GDPR-чек-лист для SMB — обновление 2026

С момента вступления в силу GDPR (Регламент ЕС 2016/679) в мае 2018 пришло два поколения обновлений — а на 2026 год вступают в силу новые рекомендации EDPB по AI-системам, облачным хранилищам вне ЕС и хранению телеметрии. Штрафы для SMB-компаний за нарушения GDPR в SK выросли в 2023 – 2025 на 320 %. Вот практический чек-лист из 20 пунктов, с которым в 2026 году справится каждая компания без внешнего DPO.

Почему GDPR-соответствие окупается даже для компании из 15 человек

Аргументы типа «нас GDPR не касается, мы маленькая компания» в 2026 году уже не работают. Управление по защите персональных данных SR (UOOU) подтвердило в годовом отчёте за 2024, что 62 % штрафов получили компании до 50 сотрудников. Средний штраф: 8 200 EUR. Самый высокий в SK: 94 000 EUR (интернет-магазин, неправильная обработка запросов субъектов данных).

Кроме штрафов есть ещё один риск: B2B-контракты. Крупные компании сегодня требуют DPA (Data Processing Agreement) и аудиты безопасности от всех поставщиков. Без compliance Вы теряете тендеры.

Совет: GDPR не разовый проект. Это непрерывный процесс. Чек-лист проходите раз в год, идеально в Q1 после налогового закрытия, когда и так пересматриваете процессы.

Чек-лист GDPR из 20 пунктов для SK SMB-компании (2026)

Основы и документация (1 – 5)

1. Имеете ли актуальный реестр операций обработки (ст. 30 GDPR)? Excel-таблица со списком: тип данных, цель, правовое основание, срок хранения, получатели. Обязанность для каждой компании свыше 250 человек — а на практике и для меньших, обрабатывающих чувствительные данные.

2. Имеете ли в каждом договоре правильно информированное согласие или иное правовое основание по ст. 6 GDPR? Маркетинговые рассылки → opt-in согласие. Счета → правомерный интерес + законная обязанность.

3. Имеете ли актуальные информации об обработке персональных данных (privacy notice) на сайте и в рецепциях? Минимум 13 пунктов по ст. 13 GDPR. Конкретно, не «по закону обрабатываем ваши данные».

4. Имеете ли подписанные DPA со всеми обработчиками (облачные провайдеры, бухгалтер, HR-агентство, IT-поставщик)? GDPR ст. 28 — письменный договор обязателен. На 2026 год проверяйте, охватывает ли DPA и AI-субпроцессоров (ChatGPT, Claude и т. д.).

5. Назначили ли ответственное лицо (DPO или внутренний контакт)? DPO обязателен при большом масштабе чувствительных данных (здравоохранение, биометрия, судебные органы). Для SMB обычно достаточно внутреннего контакта — но он должен быть определён и публично доступен.

Технические меры (6 – 12)

6. Размещаются ли ваши данные в ЕС? Серверы вне ЕС = проблема Schrems II. После аннулирования US-EU Data Privacy Framework в 2023 безопасная ставка для SMB — хостинг исключительно в ЕС (идеально DE, FR, PL). Проверьте, где работает ваш ERP, CRM и e-mail. Подробнее о нашем подходе на странице безопасность.

7. Включён ли 2FA для всех администраторских аккаунтов? Пароль «admin123» в 2026 году не достаточен. Де-факто обязательно, если у вас доступ к персональным данным более 1 000 человек.

8. Имеете ли регулярное резервное копирование и проверенный recovery plan? Тест восстановления минимум 2 раза в год. Ransomware-атаки на SK SMB выросли в 2024 на 180 %.

9. Шифруете ли персональные данные в покое (at rest) и при передаче (in transit)? HTTPS везде. AES-256 или эквивалент для баз данных. Для чувствительных категорий (медицинские, финансовые) бонус при аудите.

10. Имеете ли audit log, фиксирующий доступ к персональным данным? «Кто, когда, какую запись видел / изменил». Без этого не пройдёте серьёзный B2B-аудит и реакцию на breach. Modulario этот audit log предоставляет нативно — подробнее на странице безопасность.

11. Имеете ли политики хранения и автоматическое удаление по истечении срока? Закон 18/2018 Z. z. + налоговый закон 595/2003 Z. z.: счета 10 лет, кадровые данные 50 лет (пенсия), маркетинговые согласия до отзыва или 24 месяца.

12. Имеете ли псевдонимизацию или анонимизацию там, где это возможно? Например, веб-аналитика без IP-адресов, внутренний дашборд с hash ID сотрудников.

Процессы (13 – 17)

13. Имеете ли определённый процесс реакции на запросы субъектов данных (доступ, исправление, удаление)? Срок: 1 месяц, продление до 3 при сложных случаях. Кто в компании принимает e-mail, кто проверяет идентичность, кто реализует удаление?

14. Имеете ли план реакции на инцидент безопасности (data breach)? 72 часа на уведомление UOOU. На практике у Вас <24 ч, пока инцидент развернётся. Шаблон + ответственное лицо + коммуникационный план.

15. Имеете ли обученную команду? Минимум годовой тренинг для всех, кто работает с персональными данными. E-learning за 2 часа достаточен для базы.

16. Проверяете ли историю новых поставщиков (vendor due diligence)? Вопросник при SaaS: где хостингуют? Имеют ли ISO 27001 / SOC 2? Какая у них структура суб-процессоров? Готовы ли DPA?

17. Имеете ли DPIA (Data Protection Impact Assessment) для рискованных обработок? Обязательно при систематическом мониторинге, обработке чувствительных категорий в большом объёме, автоматическом принятии решений. В 2026 году и для некоторых AI use-cases (см. AI Act).

Специфика 2026 (18 – 20)

18. Картируете ли AI-системы и модели, обрабатывающие персональные данные? Новые рекомендации EDPB 2025: если AI-модель обрабатывает PD (чат-бот, HR assist, AI scoring), нужны DPIA + прозрачность.

19. Имеете ли чёткие правила использования генеративного AI (ChatGPT, Claude, Copilot)? Сотрудники регулярно копируют клиентские данные в публичные AI-инструменты. Policy + whitelist + enterprise-аккаунты решают проблему.

20. Имеете ли подготовленный процесс для аудита GDPR (внутренний или внешний)? Ежегодно проходите чек-лист, каждые 2 года внешний аудит. Протокол пригодится при тендерах.

Самые частые штрафы в SK за 2023 – 2025

НарушениеСредний штрафЧастота
Отсутствующее/неправильное согласие на маркетинг3 200 EURСамая высокая
Неотвеченный запрос субъекта данных5 800 EURВысокая
Отсутствующий DPA с обработчиком4 500 EURВысокая
Data breach без уведомления12 000 EURСредняя
Неподходящие технические меры8 400 EURСредняя

Совет: Самая дешёвая и эффективная инвестиция в GDPR в 2026 — иметь ERP/CRM-систему с нативным audit log, EU hosting и подписанным DPA. Это автоматически покрывает 10 из 20 пунктов чек-листа.

Заключение

GDPR-соответствие — не пугало, это дисциплина. Чек-лист из 20 пунктов выше средняя SK SMB-компания пройдёт за 2 – 4 дня работы. Штрафы начинаются от тысяч EUR, и регулятор в 2026 активнее, чем когда-либо. Прибавьте давление B2B-клиентов на DPA и сертификаты безопасности — и получите полный business case.

Нужна ERP/CRM-система, решающая GDPR нативно — EU hosting, audit log, автоматические политики хранения? Ознакомьтесь с деталями наших мер безопасности или свяжитесь через бесплатную консультацию. Подготовим вам GDPR-ready среду за 2 недели.