GDPR-подготовка для работы с ЕС: карта данных, privacy-документы, договоры с подрядчиками, трансферы данных и процессы для прохождения проверок клиентов.
GDPR — это не «о бумажках», а о доверии, скорости сделок и готовности бизнеса к требованиям клиентов. Когда в privacy или безопасности данных есть пробелы, контракт могут остановить, усложнить дополнительными требованиями или пересмотреть его условия.
Мы помогаем превратить GDPR из потенциального препятствия для сделок в понятную систему, усиливающую доверие к бизнесу. Вы получаете документы и процессы, которые помогают быстрее проходить проверки партнеров, отвечать на GDPR questionnaires, увереннее работать с подрядчиками и снижать риск задержек, дополнительных требований или пересмотра условий контракта.
Сопровождаем технологические и международные бизнесы, для которых персональные данные являются частью продукта, продаж или операционной модели. На консультации выявим критические пробелы и сформируем приоритетный план действий — от базовых документов до подготовки к due diligence, требованиям банков, PSP или инвесторов.
Включает первичную оценку рисков, Privacy Policy, Cookie Policy, рекомендации по cookie banner, DPA-шаблон и консультацию юриста. Базовый комплект для запуска сайта, MVP или простого e-commerce-проекта.
Включает GDPR-аудит, карту данных и RoPA, Privacy Policy, Cookie Policy, DPA и vendor clauses. Также — процедуры DSAR и реагирования на инциденты, retention matrix, risk memo и воркшоп для команды.
Включает расширенный аудит и полную карту потоков данных, внутренние политики и документы для команды. SCC при необходимости, DPIA screening и один DPIA, risk matrix, roadmap на 3–6 месяцев и два воркшопа.
рабочий GDPR-пакет для партнеров, инвесторов, банков и PSP
GDPR Pro / Investor Ready
от 5 000 EUR
25-35 р.д.
FinTech, HealthTech, EdTech, AI/ML, HR-tech, проекты с due diligence
полноценная GDPR-система с risk matrix и roadmap
Пакет 1 — GDPR Start
Цена: от 900 EUR | Срок: 7–10 рабочих дней
Для кого: малый бизнес, сайты, лендинги, простые e-commerce-проекты, MVP, сервисы без сложной обработки персональных данных и без значительного объема пользователей из ЕС.
Подробнее о пакете
Блок
Что делаем
Результат для клиента
Первичный чеклист
Проверка бизнес-модели, сайта или продукта и базовых точек сбора данных.
Понимание минимального уровня GDPR-риска.
Privacy Policy
Подготовка базовой политики конфиденциальности под сайт или продукт.
Документ для публикации на сайте или в приложении.
Cookie Policy
Базовая политика cookies и tracking technologies.
Понятное описание использования cookies.
Cookie banner
Рекомендации по структуре cookie banner без технической настройки.
Понимание, как баннер должен выглядеть юридически.
DPA template
Шаблон Data Processing Agreement для подрядчиков и процессоров.
Базовый договорной инструмент.
Consultation
Одна консультация до 60 минут.
Разбор вопросов клиента и следующих шагов.
Результат: клиент получает минимальный комплект документов и понимание базовых рисков. Пакет подходит для быстрого старта, но не закрывает сложные процессы обработки данных.
Не входит: глубокий аудит процессов, DPIA, TIA, трансграничные передачи, переговоры с контрагентами, техническая настройка cookie banner.
Пакет 2 — GDPR Business
Цена: от 2 500 EUR | Срок: 15–20 рабочих дней
Для кого: SaaS, e-commerce, маркетплейсы, IT-компании, агентства, компании с клиентами или пользователями из ЕС, которым нужен не только набор документов, а понятная compliance-структура.
Подробнее о пакете
Блок
Что делаем
Результат для клиента
GDPR-аудит
Анализ бизнес-модели, потоков данных и основных точек риска.
Рабочая картина того, где и зачем обрабатываются данные.
Roles mapping
Определение ролей controller / processor / joint controller.
Понимание договорной и regulatory ответственности.
Data map
Карта обработки персональных данных.
Основа для внутренних процессов и переговоров с контрагентами.
RoPA
Record of Processing Activities.
Базовый реестр операций обработки.
Core documents
Privacy Policy, Cookie Policy, Data Processing Agreement.
Основной комплект внешних документов.
Vendor clauses
Базовые договорные положения для подрядчиков и процессоров.
Защита в договорах с поставщиками.
DSAR procedure
Процедура обработки запросов субъектов данных.
Порядок ответа на access / deletion / portability / objection requests.
Data breach procedure
Процедура реагирования на инциденты.
Алгоритм действий при утечке или нарушении безопасности.
Retention matrix
Матрица сроков хранения данных.
Контроль хранения и удаления данных.
Risk memo
Краткий меморандум по ключевым юридическим рисками.
Понятная карта рисков для менеджмента.
Workshop
Один внутренний звонок или воркшоп до 90 минут.
Передача логики команде клиента.
Результат: клиент получает рабочий GDPR-пакет, который можно показывать партнерам, инвесторам, банкам, платежным провайдерам и крупным контрагентам.
Не входит: DPIA, TIA, EU representative, DPO-as-a-Service, локальное заключение юриста конкретной страны ЕС.
Пакет 3 — GDPR Pro / Investor Ready
Цена: от 5 000 EUR | Срок: 25–35 рабочих дней
Для кого: компании с активными продажами в ЕС, FinTech, HealthTech, EdTech, AI/ML, HR-tech, маркетплейсы, сервисы с большим объемом пользовательских данных или подготовкой к due diligence.
Подробнее о пакете
Блок
Что делаем
Результат для клиента
Extended audit
Расширенный GDPR-аудит и интервью с ключевыми членами команды.
Реальная картина процессов, а не «политики ради политик».
Data flows
Полная карта потоков данных и ключевых систем.
Понимание маршрута данных внутри и вне компании.
RoPA
Record of Processing Activities.
Формализованный реестр операций обработки.
Core documents
Privacy Policy, Cookie Policy, Data Processing Agreement.
Внешний compliance-комплект.
Vendor DPA
Vendor Data Protection Addendum.
Контроль подрядчиков и процессоров.
Transfers
Шаблон SCC или transfer clauses при необходимости.
Data breach procedure, DSAR procedure, retention policy, internal data protection policy.
Внутренний порядок работы с данными.
Employees
Employee privacy notice.
Документ для персонала и contractors.
Security checklist
Basic technical and organisational measures checklist.
Базовая связка legal + security.
Risk matrix
GDPR risk matrix.
Приоритетизация рисков.
Roadmap
Compliance roadmap на 3–6 месяцев.
Пошаговый план внедрения.
Workshops
Две консультации или воркшопа для команды.
Передача модели клиенту.
Результат: клиент получает не просто документы, а полноценную GDPR-систему, пригодную для due diligence, работы с крупными партнерами, инвесторами и международными контрагентами.
Не входит: официальное назначение DPO, постоянное сопровождение, локальные регистрации или коммуникация с supervisory authority, техническая имплементация IT-решений.
Сравнение GDPR-пакетов
Что входит
GDPR Start
GDPR Business
GDPR Pro / Investor Ready
Стоимость
от 900 €
от 2 500 €
от 5 000 €
Ориентировочный срок
7–10 рабочих дней
15–20 рабочих дней
25–35 рабочих дней
Кому подходит
Лендинги, MVP, небольшие сайты, простые e-commerce-проекты.
Проверим, каких документов и процессов не хватает, и поможем подготовиться к запросу клиента, GDPR questionnaire, DPA или проверке партнера — без хаотичного создания политик под дедлайн.
Специализируется на GDPR, защите персональных данных и юридическом сопровождении технологических и международных проектов. Помогает бизнесу подготовить privacy-документы, DPA, процессы работы с подрядчиками, международные трансферы данных и материалы для due diligence
Когда GDPR может применяться, даже если Вы не в ЕС
GDPR может распространяться на бизнес за пределами ЕС, если он предлагает товары или услуги людям, находящимся в ЕС, или отслеживает их поведение. Важна не только страна регистрации компании, но и фактическая модель работы с европейской аудиторией.
Вы предлагаете товары или услуги в ЕС: например, SaaS, мобильное приложение, e-commerce, подписку или онлайн-сервис.
Вы отслеживаете поведение пользователей: через аналитику, профайлинг, cookies, рекламные идентификаторы, SDK или другие tracking-инструменты.
Быстрая самооценка
У Вас есть клиенты или пользователи из ЕС?
Сайт или приложение имеет цены в евро, доставку в ЕС или локализацию на языках стран ЕС?
Вы используете cookies, SDK, аналитику, рекламу или профайлинг?
Если хотя бы на один вопрос ответ «да», это повод провести оценку применимости GDPR. Один индикатор не всегда означает автоматическое действие Регламента, но игнорировать его уже рискованно.
Что чаще всего останавливает сделки и GDPR-проверки
На практике проблемы возникают не из-за отсутствия одного документа, а из-за разрыва между политиками, договорами и реальными процессами бизнеса.
Нет карты данных: непонятно, какие данные собираются, зачем, где хранятся и кому передаются.
Не определены роли: компания не понимает, когда она controller, processor или joint controller.
Отсутствуют DPA или другие договорные условия: с облачными сервисами, CRM, аналитикой, саппортом, платежными провайдерами и другими подрядчиками.
Не урегулированы трансферы данных: персональные данные передаются за пределы ЕС/ЕЭЗ без надлежащего механизма или оценки рисков.
Нет DSAR-процесса: команда не знает, как реагировать на запросы касательно доступа, удаления, переноса или возражения против обработки данных.
Нет сценария инцидентов: отсутствует понятный порядок действий при утечке или нарушении безопасности данных.
Роли: controller, processor и joint controller
Правильно определенная роль — основа для договоров, политик, ответственности и архитектуры GDPR-документов.
Controller: определяет, зачем и каким образом обрабатываются персональные данные.
Processor: обрабатывает данные от имени controller и по его инструкциям.
Joint controllers: две или более сторон совместно определяют цели и ключевые средства обработки данных.
Пример для SaaS
Если клиент загружает в Ваш сервис контакты своих пользователей, клиент часто является controller, а SaaS-компания — processor.
Если Вы собираете данные пользователей для собственного маркетинга, аналитики или продаж, Вы обычно действуете как controller.
Data mapping. Определяем, какие данные обрабатываются, откуда они поступают, где хранятся и кому передаются.
RoPA. При необходимости готовим или обновляем реестр операций обработки: цели, категории данных, сроки хранения, получатели, трансферы и меры безопасности.
Lawful basis. Определяем правовое основание для каждого ключевого процесса: договор, юридическая обязанность, законный интерес, согласие и т. д.
Прозрачность. Готовим Privacy Notice, Cookie Notice и другие документы, объясняющие пользователю, как именно работает обработка данных.
Cookie и tracking management. Проверяем баннер, логику согласия и использование аналитических или рекламных инструментов.
Вендоры и договоры. Готовим DPA, vendor clauses и другие договорные механизмы для работы с подрядчиками и процессорами.
Права субъектов данных. Выстраиваем DSAR-процесс и шаблоны ответов на типичные запросы пользователей.
Безопасность и инциденты. Формируем базовые правила доступа, реагирования на инциденты и внутреннюю логику эскалации.
DPIA. Оцениваем, требует ли конкретный процесс Data Protection Impact Assessment из-за высокого риска для прав и свобод пользователей.
Трансферы данных. Анализируем передачи за пределы ЕС/ЕЭЗ и определяем надлежащий механизм: adequacy decision, SCC, DPF или другие гарантии в зависимости от ситуации.
Трансферы данных: SCC, DPF и TIA
Если персональные данные передаются за пределы ЕС/ЕЭЗ, нужно оценить маршрут данных, получателя и юридический механизм передачи.
Adequacy decision: для отдельных стран или механизмов, которые Европейская Комиссия признала обеспечивающими надлежащий уровень защиты.
EU–US Data Privacy Framework: может применяться к американским компаниям, участвующим в Framework.
Standard Contractual Clauses: используются, когда для передачи нет соответствующего adequacy mechanism.
Transfer Impact Assessment: помогает оценить риски конкретного трансфера и потребность в дополнительных мерах защиты.
Документы без реального процесса не решают проблему. Если данные фактически передаются через CRM, облако, аналитику или support-сервисы, это должно быть отражено в карте данных, договорах и внутренних процедурах.
Штрафы и коммерческие риски
За отдельные нарушения GDPR могут применяться административные штрафы до 20 млн евро или 4% общего мирового годового оборота за предыдущий финансовый год — в зависимости от того, какая сумма больше.
Для бизнеса практический риск часто возникает раньше: проверка со стороны клиента, банка, PSP, инвестора или крупного контрагента может задержать сделку, увеличить объем юридических запросов или изменить условия сотрудничества.
Как помогает Prikhodko & Partners
Анализируем реальные процессы работы с персональными данными и готовим документы и процедуры, которые можно использовать в работе с клиентами, подрядчиками и при проверках.
Аудит и карта данных: источники, системы, вендоры, трансферы и ключевые риски.
Роли и договоры: controller / processor, DPA и условия для подрядчиков и субпроцессоров.
Политики и внутренние процессы: Privacy Notice, Cookie Notice, retention, DSAR и реагирование на инциденты.
Сложные кейсы: SCC / DPF, международные трансферы и DPIA — при необходимости.
GDPR — это как ремень безопасности: кажется лишним ровно до первого резкого торможения. Лучше, чтобы он был Вашим, а не навязанным юристом клиента в момент, когда сделку уже “почти подписали”.
Частые вопросы
Применяется ли GDPR к украинской компании?
GDPR может применяться к бизнесу вне ЕС, если компания предлагает товары или услуги людям в ЕС либо отслеживает их поведение через аналитику, cookies, рекламные инструменты, SDK или профайлинг. Окончательная оценка зависит от реальной модели работы, аудитории и процессов обработки данных.
Какие документы нужны для базовой GDPR-подготовки?
Для сайта, MVP или простого e-commerce-проекта обычно нужны Privacy Policy, Cookie Policy, юридически корректная логика cookie banner, базовый DPA-шаблон для подрядчиков и первичная оценка рисков. Для операционного бизнеса перечень дополняется картой данных, RoPA, DSAR-процедурой, retention policy и планом реагирования на инциденты.
Чем DPA отличается от SCC?
DPA регулирует отношения между компанией и подрядчиком, который обрабатывает персональные данные от ее имени. SCC используются как один из механизмов для передачи персональных данных за пределы ЕС / ЕЭЗ. В отдельных проектах могут понадобиться оба документа.
Когда компании нужны DPIA и TIA?
DPIA может потребоваться для процессов с высоким риском для прав и свобод людей, в частности при работе с чувствительными данными, профайлингом или масштабной обработкой данных. TIA применяется для оценки рисков международной передачи данных, в частности при работе с поставщиками за пределами ЕС / ЕЭЗ.
Можно ли просто использовать готовые GDPR-шаблоны?
Готовые шаблоны могут быть стартовой точкой, но сами по себе не создают GDPR-соответствие. Документы должны соответствовать фактическим процессам компании, составу вендоров, роли бизнеса как controller или processor, способам сбора данных и международным трансферам.
Мы работаем Понедельник – Пятница с 9:30 до 18:00. Если Вы оставили заявку после 18:00 в будние дни – мы свяжемся с Вами на следующий рабочий день начиная с 9:30.