Трансграничная передача данных по GDPR — единственный риск комплаенса, который можно устранить архитектурой

Большинство рисков GDPR носят процедурный характер: уведомление можно переписать, срок хранения сократить, поток согласия исправить. Международная передача данных — другое дело. Она опирается на правовой инструмент, который вы не контролируете и не можете пропатчить, и этот инструмент за десятилетие отменяли дважды. Единственное долговечное решение — архитектурное: вообще никогда не передавать данные.

Механизм передачи продолжает рушиться

Глава V GDPR запрещает отправлять персональные данные в страну без адекватного уровня защиты, если у вас нет действующего механизма передачи. Для потоков из ЕС в США у этого механизма целое кладбище. CJEU отменил Safe Harbour в 2015 году (Schrems I) и Privacy Shield в 2020 году (Schrems II) — в обоих случаях потому, что законодательство США о слежке не давало гражданам ЕС реальной возможности защиты.

Текущий инструмент — EU-US Data Privacy Framework (DPF), принятый в 2023 году. 3 сентября 2025 года Суд общей юрисдикции ЕС отклонил первый иск против него по делу Latombe v Commission (дело T-553/23), подтвердив решение Комиссии об адекватности.

На этом история не заканчивается. 31 октября 2025 года Латомб подал апелляцию в Суд Европейского союза, а noyb — организация Макса Шремса — дала понять, что готовит более широкий иск против DPF на тех же основаниях, связанных со слежкой, которые потопили два предыдущих механизма. Суд, который уничтожил Safe Harbour и Privacy Shield, рассмотрит его снова.

Почему это бьёт именно по аналитике

Аналитика — самый частый способ, которым небольшой европейский сайт в итоге совершает передачу в США, не осознавая этого. Браузер отправляет событие; провайдер аналитики со штаб-квартирой в США получает IP-адрес посетителя и поведенческие данные на инфраструктуре в США. Это передача персональных данных, и она наследует тот правовой статус, который DPF имеет в любой конкретный день.

Регуляторы считали это незаконным ещё до появления DPF. После скоординированных жалоб noyb австрийский DSB в 2022 году постановил, что передача из ЕС в США через Google Analytics нарушает Главу V, и органы по защите данных Франции, Италии, Дании, Финляндии, Швеции и Норвегии последовали той же логике. Достаточно было того, что IP-адрес доходил до серверов в США.

Если CJEU отменит DPF, эти решения снова, в одночасье, станут шаблоном для каждого инструмента, который всё ещё направляет данные европейских посетителей в США.

Устранение риска архитектурой

Сделать DPF более стабильным вы не можете. Но вы можете построить поток данных, у которого с самого начала нет никакой подверженности Главе V. Это обеспечивают два свойства:

Обрабатывайте на периферии, в пределах региона. Data Localization Suite от Cloudflare позволяет Worker'у удерживать обработку и логи в дата-центрах ЕС, так что запрос никогда не покидает регион, в котором был инициирован. Решение о том, где обрабатываются данные, становится настройкой инфраструктуры, а не правовым инструментом, который, как вы надеетесь, переживёт апелляцию.

Никогда не сохраняйте идентифицирующие входные данные. Сырые IP и User-Agent, которые делают запрос «персональными данными», существуют в памяти ровно столько, сколько нужно для вычисления суточного хеша посетителя, после чего отбрасываются:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

Сохраняется хеш, а не входные данные. Поскольку соль меняется ежедневно и держится в секрете, хеш нельзя обратить до конкретного человека или сопоставить между днями. Профиля нет, и ничто идентифицирующее никогда не пересекает границу, потому что ничто идентифицирующее вообще не сохраняется.

География потока проверяется прямо на проводе. Маяк просмотра страницы — это единственный запрос к first-party эндпоинту, который вы контролируете:

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

Если api.monoid.website резолвится в периферийные узлы ЕС, а Worker привязывает своё хранилище к ЕС, то в маршруте нет обработчика из США, нет решения об адекватности, на которое нужно опираться, и нет передачи, которую нужно раскрывать. Страна посетителя при этом всё равно определяется — она выводится из собственной геолокации периферии, а не из отправки IP третьей стороне.

Какую позицию по комплаенсу это создаёт

Передачу, которую вы никогда не совершаете, никогда не приходится защищать. Нет DPF, на который нужно ссылаться в реестре обработки, нет стандартных договорных условий, которые нужно поддерживать, нет оценки воздействия передачи, которую нужно переделывать при смене правового основания, и нет субобработчика в третьей стране, которого нужно раскрывать по правилам прозрачности, проверяемым регуляторами в 2026 году.

Любая другая задача комплаенса в аналитике — это то, что вы продолжаете делать постоянно. Устранение передачи — это то, что вы делаете один раз, в архитектуре, и после этого перестаёте об этом думать — независимо от того, как CJEU решит по апелляции.

Источники

• Суд Европейского союза — Пресс-релиз: Суд общей юрисдикции отклоняет иск Латомба (дело T-553/23)
• IAPP — Суд общей юрисдикции ЕС отклоняет иск Латомба и подтверждает EU-US Data Privacy Framework
• noyb — Австрийский DSB: передача данных из ЕС в США в Google Analytics незаконна
• noyb — Ещё ряд органов по защите данных ЕС предписывают прекратить использование Google Analytics
• Cloudflare — Data Localization Suite