Перейти к содержимому
>_ITDITDПлатформа веб-безопасности

Глоссарий

Что такое GDPR — правила защиты данных ЕС и обязанность уведомлять об утечке

GDPR (Общий регламент ЕС по защите данных) защищает персональные данные людей в ЕС. На кого распространяется, что требует — минимизация данных, согласие, уведомление об утечке — и защитная основа: собирайте и храните только нужное.

Опубликовано 2026-07-04 Обновлено 2026-07-04 2 мин чтения

GDPR — закон о персональных данных, о котором нужно знать, если вы обслуживаете пользователей из ЕС. Вот его суть и защитные основы в технических/операционных терминах — без шагов атаки.

Что он требует

Помимо юридических деталей, сосредоточьтесь на операционных опорах, которые действительно работают как защита.

1

Не собирайте и не храните (минимизация данных)

Собирайте и храните только минимум персональных данных, нужных для вашей цели. Данные, которых у вас нет, не утекут — самая сильная защита. Удаляйте их, когда они больше не нужны.

2

Защищайте (шифрование, контроль доступа)

Шифруйте персональные данные и сужайте круг до «только тех, кому можно касаться» через авторизацию. Держите секреты за пределами публичной поверхности (→ не держите секреты в публичных каталогах).

3

Обнаруживайте и сообщайте (правило 72 часов)

Быстро обнаруживайте утечку и держите журналы для отслеживания её последствий. Будьте готовы уведомить надзорный орган в течение ~72 часов. Без обнаружения вы не выполните эту обязанность.

«Нас это не касается» — небезопасное допущение

GDPR может применяться независимо от местонахождения бизнеса, если он предлагает товары/услуги людям в ЕС или отслеживает их поведение. Если вы обслуживаете пользователей из ЕС или обрабатываете их персональные данные, «мы не компания из ЕС» не делает это неактуальным. Практичное начало — инвентаризация того, какие персональные данные вы храните и зачем.

Взгляд этого сайта: соответствие и защита указывают в одну сторону

Требования GDPR указывают в ту же сторону, что и защита, о которой говорит этот сайт: минимизируйте персональные данные, шифруйте их, сужайте круг через авторизацию и умейте обнаружить и зафиксировать утечку. Это нужно не только для закона — это базовый способ иметь меньше инцидентов. Относиться к регулированию как к «повторной проверке своей защиты», а не как к «лишней нагрузке», — реалистичная позиция для небольшого проекта.

Читать дальше

Источник

FAQ

QРаспространяется ли GDPR на бизнес за пределами ЕС?
A

Может распространяться. GDPR может применяться независимо от местонахождения бизнеса, если он предлагает товары или услуги людям в ЕС или отслеживает их поведение. Если вы обслуживаете пользователей из ЕС или обрабатываете их персональные данные, вы можете попадать в область применения — «мы не компания из ЕС» автоматически не означает «нас это не касается».

QВ чём технические основы GDPR?
A

В общих чертах: (1) получите законное основание (например, согласие) и укажите чёткую цель; (2) собирайте и храните только минимально необходимые данные (минимизация данных); (3) защищайте персональные данные шифрованием и контролем доступа; (4) умейте выполнять запросы на доступ/удаление; (5) умейте быстро обнаружить утечку и уведомить надзорный орган, как правило, в течение 72 часов.

QЧто делать при утечке?
A

По GDPR вы, как правило, обязаны уведомить надзорный орган в течение 72 часов с момента, как узнали об утечке персональных данных (иногда и затронутых людей). Именно поэтому нужно уметь быстро обнаружить инцидент и иметь журналы, чтобы отследить его масштаб. Без обнаружения и записей вы не сможете выполнить даже обязанность по уведомлению.