Применимые законы о персональных данных: как понять, что нужно соблюдать?
- 10 марта, 2026
- Data Privacy, Бизнес
Содержание
Сложно найти и легко потерять
При определении законов, под действие которых подпадает компания, нужно учитывать не только специфику регулирования конкретного государства, но и множество других факторов: категории обрабатываемых персональных данных, предлагаемый продукт, географию целевой аудитории и другое.
Анализ этих факторов — постоянный процесс. По мере роста бизнеса, запуска новых функций и выхода на новые рынки компания может «незаметно» перейти в более строгий режим регулирования.
1. Множественность юрисдикций
Применимость законов в сфере приватности часто связана не столько с фактом регистрации компании в том или ином государстве, сколько с фактом обработки персональных данных на его территории.
Так, согласно статье 3(2), GDPR применяется, даже если вы не имеете физического присутствия в ЕЭЗ, но при этом предлагаете товары и услуги субъектов данных в Союзе или мониторите их поведение.
GDPR далеко не единственный закон, который обладает экстерриториальным действием. PIPL в Китае, LGPD в Бразилии, PDPL во Вьетнаме — это лишь некоторые примеры устойчивого законодательного тренда на экстерриториальность.
В 2026 году практически любая компания, чья деятельность направлена на лиц из разных юрисдикций, автоматически подпадает под несколько правовых режимов одновременно.
Рассказываем, почему законы распространяются вне своих стран-создательниц и как компании справляются с этим.
2. Разные архитектуры регулирования: секторальная vs. комплексная
В государствах действуют разные модели регулирования:
🔹 Комплексная — когда есть единый закон, охватывающий все категории данных и все сектора. Таким законом в ЕС является GDPR.
🔹 Секторальная — когда такого закона нет, а вместо этого для разных отраслей принимаются отдельные нормативные акты (как в США: HIPAA для здравоохранения, GLBA для финансов, FERPA для образования и другие).
Из-за секторальной системы становится сложнее определять обязательства, которые затрагивают компанию, и мониторить изменения в законодательстве, чтобы обновлять перечень этих обязательств.
При этом наличие единого закона не означает «одного источника требований»: поверх базового режима часто накладываются дополнительные нормативные акты для отдельных сфер. В ЕС наряду с GDPR действуют ePrivacy Directive, AI Act, Digital Services Act, Digital Markets Act и другие акты. В итоге компаниям приходится ориентироваться не на один документ, а на набор пересекающихся режимов.
3. Многоуровневость норм: федеральные и региональные требования
В федеративных государствах применимость норм часто не ограничивается «законом страны»: помимо федерального уровня действуют региональные акты, которые могут отличаться по определениям, правам субъектов и обязанностям компаний.
Например, в США в ряде штатов действуют свои законы — как комплексные (например, CCPA/CPRA в Калифорнии), так и отраслевые (например, My Health My Data Act в Вашингтоне).
В результате компания вынуждена одновременно постоянно отслеживать изменения на обоих уровнях.
4. Отраслевые стандарты
Помимо законов часть комплаенс-требований формируется за счет отраслевых стандартов. Иногда это лишь ориентиры и «лучшие практики», но иногда — обязательные правила (например, через требования надзорного органа или включение стандарта в законодательство).
Так, в Австралии индустрия разрабатывает стандарты исполнения — они обязательны, а контроль за их соблюдением осуществляет регулятор. А в США, Японии и Сингапуре чаще используются кодексы практики — их выпускают отраслевые организации (например, OPA, TrustArc, WebTrust), и как правило, сами по себе они не имеют юридически обязательной силы.
В конечном счете компании могут не учесть и половины требований, которые накладывают на них применимые акты.
Подскажите, как по красоте-то сделать
А теперь — к инструкции: разъясним, по каким шагам компания может пройтись, чтобы выявить применимые законы и обязательства в области персональных данных.
Шаг 1: Картирование персональных данных
Невозможно определить применимое законодательство, не понимая, какие данные компания собирает, обрабатывает и хранит.
На этом этапе необходимо:
🔹 Составить перечень категорий обрабатываемых персональных данных;
🔹 Описать источники получения данных;
🔹 Зафиксировать географию субъектов данных;
🔹 Установить места хранения и обработки данных.
Этот шаг создает фундамент для дальнейшего анализа, который реализуется через создание реестра обработки персональных данных.
Пройдите курс GDPR Data Privacy Professional. На нем участники в командах изучают учебный кейс, строят карту данных и пошагово создают реестр обработок на ее основе.
Шаг 2: Анализ территориальной применимости законов
Затем необходимо определить, законодательство каких стран может распространяться на вашу организацию в зависимости от того, на какие рынки вы ориентируетесь в своей деятельности и данные каких субъектов обрабатываете.
Критерии применимости варьируются от акта к акту, но обычно связаны с территорией или гражданством. Можно выделить следующие:
🔹 Наличие физического присутствия или юридического лица на территории государства;
🔹 Оказание услуг субъектам данных на территории государства;
🔹 Мониторинг поведения субъектов данных на территории государства;
🔹 Обработка данных граждан/резидентов вне зависимости от местоположения.
Шаг 3. Анализ регулирования применимых юрисдикций
Далее важно определить, как устроено законодательство в сфере персональных данных в тех государствах, чье регулирование может быть применимо к вашей организации.
Следует разрешить следующие вопросы:
🔹 Действует комплексное или секторальное регулирование? Какие акты являются ключевыми?
🔹 На каких уровнях существуют законы в сфере приватности (наднациональный, федеральный, региональный)?
🔹Действуют ли юридически обязательные отраслевые законы и стандарты?
Шаг 4. Анализ отраслевой принадлежности и специфики обрабатываемых данных
Чтобы ответить на все эти вопросы, нужно учесть не только особенности регулирования, но и специфику самой компании: какие категории данных и в каком объеме она обрабатывает. Ведь именно на этом, как правило, завязаны отраслевые требования.
Так, с большой вероятностью существует отраслевые акты и стандарты, которые будут накладывать дополнительные обязательства, когда:
🔹 Компания обрабатывает особые категории данных (например, данные о здоровье);
🔹 Компания обрабатывает данные уязвимой категории субъектов (например, детей или работников);
🔹 Компания относится к специфическому сектору деятельности с позиции регуляторов (например, финансы, телекоммуникации, медиа и иные цифровые услуги).
Шаг 5: Проверка требований о breach notification
Несмотря на то, что в ЕС в рамках Digital Omnibus обсуждается унификация требований к уведомлению регуляторов через единое окно для снижения бюрократических издержек и удобства бизнеса, на данный момент уведомления подаются разным регуляторам. Так же часто происходит и в других юрисдикциях.
Чтобы снизить регуляторные риски, необходимо:
🔹 Составить перечень всех юрисдикций на всех уровнях от наднациональных до местных, где действуют такие требования.
🔹 Зафиксировать сроки, формат и адресатов уведомлений.
🔹 Интегрировать эти требования в политику реагирования на инциденты (Incident Response Plan).
Сложность заключается в том, что требования к подаче уведомления различаются часто не только по форме и срокам, но и по существу: где-то регуляторы требуют уведомления о любых нарушениях, где-то только по достижении определенного уровня риска.
Шаг 6: Выбор наиболее строгого стандарта (принцип «highest level achievable»)
Если ваша организация работает в юрисдикциях с разным уровнем защиты, лучшей практикой является применение наиболее строгих требований ко всем операциям. Это позволит:
🔹 Снизить риски нарушений в юрисдикциях с высокими требованиями.
🔹 Упростить управление программой приватности — единая политика вместо множества локальных вариантов.
🔹 Повысить доверие пользователей.
Например, если компания обрабатывает данные и в ЕС, и в стране без законодательства в сфере персональных данных, целесообразно применять требования GDPR ко всем данным.
Шаг 7: Мониторинг изменений законодательства
Законодательство в области приватности динамично развивается, поэтому необходимо:
🔹 Отслеживать законопроекты и новые нормативные акты в юрисдикциях присутствия.
🔹 Мониторить активность регуляторов (штрафы, предписания, руководства).
🔹 Учитывать культурные и языковые особенности при работе с переводами законов.
Не знаете, какие законы применимы к вашей компании?
Команда Data Privacy Office работает в 49 юрисдикциях и знает, как выстроить комплаенс без лишних затрат. Запишитесь на бесплатную консультацию с экспертом. На ней мы разберём вашу ситуацию и предложим решение.
Заключение
Регулирование в сфере защиты персональных данных становится только сложнее, и «правильный ответ» при определении применимых требований — это не список из десяти законов, а рабочий процесс, который помогает их вовремя замечать и соблюдать.
Если компания понимает свои данные, регулярно пересматривает перечень обязательств и ориентируется на самый высокий стандарт, она выигрывает и в снижении рисков, и в доверии клиентов.
Помощь и поддержка по вопросам защите персональных данных по GDPR и национальным законам
Помогаем настроить системную работу по защите персональных данных с помощью тренингов и консалтинговых услуг.
Приведем проекты, процессы и продукты компании в соответствие с международными и национальными правилами защиты данных: GDPR, CCPA, UAE PDPL, PIPL, Закон Республики Беларусь № 99-З, Закон Республики Казахстан № 94-V и другими.
Обучающие курсы по защите персональных данных от экспертов с международными сертификациями. Особенность наших программ — их практическая применимость и вовлеченность. Мы даем студентам реальные кейсы и фреймворки, а также превращаем сложные темы в понятные визуальные материалы.
Корпоративные программы обучения по защите персональных данных, которые адаптируются под вашу команду. Учитываем уровень сотрудников в приватности, сферу деятельности бизнеса и применимое законодательство.
