GDPR комплаенс для бизнеса

GDPR-подготовка для работы с ЕС: карта данных, privacy-документы, договоры с подрядчиками, трансферы данных и процессы для прохождения проверок клиентов.

GDPR — это не «о бумажках», а о доверии, скорости сделок и готовности бизнеса к требованиям клиентов. Когда в privacy или безопасности данных есть пробелы, контракт могут остановить, усложнить дополнительными требованиями или пересмотреть его условия.

Мы помогаем превратить GDPR из потенциального препятствия для сделок в понятную систему, усиливающую доверие к бизнесу. Вы получаете документы и процессы, которые помогают быстрее проходить проверки партнеров, отвечать на GDPR questionnaires, увереннее работать с подрядчиками и снижать риск задержек, дополнительных требований или пересмотра условий контракта.

Сопровождаем технологические и международные бизнесы, для которых персональные данные являются частью продукта, продаж или операционной модели. На консультации выявим критические пробелы и сформируем приоритетный план действий — от базовых документов до подготовки к due diligence, требованиям банков, PSP или инвесторов.

Винник Даниил Сергеевич
Номера телефонов:
+38 (073) 007-44-41

Пакеты GDPR Compliance

Быстрая логика пакетов

Пакет Цена Срок Кому подходит Ключевой результат
GDPR Start от 900 EUR 7-10 р.д. малый бизнес, лендинги, MVP, простые e-commerce проекты минимальный комплект документов и базовая карта рисков
GDPR Business от 2 500 EUR 15-20 р.д. SaaS, e-commerce, маркетплейсы, IT-компании, агентства рабочий GDPR-пакет для партнеров, инвесторов, банков и PSP
GDPR Pro / Investor Ready от 5 000 EUR 25-35 р.д. FinTech, HealthTech, EdTech, AI/ML, HR-tech, проекты с due diligence полноценная GDPR-система с risk matrix и roadmap

Пакет 1 — GDPR Start

Цена: от 900 EUR | Срок: 7–10 рабочих дней

Для кого: малый бизнес, сайты, лендинги, простые e-commerce-проекты, MVP, сервисы без сложной обработки персональных данных и без значительного объема пользователей из ЕС.

Подробнее о пакете

 

Блок Что делаем Результат для клиента
Первичный чеклист Проверка бизнес-модели, сайта или продукта и базовых точек сбора данных. Понимание минимального уровня GDPR-риска.
Privacy Policy Подготовка базовой политики конфиденциальности под сайт или продукт. Документ для публикации на сайте или в приложении.
Cookie Policy Базовая политика cookies и tracking technologies. Понятное описание использования cookies.
Cookie banner Рекомендации по структуре cookie banner без технической настройки. Понимание, как баннер должен выглядеть юридически.
DPA template Шаблон Data Processing Agreement для подрядчиков и процессоров. Базовый договорной инструмент.
Consultation Одна консультация до 60 минут. Разбор вопросов клиента и следующих шагов.

Результат: клиент получает минимальный комплект документов и понимание базовых рисков. Пакет подходит для быстрого старта, но не закрывает сложные процессы обработки данных.

Не входит: глубокий аудит процессов, DPIA, TIA, трансграничные передачи, переговоры с контрагентами, техническая настройка cookie banner.

Пакет 2 — GDPR Business

Цена: от 2 500 EUR | Срок: 15–20 рабочих дней

Для кого: SaaS, e-commerce, маркетплейсы, IT-компании, агентства, компании с клиентами или пользователями из ЕС, которым нужен не только набор документов, а понятная compliance-структура.

Подробнее о пакете

 

Блок Что делаем Результат для клиента
GDPR-аудит Анализ бизнес-модели, потоков данных и основных точек риска. Рабочая картина того, где и зачем обрабатываются данные.
Roles mapping Определение ролей controller / processor / joint controller. Понимание договорной и regulatory ответственности.
Data map Карта обработки персональных данных. Основа для внутренних процессов и переговоров с контрагентами.
RoPA Record of Processing Activities. Базовый реестр операций обработки.
Core documents Privacy Policy, Cookie Policy, Data Processing Agreement. Основной комплект внешних документов.
Vendor clauses Базовые договорные положения для подрядчиков и процессоров. Защита в договорах с поставщиками.
DSAR procedure Процедура обработки запросов субъектов данных. Порядок ответа на access / deletion / portability / objection requests.
Data breach procedure Процедура реагирования на инциденты. Алгоритм действий при утечке или нарушении безопасности.
Retention matrix Матрица сроков хранения данных. Контроль хранения и удаления данных.
Risk memo Краткий меморандум по ключевым юридическим рисками. Понятная карта рисков для менеджмента.
Workshop Один внутренний звонок или воркшоп до 90 минут. Передача логики команде клиента.

Результат: клиент получает рабочий GDPR-пакет, который можно показывать партнерам, инвесторам, банкам, платежным провайдерам и крупным контрагентам.

Не входит: DPIA, TIA, EU representative, DPO-as-a-Service, локальное заключение юриста конкретной страны ЕС.

Пакет 3 — GDPR Pro / Investor Ready

Цена: от 5 000 EUR | Срок: 25–35 рабочих дней

Для кого: компании с активными продажами в ЕС, FinTech, HealthTech, EdTech, AI/ML, HR-tech, маркетплейсы, сервисы с большим объемом пользовательских данных или подготовкой к due diligence.

Подробнее о пакете

 

Блок Что делаем Результат для клиента
Extended audit Расширенный GDPR-аудит и интервью с ключевыми членами команды. Реальная картина процессов, а не «политики ради политик».
Data flows Полная карта потоков данных и ключевых систем. Понимание маршрута данных внутри и вне компании.
RoPA Record of Processing Activities. Формализованный реестр операций обработки.
Core documents Privacy Policy, Cookie Policy, Data Processing Agreement. Внешний compliance-комплект.
Vendor DPA Vendor Data Protection Addendum. Контроль подрядчиков и процессоров.
Transfers Шаблон SCC или transfer clauses при необходимости. База для non-EEA передач данных.
DPIA screening Оценка необходимости DPIA. Понимание high-risk processing.
DPIA Один DPIA для одного ключевого процесса. Документированная оценка риска касательно критического процесса.
Policies Data breach procedure, DSAR procedure, retention policy, internal data protection policy. Внутренний порядок работы с данными.
Employees Employee privacy notice. Документ для персонала и contractors.
Security checklist Basic technical and organisational measures checklist. Базовая связка legal + security.
Risk matrix GDPR risk matrix. Приоритетизация рисков.
Roadmap Compliance roadmap на 3–6 месяцев. Пошаговый план внедрения.
Workshops Две консультации или воркшопа для команды. Передача модели клиенту.

Результат: клиент получает не просто документы, а полноценную GDPR-систему, пригодную для due diligence, работы с крупными партнерами, инвесторами и международными контрагентами.

Не входит: официальное назначение DPO, постоянное сопровождение, локальные регистрации или коммуникация с supervisory authority, техническая имплементация IT-решений.

Сравнение GDPR-пакетов

Что входит GDPR Start GDPR Business GDPR Pro / Investor Ready
Стоимость от 900 € от 2 500 € от 5 000 €
Ориентировочный срок 7–10 рабочих дней 15–20 рабочих дней 25–35 рабочих дней
Кому подходит Лендинги, MVP, небольшие сайты, простые e-commerce-проекты. SaaS, e-commerce, маркетплейсы, IT-компании, агентства. FinTech, HealthTech, EdTech, AI/ML, HR-tech, проекты с due diligence.
Оценка бизнес-модели и рисков Базовый чеклист GDPR-аудит Расширенный аудит и интервью с командой
Карта данных / потоков данных Полная карта потоков данных
Privacy Policy и Cookie Policy
Cookie banner Юридические рекомендации Юридические рекомендации Юридические рекомендации
DPA и документы для подрядчиков DPA-шаблон DPA + vendor clauses DPA + Vendor DPA
RoPA — реестр обработки данных
DSAR-процедура
Процедура реагирования на data breach
Политика / матрица сроков хранения
Международные трансферы данных SCC / transfer clauses при необходимости
DPIA DPIA screening + 1 DPIA
Внутренние политики и документы для персонала Базовые процедуры Internal policy + Employee Privacy Notice
Risk memo / risk matrix / roadmap Базовые рекомендации Risk memo Risk matrix + roadmap на 3–6 месяцев
Консультации / воркшопы 1 консультация до 60 мин. 1 воркшоп до 90 мин. 2 консультации / воркшопа

Цены на дополнительные услуги

Нужно подготовить бизнес к GDPR?

Проверим, каких документов и процессов не хватает, и поможем подготовиться к запросу клиента, GDPR questionnaire, DPA или проверке партнера — без хаотичного создания политик под дедлайн.
Обсудить запрос с юристом
Специализируется на GDPR, защите персональных данных и юридическом сопровождении технологических и международных проектов. Помогает бизнесу подготовить privacy-документы, DPA, процессы работы с подрядчиками, международные трансферы данных и материалы для due diligence

Когда GDPR может применяться, даже если Вы не в ЕС

GDPR может распространяться на бизнес за пределами ЕС, если он предлагает товары или услуги людям, находящимся в ЕС, или отслеживает их поведение. Важна не только страна регистрации компании, но и фактическая модель работы с европейской аудиторией.

  • Вы предлагаете товары или услуги в ЕС: например, SaaS, мобильное приложение, e-commerce, подписку или онлайн-сервис.
  • Вы отслеживаете поведение пользователей: через аналитику, профайлинг, cookies, рекламные идентификаторы, SDK или другие tracking-инструменты.

Быстрая самооценка

  • У Вас есть клиенты или пользователи из ЕС?
  • Сайт или приложение имеет цены в евро, доставку в ЕС или локализацию на языках стран ЕС?
  • Вы используете cookies, SDK, аналитику, рекламу или профайлинг?

Если хотя бы на один вопрос ответ «да», это повод провести оценку применимости GDPR. Один индикатор не всегда означает автоматическое действие Регламента, но игнорировать его уже рискованно.

Что чаще всего останавливает сделки и GDPR-проверки

На практике проблемы возникают не из-за отсутствия одного документа, а из-за разрыва между политиками, договорами и реальными процессами бизнеса.

  • Нет карты данных: непонятно, какие данные собираются, зачем, где хранятся и кому передаются.
  • Не определены роли: компания не понимает, когда она controller, processor или joint controller.
  • Отсутствуют DPA или другие договорные условия: с облачными сервисами, CRM, аналитикой, саппортом, платежными провайдерами и другими подрядчиками.
  • Не урегулированы трансферы данных: персональные данные передаются за пределы ЕС/ЕЭЗ без надлежащего механизма или оценки рисков.
  • Нет DSAR-процесса: команда не знает, как реагировать на запросы касательно доступа, удаления, переноса или возражения против обработки данных.
  • Нет сценария инцидентов: отсутствует понятный порядок действий при утечке или нарушении безопасности данных.

Роли: controller, processor и joint controller

Правильно определенная роль — основа для договоров, политик, ответственности и архитектуры GDPR-документов.

Controller: определяет, зачем и каким образом обрабатываются персональные данные.

Processor: обрабатывает данные от имени controller и по его инструкциям.

Joint controllers: две или более сторон совместно определяют цели и ключевые средства обработки данных.

Пример для SaaS

  • Если клиент загружает в Ваш сервис контакты своих пользователей, клиент часто является controller, а SaaS-компания — processor.
  • Если Вы собираете данные пользователей для собственного маркетинга, аналитики или продаж, Вы обычно действуете как controller.

Практический каркас GDPR-подготовки: 10 направлений

  1. Data mapping. Определяем, какие данные обрабатываются, откуда они поступают, где хранятся и кому передаются.
  2. RoPA. При необходимости готовим или обновляем реестр операций обработки: цели, категории данных, сроки хранения, получатели, трансферы и меры безопасности.
  3. Lawful basis. Определяем правовое основание для каждого ключевого процесса: договор, юридическая обязанность, законный интерес, согласие и т. д.
  4. Прозрачность. Готовим Privacy Notice, Cookie Notice и другие документы, объясняющие пользователю, как именно работает обработка данных.
  5. Cookie и tracking management. Проверяем баннер, логику согласия и использование аналитических или рекламных инструментов.
  6. Вендоры и договоры. Готовим DPA, vendor clauses и другие договорные механизмы для работы с подрядчиками и процессорами.
  7. Права субъектов данных. Выстраиваем DSAR-процесс и шаблоны ответов на типичные запросы пользователей.
  8. Безопасность и инциденты. Формируем базовые правила доступа, реагирования на инциденты и внутреннюю логику эскалации.
  9. DPIA. Оцениваем, требует ли конкретный процесс Data Protection Impact Assessment из-за высокого риска для прав и свобод пользователей.
  10. Трансферы данных. Анализируем передачи за пределы ЕС/ЕЭЗ и определяем надлежащий механизм: adequacy decision, SCC, DPF или другие гарантии в зависимости от ситуации.

gdpr compliance

Трансферы данных: SCC, DPF и TIA

Если персональные данные передаются за пределы ЕС/ЕЭЗ, нужно оценить маршрут данных, получателя и юридический механизм передачи.

  • Adequacy decision: для отдельных стран или механизмов, которые Европейская Комиссия признала обеспечивающими надлежащий уровень защиты.
  • EU–US Data Privacy Framework: может применяться к американским компаниям, участвующим в Framework.
  • Standard Contractual Clauses: используются, когда для передачи нет соответствующего adequacy mechanism.
  • Transfer Impact Assessment: помогает оценить риски конкретного трансфера и потребность в дополнительных мерах защиты.

Документы без реального процесса не решают проблему. Если данные фактически передаются через CRM, облако, аналитику или support-сервисы, это должно быть отражено в карте данных, договорах и внутренних процедурах.

Штрафы и коммерческие риски

За отдельные нарушения GDPR могут применяться административные штрафы до 20 млн евро или 4% общего мирового годового оборота за предыдущий финансовый год — в зависимости от того, какая сумма больше.

Для бизнеса практический риск часто возникает раньше: проверка со стороны клиента, банка, PSP, инвестора или крупного контрагента может задержать сделку, увеличить объем юридических запросов или изменить условия сотрудничества.

Как помогает Prikhodko & Partners

Анализируем реальные процессы работы с персональными данными и готовим документы и процедуры, которые можно использовать в работе с клиентами, подрядчиками и при проверках.

  • Аудит и карта данных: источники, системы, вендоры, трансферы и ключевые риски.
  • Роли и договоры: controller / processor, DPA и условия для подрядчиков и субпроцессоров.
  • Политики и внутренние процессы: Privacy Notice, Cookie Notice, retention, DSAR и реагирование на инциденты.
  • Сложные кейсы: SCC / DPF, международные трансферы и DPIA — при необходимости.

GDPR — это как ремень безопасности: кажется лишним ровно до первого резкого торможения. Лучше, чтобы он был Вашим, а не навязанным юристом клиента в момент, когда сделку уже “почти подписали”.

Частые вопросы

Применяется ли GDPR к украинской компании?

GDPR может применяться к бизнесу вне ЕС, если компания предлагает товары или услуги людям в ЕС либо отслеживает их поведение через аналитику, cookies, рекламные инструменты, SDK или профайлинг. Окончательная оценка зависит от реальной модели работы, аудитории и процессов обработки данных.

Какие документы нужны для базовой GDPR-подготовки?

Для сайта, MVP или простого e-commerce-проекта обычно нужны Privacy Policy, Cookie Policy, юридически корректная логика cookie banner, базовый DPA-шаблон для подрядчиков и первичная оценка рисков. Для операционного бизнеса перечень дополняется картой данных, RoPA, DSAR-процедурой, retention policy и планом реагирования на инциденты.

Чем DPA отличается от SCC?

DPA регулирует отношения между компанией и подрядчиком, который обрабатывает персональные данные от ее имени. SCC используются как один из механизмов для передачи персональных данных за пределы ЕС / ЕЭЗ. В отдельных проектах могут понадобиться оба документа.

Когда компании нужны DPIA и TIA?

DPIA может потребоваться для процессов с высоким риском для прав и свобод людей, в частности при работе с чувствительными данными, профайлингом или масштабной обработкой данных. TIA применяется для оценки рисков международной передачи данных, в частности при работе с поставщиками за пределами ЕС / ЕЭЗ.

Можно ли просто использовать готовые GDPR-шаблоны?

Готовые шаблоны могут быть стартовой точкой, но сами по себе не создают GDPR-соответствие. Документы должны соответствовать фактическим процессам компании, составу вендоров, роли бизнеса как controller или processor, способам сбора данных и международным трансферам.

Наши клиенты

Наши награды

Нужна профессиональная консультация юриста по GDPR комплаенсу?

Отправьте заявку, и мы перезвоним Вам:
Или позвоните нам лично:
Отправляя эту форму, Вы соглашаетесь с политикой конфиденциальности и использования данных на этом сайте.