Кому нужен GDPR — даже если вы не в EU
Распространённое заблуждение: «У меня сайт в Молдове, GDPR — это для Европы, я не подпадаю». Это неверно.
GDPR применяется к любому сайту, который:
• Собирает данные европейских клиентов (форма заявки, регистрация, подписка)
• Использует Google Analytics, Facebook Pixel или другие сервисы, передающие данные в EU/USA
• Принимает платежи от европейских пользователей
• Использует cookies для tracking
Если вы в Молдове и работаете с румынскими, немецкими или французскими клиентами — GDPR применяется. Если в Украине и продвигаете услуги на европейский рынок — тем более.
Плюс — национальные законы. С 2023 в Молдове действует Legea privind protecția datelor cu caracter personal — гармонизированный с GDPR. В Украине — Закон «Про захист персональних даних». В обоих случаях штрафы реальные.
7 обязательных элементов на сайте
1. Cookie consent banner
Всплывающее окно с явным согласием на использование cookies. Не «продолжая просмотр, вы соглашаетесь» (это не работает по GDPR), а отдельные кнопки «Принять всё» / «Только необходимые» / «Настроить». Без него Google Analytics и любые другие tracking-cookies использовать нельзя.
2. Privacy Policy (политика конфиденциальности)
Страница с описанием:
• Какие данные собираем (имя, email, телефон, IP, cookies)
• Зачем (обработка заявок, маркетинг, аналитика)
• Кому передаём (Google, Resend, хостинг-провайдер, CRM)
• Сколько храним
• Как пользователь может запросить удаление, доступ, перенос своих данных
• Контакты ответственного за персональные данные
Шаблоны есть на e-recht24.de и iubenda.com, но финальную версию должен утвердить юрист.
3. Согласие в формах (checkbox)
Любая форма, которая собирает данные — должна иметь обязательный чекбокс с явным текстом: «Я согласен с обработкой персональных данных в соответствии с политикой конфиденциальности» со ссылкой на Privacy Policy. Чекбокс должен быть НЕ отмечен по умолчанию.
4. Impressum (для немецкого рынка)
Если работаете на DE/AT/CH — обязательная страница с реквизитами: название компании, юрадрес, телефон, email, регистрационный номер, ответственное лицо. В Молдове и Украине обязательного аналога нет, но рекомендуется страница «Контакты» с реквизитами.
5. Защита от спама и атак
reCAPTCHA или аналог в формах. Без этого 70% писем с сайта будут спам-ботами. Это ещё и GDPR-требование — компания должна обеспечивать безопасность данных от несанкционированного доступа.
6. HTTPS обязателен
SSL-сертификат должен быть включён. В 2026 это даже не обсуждается — без HTTPS Google помечает сайт как «небезопасный», и пользователи уходят. Бесплатный сертификат Let's Encrypt включается в любом современном хостинге.
7. Право на удаление, доступ, перенос данных
Пользователь должен иметь возможность написать вам на email и запросить:
• Какие его данные у вас есть
• Удаление данных
• Перенос (выгрузка в формате CSV/JSON)
• Исправление
На сайте должна быть видимая ссылка на «политику конфиденциальности» (часто в футере) с описанием как это сделать.
Реальные штрафы — это не пугалка
В 2024-2025 годах европейские регуляторы выписали штрафов на €5+ миллиардов. Несколько примеров:
• Meta — €1.2 млрд за передачу данных в США
• Amazon — €746 млн за нарушение в обработке cookies
• Marriott — €18.4 млн за утечку данных
• Carrefour — €2.25 млн за маркетинговый спам
Малый бизнес тоже штрафуют. Кофейня в Австрии — €4 800 за камеру наблюдения без таблички. Парикмахер в Германии — €2 500 за рассылку без согласия.
В Молдове и Украине штрафы пока меньше — €100-5 000 за разовое нарушение. Но с гармонизацией законодательства они будут расти.
Главная проблема — не штраф, а репутация. Один скандал с утечкой данных или жалобой клиента в регулятор — и о вашей компании знают как о «тех, кто слил клиентскую базу». Восстанавливать доверие гораздо дороже, чем сразу настроить GDPR.
Мифы — что НЕ нужно делать
Миф 1: «Отказался от cookies — значит, не работают аналитика и реклама».
Это правда только если не использовать Google Consent Mode v2. С Consent Mode аналитика собирает анонимизированные данные даже при отказе — этого достаточно для базовых метрик.
Миф 2: «Нужно зарегистрироваться в EU как обработчик данных».
Только если ваш бизнес базируется в EU или оборот превышает определённые пороги. Для типичного агентства из Молдовы — не нужно.
Миф 3: «Приватность важна только для крупных проектов».
GDPR применяется одинаково к лендингу с одной формой и к Amazon. Размер не освобождает от обязанностей.
Миф 4: «У меня нет европейских клиентов, GDPR не для меня».
Если на сайт может зайти европейский пользователь и оставить заявку (а это происходит автоматически — сайт открыт миру), GDPR применяется к этой заявке. Локально проверить геолокацию посетителя — ещё больше риска (это уже обработка данных без согласия).
Миф 5: «GDPR — это просто cookie banner».
Cookie banner — это видимая часть. Под ним — политика конфиденциальности, согласие в формах, безопасное хранение, право на удаление. Без этого banner — фасад без здания.
Быстрый чек-лист «GDPR-готовность»
Откройте свой сайт и проверьте:
✓ При первом заходе появляется cookie banner с возможностью отказаться
✓ В футере есть видимая ссылка «Политика конфиденциальности»
✓ В каждой форме есть обязательный чекбокс согласия (НЕ отмечен по умолчанию)
✓ Privacy Policy описывает все используемые сервисы (Google, аналитика, формы)
✓ Сайт работает по HTTPS (зелёный замок в адресной строке)
✓ В формах есть reCAPTCHA или аналог
✓ Есть email или форма для запроса удаления данных
✓ Если работаете с DE — есть Impressum
✓ Аналитика подключена через Consent Mode v2 (для Google)
Если хотя бы 1-2 пункта отсутствуют — это юридический риск, который рано или поздно стрельнёт. Лучше потратить день на настройку, чем месяц на разбирательство со штрафом.