ЕС упрощает цифровое регулирование: что это значит для бизнеса?
- 19 ноября, 2025
- GDPR, Бизнес, Законодательство
Последние несколько лет мир работал над тем, чтобы понять и внедрить GDPR, подготовиться к AI Act, разобраться с Data Act — и вот в тот момент, когда юридические и технические команды наконец начали выстраивать процессы, правила снова меняются. 19 ноября ЕС планирует выпустить Цифровой пакет по упрощению, который может стать самым масштабным пересмотром цифрового регулирования с 2016 года.
В этой статье разберём, что именно предлагает Комиссия, почему эти изменения появились, и главное: что они означают на практике для компаний, DPO, AI-команд и юристов.
Содержание
Почему ЕС затеял эти реформы?
У регуляторов накопилось слишком много претензий к собственному регулированию:
📎 GDPR слишком сложен, несогласован между странами и плохо масштабируется.
📎 ePrivacy так и не стал полноценной заменой cookie-хaосу.
📎 AI Act вступает в мир, где компании уже столкнулись с тем, что обучение моделей на реальных данных — это не просто вопрос юриспруденции, а вопрос выживания.
📎 Data Act оказался слишком тяжеловесным, особенно для трансграничных сервисов и МСП.
Комиссия решила подойти прагматично: сократить дублирование, показать бизнесу предсказуемость, облегчить выполнение требований, но при этом не отказываться от стандартов приватности и безопасности искусственного интеллекта.
GDPR: меньше бюрократии, больше концентрации на рисках
Единый портал инцидентов
То, чего ждали cybersecurity-команды: вместо четырёх разных регуляторов и нескольких форм — один портал и модель report once, share many (вероятно, это будет работать примерно так: «один раз сообщил — дальше система сама разошлёт куда нужно».)
На практике это означает:
📎 крупные SaaS-платформы смогут сократить время реакции и убрать параллельные отчёты для NIS2, DORA и GDPR;
📎 DPO смогут быстрее оценивать инциденты, а не тратить время на бюрократию.
📎 крупные технологические компании смогут избежать ситуации, когда разные регуляторы требуют разные наборы данных.
В крупных организациях это превращалось в параллельные процессы, где одинаковые данные заполнялись по-разному.
Повышение порога уведомлений + 96 часов вместо 72
ЕС фактически признаёт, что многие компании уведомляли «ради подстраховки», даже если риски минимальны.
Теперь требуется уведомлять только если инцидент несёт высокий риск для субъекта данных.
Пример:
если вы случайно отправили письмо одному клиенту вместо другого, но там нет данных, по которым можно однозначно идентифицировать человека, — скорее всего, уведомление больше не требуется.
С 72 часов порог уведомления об утечке увеличивается до 96 — это компромисс между реалиями бизнеса и контролем. Особенно это важно для компаний, работающих в нескольких часовых поясах.
Ограничение злоупотреблений DSAR
ЕС впервые признаёт то, что юристы говорят много лет: DSAR часто используют не для защиты прав, а как инструмент давления в трудовых и гражданских спорах.
Теперь, если DPO видит, что запрос подан явно с другой целью (например, сотрудник требует все свои данные прямо в разгар судебного процесса, чтобы усложнить работу работодателю), компания сможет:
📎 отказать в запросе;
📎 или взять плату за его обработку.
Это сокращает сотни часов работы юридических отделов ежегодно.
Privacy notice not required?
Да — если пользователь и так знает, кто обрабатывает данные и зачем.
Пример:
пользователь сам пишет в службу поддержки и прямо указывает свой e-mail → уведомление не требуется; вы собираете телефон для доставки покупки → логика и так очевидна.
Но есть чёткие исключения:
📎 трансграничная передача,
📎 автоматизированные решения,
📎 любая высокорисковая обработка.
То есть здесь логика простая: убрать очевидную бюрократию, не потеряв прозрачность.
Не знаете, как адаптироваться к новым правилам?
Запишитесь на бесплатную консультацию с нашим экспертом. Мы проанализируем, какие изменения критичны для вашей компании, и составим план действий по обновлению процессов защиты персональных данных.
ePrivacy переписывают почти с нуля: меньше баннеров, больше здравого смысла
Фактически ЕС признаёт: текущая модель cookie consent провалилась. Теперь главная идея — перестать заставлять пользователей нажимать «Принять всё», если речь вообще не о трекинге.
Согласие больше не нужно для аналитики
ЕС предлагает очень ясный критерий:
Если cookie или технология трекинга используется только для:
📎 агрегированной аналитики (когда данные не позволяют отслеживать отдельного человека),
📎 защиты сайта (например, предотвращение DDoS, fraud detection),
— согласие не требуется.
Пример:
Сайт использует Matomo в режиме агрегированной статистики → баннер можно не показывать.
Но важно: если аналитика может быть связана с конкретным пользователем (например, построение профиля покупок), → согласие по-прежнему нужно.
GDPR становится «главным законом» для трекинга
Это одно из самых важных изменений. Сейчас ePrivacy требует только согласия. Это привело к бесконечным баннерам, всплывающим на каждом сайте. Теперь логика такая: если технология трекинга затрагивает персональные данные, то применяется GDPR, а не ePrivacy.
Это означает: контролер может выбрать другое законное основание, в том числе законный интерес, если баланс интересов соблюдён.
Пример:
Интернет-магазин хочет использовать трекинг внутри своего собственного сайта для улучшения поиска → можно обосновать как легитимный интерес без обязательного согласия, если данные не уходят третьим лицам и риски низкие.
Но для рекламных network cookies это всё равно не пройдёт.
Переход на универсальные механизмы предпочтений
ЕС хочет заменить хаос из 20 видов баннеров единым механизмом: браузер отправляет машиночитаемый сигнал (аналог Global Privacy Control), сайты обязаны его учитывать. После 6 месяцев адаптации это станет обязательным.
Исключение получат только медиа-компании, которым разрешат по-прежнему использовать свои модели монетизации без «жёсткого» ограничения.
DPIA и специальные категории данных: консолидация и прагматизм
Общий шаблон DPIA
EDPB получит мандат создать EU-wide списки ситуаций, когда DPIA обязательна, и единый шаблон. Это означает конец «лоскутного одеяла»: компаниям не придётся угадывать, что имел в виду локальный регулятор во Франции или Польше.
Что это даст бизнесу?
📎 глобальным компаниям больше не нужно адаптировать DPIA для каждой страны;
📎 процедура становится предсказуемой и дешевле;
📎 DPO больше не тратят время на интерпретации национальных требований.
Узкое определение special category data
Сегодня действует логика: если по данным можно вывести чувствительный признак, это уже special category. ЕС предлагает перейти на модель: special category — только то, что прямо раскрывает признак.
Пример:
Посещение сайта религиозной тематики → больше не автоматическое попадание в special category, если только данные прямо не указывают на убеждения человека.
Это серьёзное упрощение для AI-разработчиков, которые работают с большими текстовыми и поведенческими датасетами.
Исключение для «остаточных» чувствительных данных в ИИ
Если компания пытается очистить датасет от sensitive data, но часть таких данных всё равно остаётся (это неизбежно в больших объемах данных), — ЕС предлагает разрешить такую обработку при наличии сильных гарантий защиты.
Это позволяет:
📎 обучать LLM,
📎 работать с историческими датасетами,
📎 использовать заранее собранные данные.
Биометрия на устройстве разрешена прямо
Если биометрические данные не выходят с устройства, а используются внутри телефона, ноутбука или IoT — это не считается высоким риском. Это закрепляет уже устоявшуюся практику Apple, Android и производителей биометрических замков.
AI Act: обучение моделей на персональных данных как законный интерес
Самая обсуждаемая часть реформы — признание того, что обучение моделей на персональных данных может быть легитимным интересом.
Это не означает карт-бланш, но делает возможным:
📎 обучение внутренних моделей для поиска, summarization и классификации;
📎 обработку логов взаимодействия пользователей для fine-tuning;
📎разработку embedded AI-функций.
При этом компания обязана:
📎 провести Legitimate Interest Assessment,
📎 учесть влияние на пользователей,
📎 внедрить safeguards (анонимизация, дифференциальная приватность, ограничения доступа, фильтрация выходных данных и т.п.).
Пример:
Сайт использует Matomo в режиме агрегированной статистики → баннер можно не показывать.
Data Act и отмена старых норм: приведение экосистемы в порядок
Этот блок реформ касается законов, которые регулируют обмен данными между компаниями, доступ государства к данным и правила работы облачных сервисов.
В ЕС накопилось слишком много законов о данных, из-за чего появилась путаница.
Data Governance Act (DGA) — один из них. Он регулировал роль посредников данных, условия обмена данными и доступ государства. Отдельно существовал и другой закон — Free Flow of Non-Personal Data Regulation (FFNDR), который должен был облегчать хранение и перемещение неперсональных данных по ЕС.
Оба документа существовали параллельно с Data Act. Итог — сложная система, в которой:
📎 одни и те же вопросы регулировались тремя разными законами,
📎 требования пересекались,
📎 компаниям было сложно понять, какой закон применить.
ЕС делает «генеральную уборку»:
DGA и FFNDR отменяются, а их полезные части переносятся в Data Act.
Что это означает на практике?
📎 меньше дублирования норм,
📎 меньше юридических споров,
📎 проще строить продукты, которые работают с данными по всему ЕС.
Государство сможет требовать данные только в действительно экстренных ситуациях
Ранее законы позволяли государственным органам требовать доступ к данным компаний в случаях «исключительной необходимости». Формулировка была слишком расплывчатой: многие опасались злоупотреблений, особенно технологические компании и владельцы B2B-данных.
Теперь правило уточняется: доступ разрешён только в случае реальной чрезвычайной ситуации.
Что такое «чрезвычайная ситуация»?
📎 природные катастрофы,
📎 эпидемии и угрозы здравоохранению,
📎серьёзные угрозы общественной безопасности,
📎 масштабные кибератаки на инфраструктуру.
Это не распространяется на обычные запросы госорганов, налоговые проверки, интерес к данным клиентов и т.п.
Для бизнеса это снижает страх, что:
📎 данные клиентов могут попасть в руки госорганов без серьёзных оснований;
📎 или что компании будут обязаны менять архитектуру хранения данных из-за неопределённых требований.
Компании не обязаны раскрывать коммерческую тайну, если есть риск утечки за пределы ЕС
Раньше Data Act мог требовать раскрытия определённых данных другому бизнесу или государству в рамках регулирования доступа. Проблема: среди этих данных могла оказаться коммерческая тайна. Теперь вводится важная защита: если есть риск, что такие данные могут попасть в третьи страны с низкой защитой (например, через суд, субподрядчиков, национальное законодательство), компания может отказать.
Это защищает:
📎 алгоритмы,
📎 технические спецификации,
📎 внутренние модели,
📎 чувствительные бизнес-данные.
Другими словами:
компанию больше не заставят делиться ключевыми ноу-хау под предлогом Data Act.
Уточняются правила «cloud switching» — перехода между облачными провайдерами
Data Act устанавливал жёсткие требования, направленные на то, чтобы компании могли легко менять облачного провайдера (например, AWS → Azure). Но в реальности многие услуги не могут быть перенесены простым копированием данных, особенно:
📎 кастомные решения,
📎 модели ИИ, обученные на собственных данных,
📎 инфраструктура с уникальной архитектурой,
📎 SaaS-платформы, построенные на проприетарных технологиях.
ЕС признаёт эту проблему и смягчает правила:
📎 для кастомных решений переход может не требоваться,
📎 для малых и средних компаний — дополнительные исключения,
📎 требования будут применяться только к новым контрактам после 2025 года.
Идея проста: не заставлять бизнес делать невозможное или экономически бессмысленное.
Плюсы и минусы нового цифрового регулирования
Плюсы
Меньше бюрократии, больше ясности.
Компаниям больше не нужно гадать, в какой орган и в какой форме отправлять уведомления. Один портал, единые правила, меньше риска ошибиться.
GDPR снова работает по принципу «оценивай риск, а не ставь галочки».
Регулятор возвращается к исходной логике: важны не формальные требования, а то, насколько реально опасна обработка данных.
Cookie-баннеры перестают быть бесконечным раздражителем.
Если технология нужна для работы сайта или честной аналитики без профайлинга, согласие больше не требуется. Интерфейсы, наконец, станут чище.
AI-команды получают прозрачный «зелёный свет» для обучения моделей.
Обработка данных для тренировки ИИ официально признаётся законным интересом при соблюдении гарантий. Это снимает огромный практический барьер.
DPIA становится единым процессом для всей Европы.
Больше не нужно подстраиваться под 27 разных национальных списков. Один шаблон, один набор критериев: проще, быстрее и дешевле для компаний, работающих в нескольких странах.
Минусы
EDPB получает гораздо больше власти.
Когда один орган определяет правила для всей Европы, это упрощает систему, но создаёт риск чрезмерной централизации и более жёсткого контроля.
Понятие персональных данных станет более «размытым».
Если теперь важно, может ли идентифицировать субъектов именно ваша организация, появятся новые зоны серых интерпретаций и споры с регуляторами.
Исключение для медиа может вызвать недовольство.
От СМИ потребуют меньше: им разрешат игнорировать универсальные сигналы отказа от трекинга. С одной стороны, это поддержка независимой журналистики. С другой — выглядит как привилегия.
Сужение special category data несёт риск для уязвимых групп.
Если данные о поведении пользователя больше не считаются чувствительными, даже если по ним можно косвенно многое понять, это может привести к повышенному риску дискриминации в моделях ИИ.
Что всё это значит для бизнеса?
ЕС постепенно двигается к более реалистичному цифровому регулированию: меньше символизма, больше применимости. На практике мы увидим:
📎 упрощение процессов комплаенса, снижение стоимости выполнения требований;
📎 рост инвестиционной привлекательности AI-проектов без постоянного страха «обработки данных незаконна»;
📎 смещение акцента от бумажной отчётности к реальному управлению рисками;
📎 необходимость пересмотреть privacy notice, базы данных DSAR, политику обработки cookie и механизмов трекинга;
📎 новую волну guidance от EDPB, которая определит, насколько гибкими будут эти правила.
Если резюмировать: ЕС не отменяет AI Act, GDPR и Data Act — он делает их более пригодными для реальности, в которой данные, ИИ и риски развиваются быстрее, чем законодательство.
И как всегда, всё будет зависеть от того, как именно эти нормы будут интерпретированы надзорными органами. Но одно уже очевидно: игра меняется, и меняться придётся всем нам.
