GDPR для сайта в 2026: что бизнесу в ЕС нужно по закону, чтобы не словить штраф

Представьте, что вам на почту приходит письмо от регулятора с темой «жалоба пользователя». Не из-за утечки данных, не из-за взлома — у вас просто не работает кнопка «Отклонить» в баннере cookie. Пользователь нажал её, аналитика всё равно загрузилась, он сделал скриншот и отправил жалобу. Теперь у вас тридцать дней, чтобы объясниться. Это не выдуманный сценарий запугивания — именно за такие мелочи в Европе сейчас и прилетают предписания, потому что доказать их проще всего: открыл сайт, нажал кнопку, проверил в инструментах разработчика, грузится ли трекер.

GDPR для сайта почти все понимают неправильно — и в обе стороны. Одни вешают баннер «Мы используем cookie. ОК» и считают, что закрыли вопрос, хотя такой баннер сам по себе является нарушением. Другие в панике отключают всю аналитику и работают вслепую, теряя данные, которые им разрешено собирать. Истина посередине, и она про инженерию, а не про юридический испуг: правильно настроенный сайт собирает почти всё, что нужно для роста, и при этом не даёт регулятору ни одного повода.

Эта статья — практический разбор того, что бизнес-сайту в ЕС реально нужно в 2026 году. GDPR для сайта мы разложим на конкретный чек-лист: баннер cookie, политика конфиденциальности, легальная аналитика, формы и реальные нарушения, за которые штрафуют. Без воды про «важность защиты данных» — только то, что должно стоять на странице, чтобы вы спали спокойно и при этом не ослепли в аналитике.

GDPR и RODO — это один закон. Не пугайтесь двух названий.

Сначала снимем путаницу, которая стоит людям лишних денег на «двух разных» юристов. GDPR (General Data Protection Regulation) и RODO (Rozporządzenie o Ochronie Danych Osobowych) — это буквально один и тот же общеевропейский регламент, просто под английским и польским названием. Он действует напрямую во всех странах Евросоюза, поэтому базовые требования к польскому, немецкому, испанскому и любому другому сайту в ЕС одинаковые. Отличаются только мелкие национальные надстройки и название надзорного органа — в Польше это UODO, в Германии региональные ведомства, и так далее.

Что это значит на практике: если вы делаете сайт для польского бизнеса, вы выполняете GDPR, и он же RODO. Если завтра вы добавляете немецкую или французскую версию — фундамент тот же, меняются только язык текстов и пара локальных деталей. Это, кстати, одна из причин, почему многоязычный сайт под рынки ЕС проще держать в соответствии, чем кажется: правовой каркас общий, дублировать приходится контент, а не логику согласия.

Регламент защищает персональные данные — всё, по чему можно прямо или косвенно опознать человека. И тут первый сюрприз для многих владельцев: персональные данные — это не только имя и телефон из формы. Это и IP-адрес, и идентификатор cookie, и данные о поведении на сайте, которые собирает аналитика. Именно поэтому история начинается с самого скучного и самого нарушаемого элемента — с баннера cookie.

Баннер cookie, который не нарушает закон (а не просто «ОК»)

Здесь сосредоточена большая часть штрафов и почти все жалобы, потому что нарушение видно невооружённым глазом. Разберём по пунктам, чем легальный баннер согласия отличается от той заглушки, что стоит на большинстве сайтов.

Главный принцип GDPR: согласие должно быть активным, информированным и таким же лёгким для отзыва, как для дачи. Из этого следуют конкретные требования, которые легко проверить:

• Никакой загрузки трекеров до согласия. Google Analytics, Meta Pixel, чат, карты, встроенное видео не должны ставить cookie и слать данные, пока человек не нажал «Принять». Это самое частое и самое доказуемое нарушение: трекер виден в инструментах разработчика ещё до клика.
• Кнопка «Отклонить» на том же уровне, что и «Принять». Если «Принять» — большая зелёная, а отказаться можно только через три экрана настроек, это незаконно по своей сути. Отказ должен быть таким же простым, как согласие.
• Никаких заранее проставленных галочек. Согласие нельзя предполагать по умолчанию. Все категории, кроме строго необходимых, должны быть выключены, пока человек сам их не включит.
• Гранулярность по категориям. Пользователь вправе согласиться на аналитику, но отказаться от маркетинга. Один общий тумблер «всё или ничего» регуляторы тоже считают проблемным.
• Возможность отозвать согласие потом. Где-то должна быть ссылка или иконка «Настройки cookie», чтобы человек мог передумать через месяц так же легко, как соглашался.

Под все эти требования НЕ подпадает одна важная категория — строго необходимые cookie. Корзина в магазине, сессия входа в личный кабинет, запоминание выбранного языка, защита формы от ботов — для них согласие не нужно, потому что без них сайт физически не работает. Их можно и нужно грузить сразу. Проблема почти всегда не в них, а в аналитике и маркетинговых пикселях, которые подключают по инерции и забывают спрятать за согласие.

Простой тест для вашего текущего сайта: откройте его в режиме инкогнито, не нажимая ничего в баннере, и посмотрите вкладку Network в инструментах разработчика. Если до клика грузятся google-analytics, facebook, doubleclick или подобное — вы уже нарушаете, и это видно любому, кто захочет пожаловаться.

Политика конфиденциальности: не шаблон с потолка, а карта ваших данных

Второй обязательный элемент — политика конфиденциальности (privacy policy), и здесь типичная ошибка противоположна баннеру. С баннером бизнес недорабатывает, а с политикой — наоборот, копирует чужой текст и думает, что закрыл вопрос. Регулятор по жалобе сравнивает то, что написано в политике, с тем, что реально делает сайт, и именно расхождение ловит первым.

Рабочая политика конфиденциальности отвечает на простые вопросы про ваш сайт, а не про абстрактный:

• Какие данные вы собираете (имя, email, телефон из форм; IP и поведение через аналитику).
• На каком основании (согласие, исполнение договора, законный интерес).
• Зачем именно — цель каждого сбора.
• Кому передаёте — список сторонних сервисов: какая у вас аналитика, рассылка, CRM, платёжный провайдер, хостинг.
• Сколько храните и как человек может запросить удаление своих данных или их копию.
• Контакт ответственного за данные.

Ключевое слово здесь — ваши инструменты. Скопированная у соседа политика почти наверняка перечисляет не те сервисы, что стоят у вас, или не упоминает те, что стоят. Подключили Meta Pixel, а в политике его нет — нарушение. Написали про Mailchimp, а шлёте через другой сервис — тоже. Сгенерированный шаблон годится как каркас, но его обязательно нужно довести до реальности конкретного сайта. По нашему опыту, именно это — самая частая правка, когда к нам приходят с готовым сайтом «привести в порядок по GDPR».

Легальная аналитика: как видеть цифры и не нарушать

Теперь самое практичное — как собирать данные о посещаемости, не превращая сайт в правовую мину. Потому что слепой бизнес проигрывает: без аналитики вы не знаете, какие страницы работают, откуда приходят клиенты и что чинить. Хорошая новость — легальных путей несколько.

Путь первый: Google Analytics за согласием. GA4 в Европе использовать можно. Условия: грузите его только после клика «Принять», включите режим согласия (Consent Mode) и анонимизацию, честно опишите передачу данных в политике. Это рабочий вариант, если нужен глубокий анализ, ретаргетинг и связка с рекламой. Минус — сложность настройки, плюс часть пользователей жмёт «Отклонить», и эти визиты вы в GA не увидите вовсе.

Путь второй, который мы чаще советуем: аналитика без cookie. Plausible, Umami, Matomo и подобные инструменты считают посещаемость, не ставя cookie и не собирая персональные данные в привычном смысле. Для базовых метрик — сколько визитов, откуда, какие страницы популярны — им во многих конфигурациях вообще не нужен баннер согласия, потому что собирать нечего. Это снимает значительную долю юридического риска разом и заодно ускоряет сайт, потому что код такой аналитики легче. Мы подробно разбирали этот подход в материале про аналитику без cookie — для большинства бизнес-сайтов, которым нужны цифры роста, а не сложный ретаргетинг, это спокойный выбор по умолчанию.

Сравним по-простому, чтобы было видно компромисс:

Критерий	Google Analytics (GA4)	Аналитика без cookie
Нужен баннер согласия	Да, обязательно	Часто нет
Глубина данных	Высокая, до уровня пользователя	Базовая, по визитам
Ретаргетинг и связка с рекламой	Да	Нет
Доля «потерянных» из-за отказа	Заметная	Нулевая
Юридический риск	Выше, нужна аккуратная настройка	Ниже
Влияние на скорость	Тяжелее	Легче

Выбор зависит от того, что вам реально нужно. Запускаете платную рекламу и считаете воронку до клика — тогда GA с согласием оправдан. Хотите просто понимать, растёте ли вы и что чинить, — аналитика без cookie закроет это с меньшим риском и меньшей возней с согласием.

Формы и обработка данных: где утекает доверие

Любая форма на сайте — контакт, заявка, подписка — это сбор персональных данных, и к ней GDPR относится строго. Тут несколько правил, которые легко выполнить и которые часто забывают.

Под каждой формой, собирающей контакт, должно стоять явное информирование: коротко, на что человек соглашается, и ссылка на политику конфиденциальности. Для маркетинговой рассылки нужна отдельная активная галочка согласия — не предзаполненная, не «соглашаюсь со всем сразу». Заявку на услугу человек оставляет на основании законного интереса или будущего договора, а вот добавить его в рассылку без отдельного согласия нельзя.

Дальше — техника, про которую забывают чаще всего. Данные из формы должны идти по защищённому соединению (HTTPS — это давно не опция), храниться там, где у вас есть к ним легальный доступ, и не валяться, например, в открытой Google-таблице, к которой имеет доступ полофиса. Если форма шлёт заявки в мессенджер или CRM, этот сервис тоже должен быть упомянут в политике как получатель данных. Мы разбирали, как устроены формы захвата заявок, которые действительно конвертят — и соответствие GDPR там не противоречит конверсии, а помогает ей: понятная форма с честным микротекстом про данные вызывает больше доверия, а не меньше, особенно у европейской аудитории, которая к этому привыкла.

И ещё одна деталь: антиспам. reCAPTCHA от Google тоже ставит трекеры и формально подпадает под согласие. Альтернатива — honeypot-поле (невидимая ловушка для ботов), которое не собирает данных и не требует баннера. На наших проектах мы по умолчанию ставим именно такой вариант: форма защищена от ботов и не добавляет строчку в список «что нужно согласовать».

Частые нарушения и штрафы: за что прилетает на самом деле

Давайте честно про деньги, потому что вокруг штрафов GDPR много пугалок. Верхняя планка регламента действительно драматична — до 20 млн евро или 4% годового мирового оборота, смотря что больше. Но это потолок для крупных, умышленных, массовых нарушений вроде утечки данных миллионов пользователей. К сайту-визитке или небольшому интернет-магазину это применяют крайне редко.

Реальность малого бизнеса скромнее и предсказуемее. Чаще всего сценарий такой: пользователь жалуется, регулятор присылает предписание исправить нарушение, и если вы исправляете — на этом всё заканчивается. Штрафы за «мелочи» обычно измеряются тысячами, реже десятками тысяч евро, и тяжесть сильно зависит от того, исправили ли вы проблему после жалобы и не было ли злого умысла. По отраслевым наблюдениям, типичный «мелкий» кейс — это не разорение, а неприятность плюс срочная переделка под надзором. Но именно эту неприятность дешевле всего не допустить.

Вот за что реально ловят малый и средний бизнес — по убыванию частоты:

1. Трекеры грузятся до согласия. Самое частое и самое доказуемое. Открыл сайт, посмотрел Network — нарушение видно сразу.
2. Нет кнопки «Отклонить» или она спрятана. Баннер «только ОК» или отказ через лабиринт настроек.
3. Нет политики конфиденциальности или она не про этот сайт. Скопированный текст, который расходится с реальностью.
4. Маркетинговое согласие предзаполнено или вшито в общую галочку. Подписка без отдельного активного согласия.
5. Сервисы-получатели не указаны. Pixel, чат, рассылка стоят, а в политике их нет.

Заметьте закономерность: почти всё в этом списке — не про «защиту данных» в высоком смысле, а про конкретные элементы интерфейса и пару строк кода. Это и есть хорошая новость. Соответствие GDPR для типичного бизнес-сайта — задача инженерная и конечная, а не бездонная юридическая яма.

GDPR для сайта без слепой аналитики: рабочая связка

Главный страх владельца звучит так: «Если я всё закрою согласием, половина людей нажмёт „Отклонить“, и я ослепну». Это решаемо, и решается без нарушений.

Во-первых, аналитика без cookie выводит базовые метрики из-под согласия — вы видите посещаемость по всем визитам, а не только по согласившимся. Для большинства сайтов этого достаточно, чтобы понимать рост и чинить узкие места. Во-вторых, даже на GA грамотная настройка режима согласия позволяет собирать обезличенную агрегированную статистику по тем, кто отказался, — без персональных данных, но с пониманием объёма. В-третьих, конверсии, привязанные к самим действиям (отправил форму, дошёл до спасибо-страницы), часто можно считать без клиентских трекеров вовсе.

Связка, которую мы ставим на проектах по умолчанию и которая держит и закон, и видимость, выглядит так:

1. Строго необходимые cookie грузятся сразу — сессия, язык, защита форм. Сайт работает с первой секунды.
2. Баннер согласия с честной кнопкой «Отклонить» на одном уровне с «Принять» и гранулярностью по категориям.
3. Аналитика без cookie как база — посещаемость видна всегда, баннер для неё во многих случаях не нужен.
4. GA или Pixel — только если бизнесу реально нужен ретаргетинг, и только за согласием, с Consent Mode.
5. Антиспам без трекеров на формах, чтобы не плодить лишних согласований.
6. Политика конфиденциальности, написанная под реальный стек сайта, со списком именно ваших сервисов.

Это не теория — это то, как мы собираем сайты, чтобы клиент не выбирал между «по закону» и «вижу цифры». Кстати, многие из этих решений заодно ускоряют сайт: меньше тяжёлых сторонних скриптов — лучше Core Web Vitals (LCP, INP, CLS), а значит и позиции в поиске. Соответствие и скорость тут тянут в одну сторону, а не в разные.

И ещё одно, о чём забывают, считая GDPR отдельной темой: доступность. Баннер согласия должен быть управляем с клавиатуры и читаем скринридером — иначе вы рискуете одновременно нарушить и правила о согласии, и требования доступности, которые в ЕС с 2025 года стали жёстче. Тот же интерфейс, который вы делаете честным для регулятора по данным, разумно сразу сделать честным и для пользователя с ограничениями.

С чего начать на этой неделе

Если у вас уже есть сайт и вы не уверены, что он в порядке, не нужно переписывать всё разом. По убыванию отдачи и простоты:

1. Откройте свой сайт в инкогнито и проверьте Network до клика по баннеру. Грузятся ли трекеры? Если да — это первое, что чинить.
2. Проверьте кнопку «Отклонить». Есть ли она вообще, на одном ли уровне с «Принять», действительно ли она блокирует трекеры. Нажмите и снова посмотрите Network.
3. Откройте свою политику конфиденциальности и сверьте со списком того, что реально стоит на сайте. Все сервисы упомянуты? Нет лишних из чужого шаблона?
4. Посмотрите на формы. Есть ли ссылка на политику, отдельное ли согласие на рассылку, по HTTPS ли уходят данные.
5. Решите про аналитику. Нужен ли вам ретаргетинг или хватит честных цифр посещаемости без cookie — от этого ответа зависит, насколько сложным будет ваш баннер.

Сделайте эти пять проверок — и вы закроете подавляющее большинство реальных рисков, по которым штрафуют малый бизнес. Остальное — это уже тонкая настройка, а не дыры, в которые проваливаются.

Кто в итоге спит спокойно

Вернёмся к письму от регулятора с первого абзаца. Бизнес, у которого баннер грузит трекеры только после согласия, у которого кнопка «Отклонить» работает, политика описывает реальный стек, а формы собраны честно, — на такую жалобу отвечает одним абзацем и скриншотом, и история закрывается. Бизнес, который повесил «ОК» и забыл, отвечает переделкой под надзором и нервами.

Разница между ними — не в том, кто больше боится закона. Она в том, кто отнёсся к GDPR как к инженерной задаче с понятным чек-листом, а не как к бумажному заклинанию или поводу для паники. Правильно собранный сайт собирает почти все данные, нужные для роста, не даёт регулятору ни одной зацепки и заодно грузится быстрее. А неправильный платит дважды: один раз за переделку по жалобе, второй — слепотой в аналитике, потому что в испуге отключил то, что собирать было можно. GDPR для сайта в 2026 году — это не про то, чтобы меньше знать о своих клиентах. Это про то, чтобы знать ровно столько, сколько разрешено, и спать спокойно.