные.
  • Обязательные корпоративные правила — для передач внутри группы компаний, при условии одобрения регулятором.
  • Ограниченный набор отдельных исключений для эпизодических передач, на которые не следует полагаться как на постоянное решение.

Всё чаще от вас также ожидается оценка законодательства страны назначения и добавление дополнительных технических или организационных мер там, где местные нормы могут подрывать предполагаемую защиту данных. Это техническая область, которая меняется по мере появления новых решений и механизмов, поэтому уточняйте актуальное положение, прежде чем проектировать свои потоки данных.

Что произойдёт, если вы ошибётесь

К GDPR относятся всерьёз, поскольку последствия реальны. Надзорные органы в каждом государстве-члене могут проводить расследования, предписывать изменить или прекратить вашу обработку и налагать значительные административные штрафы, рассчитываемые исходя из вашего мирового оборота, причём верхний уровень зарезервирован для наиболее серьёзных нарушений. Физические лица также могут предъявлять требования о компенсации, а потребительские или правозащитные организации всё активнее действуют от их имени.

Помимо штрафов значимы и практические последствия: репутационный ущерб, утрата доверия клиентов и расходы на перестройку систем под надзором регулятора. Для иностранной компании действия по принудительному исполнению в ЕС могут также нарушить отношения с европейскими платёжными провайдерами, платформами и партнёрами, от которых вы зависите, чтобы вообще выйти на рынок.

Практические первые шаги

Если вы подозреваете, что GDPR применяется к вам, структурированный подход гораздо менее пугающ, чем реагирование на жалобу постфактум. Цель — знать, какие данные вы храните, зачем и можно ли обосновать каждый шаг в обращении с ними.

  • Составьте карту своих данных. Определите, какие персональные данные вы собираете у людей в ЕС, откуда они поступают, куда направляются и кто может их видеть.
  • Проверьте своё правовое основание для каждой операции и ужесточите практики согласия и маркетинга там, где вы на них опираетесь.
  • Опубликуйте ясное уведомление о конфиденциальности и внедрите простую процедуру обработки запросов о реализации прав субъектов и нарушений.
  • Урегулируйте трансграничные элементы — вашего представителя в ЕС, если он требуется, и действительный механизм для передачи данных, покидающих ЕС.

Поскольку GDPR взаимодействует с отдельными национальными законами государств-членов, а также с правилами о файлах cookie и электронном маркетинге, правильный ответ часто зависит именно от того, какие страны вы обслуживаете и как.

Как сделать всё правильно

GDPR наделяет европейцев сильными, обеспечиваемыми к исполнению правами в отношении их персональных данных, и эти права следуют за ними к любому, кто обрабатывает их информацию, — включая бизнес на другом конце света. Принципы стабильны, но детали, пороги и правила передачи со временем меняются, а наказания за ошибку могут быть суровыми. Поскольку столь многое зависит от того, как вы нацеливаетесь на рынок ЕС, какие данные обрабатываете и куда они движутся, самый безопасный шаг, когда на кону что-то важное, — обратиться к квалифицированному юристу по защите данных, который сможет изучить вашу ситуацию и подтвердить актуальные правила, прежде чем вы решите, как действовать.

BR
редакция Brisamo
Общая информация, а не юридическая консультация

Это руководство содержит общую информацию. Для консультации по вашей ситуации подберите фирму — бесплатно.

Найти юристу по защите данных →
Похожие руководства

Продолжить чтение

По всему миру · Уголовная защита
Уголовная защита

Арест за границей: что делать и ваши права

Понятное руководство для иностранцев, арестованных за границей: ваши права при аресте, консульская помощь, поиск адвоката, что говорить и ранние шаги, которые вас защищают.

По всему миру · Бизнес
Бизнес

Где открыть компанию за рубежом: как выбрать подходящую юрисдикцию

Понятное руководство для иностранцев, выбирающих, где зарегистрировать компанию за рубежом: компромиссы между налогами, экономическим присутствием, банкингом, репутацией и отчётностью, и почему важна местная консультация.

По всему миру · Иммиграция
Иммиграция

Гражданство за инвестиции и ВНЖ за инвестиции: что подходит именно вам

Понятное руководство для иностранцев, сравнивающее гражданство и вид на жительство за инвестиции — ключевые различия, сроки, общие диапазоны затрат и компромиссы, которые стоит взвесить, прежде чем принять решение.

Подберём юриста — бесплатно