В этом году исполняется 10 лет с момента принятия Евросоюзом Общего регламента по защите данных (General Data Protection Regulation, GDPR), который с 25 мая 2018 года стал обязательным для всех компаний. Оглядываясь назад, эксперты сходятся во мнении: влияние регламента огромно, но его первоначальные цели достигнуты лишь частично.

GDPR стал одним из самых влиятельных цифровых нормативных актов в мире. Он изменил отношение компаний к конфиденциальности, повысил стандарты и предоставил гражданам больше прав. Но это не совсем то, на что многие надеялись, поскольку люди до сих пор не имеют доступа к простому и реальному контролю над своими данными.

Самым заметным достижением GDPR эксперты называют изменение корпоративной культуры. До его внедрения защита данных во многих организациях была не более чем юридическим текстом на веб-сайте, шаблонными договорами с поставщиками и папкой, которая проверялась в ходе проверок. Сегодня, по крайней мере, в Европе, конфиденциальность является неотъемлемой частью повседневной деятельности компаний, государственных администраций и цифровых сервисов. Речь идет о правовых рамках, оценке воздействия, минимизации объемов данных, проектировании с учетом требований конфиденциальности и наличии сотрудников, отвечающих за защиту данных. За техническим, на первый взгляд, решением кроется существенное изменение: организации должны не просто декларировать соблюдение требований, но и быть в состоянии это доказать.

Согласно регламенту, предприятия обязаны знать, какие именно данные обрабатываются, с какой целью это делается, какова продолжительность операций, как осуществляется передача данных и каковы гарантии конфиденциальности. Прежде чем действовать, всегда следует подумать о том, как обработка данных может повлиять на основные права. И в конечном итоге организациям удалось интегрировать все это в свои управленческие решения.

Несмотря на прогресс, регламент столкнулся с рядом системных трудностей. Слишком узкая трактовка персональных данных приводит к избыточному регулированию без реальной защиты. В сложных экосистемах (например, с ИИ) разграничение ответственности размывается. Поэтому применение GDPR требует четких критериев, которые позволят преодолеть возникающую неопределенность.

Существует еще и международный аспект. Пока цифровые бизнес-модели носят глобальный характер, а правовые рамки остаются национальными или региональными, правовая неопределенность будет сохраняться.

Штрафы за нарушение GDPR продолжают действовать, и их размеры выглядят весьма впечатляюще. Общая сумма штрафов с 2018 года составила 7,1 млрд евро, из которых 1,2 млрд евро было выставлено только за 2025 год. Каждый день в Европе в среднем регистрируется 443 уведомления о нарушениях безопасности.

С 2018 года ирландские власти оштрафовали крупные технологические компании на 4,04 млрд евро. Фактически же было собрано лишь около 20 млн евро – 0,5% от общей суммы, все остальное находится на стадии обжалования или взимание штрафов приостановлено.

Положения GDPR вступили в силу до появления искусственного интеллекта. Теперь, когда гонка ИИ приобрела геополитический характер, Европа осознала, что GDPR приводит к удорожанию и замедлению внедрения ИИ в сравнении с США и Китаем, которые ограничились меньшим объемом регулирования и не спешат с этим. Именно поэтому Европейская Комиссия решила отложить принятие части Закона об ИИ, сопряженной с высоким уровнем риска, на неопределенный срок, возможно, до декабря 2027 года.

GDPR использовался в качестве шаблона для введения множества нормативных актов: NIS2, DORA, DSA, DMA, Закона о данных и Закона об искусственном интеллекте. Выполнить все эти требования в полной мере фактически невозможно. А согласованного применения GDPR, если рассматривать его с точки зрения всех стран ЕС, до сих пор нет.

В период с 1 января по 31 марта 2026 года на нарушителей были наложены штрафы на общую сумму 68,18 млн евро. Другими словами, в течение первых трех месяцев года компании, игнорирующие положения GDPR, платили примерно 757,6 тыс. евро в день.

Самым злостным нарушителем оказалась французская телекоммуникационная компания Free Mobile, на которую из-за проблем с безопасностью данных абонентов был наложен штраф в размере 27 млн евро. Второму по величине штрафу (16 млн евро) подверглась британская компания Reddit за неспособность защитить данные несовершеннолетних пользователей. На третьей и четвертой позиции находятся Free, материнская компания FreeMobile (15 млн евро за недостаточные технические и организационные меры), и государственное агентство France Travail (5 млн евро за неспособность защитить информацию о соискателях работы).

Положения GDPR разрабатывались еще до появления генеративного ИИ, и это порождает новые вопросы. Как обеспечить прозрачность при обучении моделей на миллионах записей? Как реализовать право на удаление, если данные уже «ушли» в нейросеть? Как распределяется ответственность между провайдером ИИ-сервиса, интегратором и конечным пользователем? Если европейская нормативная база в области цифровых технологий будет уплотняться и дальше, вбирая в себя все новые и новые правила без какого-либо их упрощения, соблюдение требований превратится в роскошь, доступную только крупным организациям, а не в эффективный стандарт защиты граждан.

GDPR придется адаптировать к новой реальности. Следует учитывать состоявшийся переход от управления данными к их рациональному использованию. Если компании хотят добиться выполнения требований, минимизирующего риск санкций, им нужно усиливать роль специалистов по защите данных. И, наконец, необходимо адаптировать GDPR к технологической эволюции, предотвращая тем самым возникновение неопределенности.