GDPR compliance guide: кращі privacy-практики у 2026 році

З 25 травня 2018 року, коли набув чинності GDPR, регулятори ЄС наклали штрафів на загальну суму €7,1 млрд. Лише у 2025 році було зафіксовано понад 400 повідомлень про витоки даних на добу — вперше з моменту запровадження регламенту. Якщо ваш бізнес обробляє персональні дані громадян ЄС, то регулятори можуть перевірити і вас. Цей гайд про те, які privacy-практики реально захищають компанію у 2026 році.

У наших статтях ми вже писали про GDPR compliance на практиці. 

Що змінилося: enforcement 2025 у цифрах

Найбільші кейси останніх місяців дають чітке уявлення про пріоритети регуляторів. Ірландська DPC наклала €530 млн штрафу на TikTok за незаконну передачу даних користувачів ЄС до Китаю без належних гарантій. Це третій за величиною штраф в історії GDPR. Іспанський суд у цивільному провадженні зобов’язав Meta сплатити €479 млн за маніпуляції зі згодою, тому що компанія змінювала правову підставу обробки з «consent» на «contract necessity» та назад, намагаючись обійти вимоги регламенту.

Кумулятивна сума штрафів з 2018 по початок 2026 року становить приблизно €7,1 млрд. Ірландія залишається лідером за загальним обсягом накладених санкцій – €4,04 млрд – через те, що у Дубліні зареєстровані євроштаби більшості великих технологічних компаній.

Компанія	Штраф	Підстава
TikTok (ByteDance)	€530 млн	Незаконна передача даних до Китаю без адекватних гарантій (ст. 44–49 GDPR)
Meta (Іспанія)	€479 млн	Маніпуляції з правовою підставою для обробки даних (consent vs. contract necessity)
Vodafone Italia	€12,25 млн	Маркетинг без згоди, ігнорування opt-out запитів від клієнтів
Advanced Computer Software (UK)	£3,1 млн	Відсутність MFA та слабке управління патчами — ransomware-атака на 79 000 осіб

Важлива тенденція: якщо раніше регулятори переважно переслідували Big Tech, то у 2025–2026 роках в зоні активного enforcement опинилися банки, телекомунікаційні компанії, рітейлери, медичні установи та постачальники SaaS. Малий і середній бізнес більше не є «в сліпій зоні» регулятора.

Практика 1. Правова підстава — не формальність

Найчастіша причина штрафів — відсутність або неналежна правова підстава для обробки персональних даних (ст. 6 GDPR). Компанії, які «обирають» підставу постфактум або намагаються її змінити у процесі, як це робила Meta, неминуче потрапляють під удар.

Практичні вимоги на 2026 рік:

• Документуйте підставу до початку обробки. Кожна нова категорія обробки повинна мати задокументовану правову підставу в RoPA (Record of Processing Activities) ще до запуску продукту чи процесу.
• Consent не може зводитися до формальної галочки у формі. Регулятори очікують, що згода буде добровільною, інформованою і наданою для конкретної мети.
• Не змінюйте підставу ретроспективно. Кейс Meta наочно демонструє: спроба задним числом переключитись між consent і contract necessity — пряма дорога до штрафу.

Практика 2. Міжнародні передачі даних: TIA як must-have

Штраф TikTok — це сигнал всьому ринку: передача даних за межі ЄЕЗ без належних гарантій залишається одним із ключових enforcement-пріоритетів. Після Schrems II 2020 року та введення нових SCC у 2021 кожна компанія, що передає дані до третіх країн, зобов’язана мати механізм передачі та оцінку впливу.

Що очікує регулятор від компанії у 2026 році:

• Провести Transfer Impact Assessment (TIA). Для кожної передачі до країни без рішення про адекватність (adequacy decision) — обов’язково. TIA оцінює, чи право країни-отримувача не підриває гарантії SCC.
• Перевірити актуальність SCC. З 2021 року діють оновлені Стандартні договірні застереження (SCC) Єврокомісії. 
• Для США — перевірити сертифікацію за EU-US Data Privacy Framework. Рамкова угода відновила стабільність передач до США, але лише для сертифікованих компаній. 
• EU-UK adequacy до 2031. У грудні 2025 року ЄС поновив рішення про адекватність щодо Великої Британії до грудня 2031 року. Передачі до UK можна здійснювати без додаткових механізмів до цього часу.

Наприклад, SaaS-компанія, яка використовує сторонній CRM або маркетингову платформу, фактично здійснює міжнародну передачу даних. У такому випадку наявність SCC та проведення TIA стає ключовою умовою законності передачі.

Кейс Ірландська DPC встановила, що інженери ByteDance в Китаї мали регулярний доступ до даних користувачів ЄЕЗ, а компанія не провела належну оцінку ризиків, пов’язаних із китайським антитерористичним законодавством та законами про контррозвідку. Ключовий висновок: наявність SCC — це необхідна, але недостатня умова. TIA повинна фактично підтверджувати рівнозначний захист.

Практика 3. Privacy by Design — з першого рядка коду

Стаття 25 GDPR вимагає враховувати захист даних ще на етапі проектування системи (data protection by design and by default). У 2026 році це вимога набуває особливої ваги у контексті AI Act, де для high-risk AI-систем у ряді випадків потребуватиме DPIA або аналогічної оцінки ризиків з серпня 2026 року. 

Принципи privacy by design на практиці:

• Мінімізація даних (data minimization). Збирайте лише ті дані, які справді необхідні для досягнення конкретної мети. Правило просте: якщо не можете пояснити, навіщо вам ця точка даних — не збирайте її.
• Псевдонімізація та анонімізація. Там, де ідентифікація особи не є обов’язковою для цілей обробки, використовуйте псевдонімізацію. Анонімізовані дані вже не є персональними в розумінні GDPR, що суттєво знижує регуляторний ризик.
• Default — мінімальні налаштування конфіденційності. За замовчуванням система повинна обробляти мінімум даних. Розширений збір даних можливий тільки якщо користувач свідомо його активував.
• DPIA для high-risk обробки. Data Protection Impact Assessment є обов’язковою перед запуском обробки, яка з великою ймовірністю створює високий ризик для прав осіб. 

Практика 4. Управління згодою: реальне, а не декларативне

Cookie-банери та форми згоди залишаються одними з найактивніших зон enforcement. Французька CNIL у 2025 році провела масовий аудит топ-1000 сайтів і видала попередження та штрафи за асиметричний дизайн кнопок — коли «Прийняти все» візуально домінує над «Відхилити».

Що вимагає регулятор у 2026 році:

• Рівна доступність «так» і «ні». Кнопки прийняття і відхилення cookies повинні бути візуально однаково помітними. Дизайн не може «підштовхувати» до згоди.
• Granular consent. Окремі чекбокси для аналітики, маркетингу, функціональних cookies. Один «Прийняти все» без можливості гранульованого вибору — порушення.
• Consent logs. Зберігайте докази згоди: дату, версію тексту форми, версію Privacy Policy. У разі перевірки регулятор запросить саме це.
• Withdrawal mechanism. Відкликання згоди має бути таким само простим, як її надання. Якщо opt-out вимагає дзвінка на гарячу лінію — це порушення ст. 7(3) GDPR.

Практика 5. Безпека даних: від галочки до реального захисту

Зростання кількості повідомлень про витоки даних у 2025 році — прямий наслідок зростання кількості кіберінцидентів на тлі геополітичної нестабільності. Штраф £3,1 млн на Advanced Computer Software Group нагадав: безпека даних — це юридичний обов’язок контролера.

Технічні та організаційні заходи (TOMs), яких очікує регулятор:

• Multi-factor authentication (MFA) — відсутність MFA на системах з доступом до персональних даних стала прямою підставою для штрафу в кейсі Advanced. Це вже не «рекомендація», а базова вимога.
• Patch management та vulnerability scanning. Своєчасне закриття вразливостей — обов’язковий елемент compliance. Застарілі системи без оновлень = підвищений ризик порушення ст. 32 GDPR.
• Шифрування персональних даних — як у стані спокою (at rest), так і при передачі (in transit). 
• Retention schedule. Автоматизоване видалення персональних даних після закінчення строку зберігання знижує не лише регуляторний ризик, але й «поверхню атаки» для потенційних зловмисників.
• Договори з процесорами (DPA). Контролер несе відповідальність за дії процесора. Кейс Vodafone (та численні інші) показують: відсутність належного DPA або неперевірка практик процесора не звільняє від відповідальності.

Практика 6. AI та GDPR: нові обов’язки у 2026 році

З серпня 2026 року набирають повної чинності ключові положення EU AI Act щодо high-risk AI-систем. Якщо ваша компанія використовує або розробляє AI для рекрутингу, кредитного скорингу, медичної діагностики або доступу до критичної інфраструктури — готуватися потрібно вже зараз. GDPR і AI Act діють одночасно і створюють подвійний рівень вимог.

Ключові точки перетину GDPR та AI Act:

• DPIA для high-risk AI-систем — обов’язкова. Це вимога одночасно ст. 35 GDPR та AI Act. Оцінка ризиків повинна відображати правові ризики для фундаментальних прав осіб.
• Прозорість алгоритмічних рішень (ст. 22 GDPR). Особа має право не підлягати рішенню, прийнятому виключно на підставі автоматизованої обробки, якщо воно має юридичний або суттєвий вплив на неї. Винятком є наявність явної згоди або договірна необхідність, але й тоді особа має право на людський перегляд. Більше про алгоритми та рішення в контексті privacy ми писали тут. 
• Мінімізація даних у навчанні моделей. Тренувальні датасети мають уникати зайвих або застарілих персональних даних. 
• Верифікація правомірності тренувальних даних. Якщо ваша компанія використовує third-party LLM або модель, навчену на зовнішніх даних, — контролер зобов’язаний верифікувати, що дані для навчання були зібрані на законних підставах.

Що перевірятиме регулятор у 2026 році На підставі останніх рішень DPC, CNIL, Garante та APD можна сформулювати типовий перелік документів та питань, з яких починається перевірка: – Яка правова підстава для кожної категорії обробки? Покажіть RoPA.\ – Чи проводився LIA або DPIA? Надайте документацію. – Де і коли зібрана ця згода? Яка версія форми діяла в той момент? – Як відбувається передача даних за межі ЄЕЗ? Є TIA? – Які строки зберігання? Як вони реалізовані технічно? – Як обробляються запити на реалізацію прав (DSARs)? Середній строк відповіді? – Які договори укладені з процесорами?

Висновок

GDPR compliance більше не обмежується підготовкою політик або формальною перевіркою документів. Для більшості компаній це вже операційна система управління даними, яка має бути інтегрована у продукт, внутрішні процеси та роботу команд.           Сукупна сума штрафів у €7,1 млрд показує, що регулятори вже не обмежуються рекомендаціями. У багатьох юрисдикціях enforcement став значно активнішим, і перевірки дедалі частіше стосуються не лише Big Tech, а й середнього бізнесу.

Для бізнесу це означає просту річ: privacy-процеси більше не можуть бути формальністю. Компанії, які документують правові підстави, контролюють передачі даних і реально інвестують у безпеку, значно рідше стикаються з претензіями регуляторів. В епоху, коли 86% споживачів вважають конфіденційність даних зростаючим пріоритетом, довіра до бізнесу стає вимірюваним активом.

Якщо вашій компанії потрібна допомога з GDPR-аудитом, побудовою RoPA, розробкою DPIA або підготовкою до перевірки регулятора, команда Legal IT Group готова допомогти.