Цель надзора EDPB в 2026 году — ваше уведомление о конфиденциальности

Уже два года дорогостоящий вопрос по GDPR смещается. Сначала регуляторы проверяли, было ли у вас правовое основание, затем — удаляли ли вы данные вовремя. 19 марта 2026 года Европейский совет по защите данных нацелил следующую проверку на третью мишень: честно ли ваше уведомление о конфиденциальности рассказывает о том, что вы собираете.

Что проверяет скоординированная акция 2026 года

Скоординированная система надзора (CEF) EDPB ежегодно прогоняет по всему блоку одну общую тему. Акция 2025 года рассматривала право на удаление. Акция 2026 года — пятая по счёту — рассматривает прозрачность и обязанности по информированию согласно статьям 12, 13 и 14 GDPR.

В акции участвуют двадцать пять органов по защите данных. Их объявление прямолинейно описывает метод: участвующие DPA «вскоре свяжутся с контролёрами из разных секторов по всей Европе — либо через надзорные действия, либо через сбор фактов». Результаты сводятся в консолидированный отчёт EDPB во второй половине 2026 года с «целевыми последующими действиями как на национальном уровне, так и на уровне ЕС».

Это не рекомендация. Это скоординированный запрос доказательств того, что документ на вашем сайте соответствует данным в вашей базе.

Что статья 13 на самом деле обязывает вас раскрывать

Право быть информированным не удовлетворяется абзацем со словами «мы ценим вашу конфиденциальность». Статья 13 — которая применяется, когда вы собираете данные непосредственно у посетителя — перечисляет, что уведомление должно указывать в момент сбора:

• Идентификационные и контактные данные контролёра.
• Цели обработки и правовое основание для каждой из них.
• Получателей или категории получателей данных.
• Любую передачу в третью страну и гарантии для неё.
• Срок хранения или критерии, по которым он устанавливается.
• Права субъекта данных: доступ, исправление, удаление, ограничение, возражение, переносимость.
• Наличие автоматизированного принятия решений, включая профилирование, с содержательной информацией о применяемой логике.

Каждый пункт соответствует факту о вашем стеке. Уведомление точно лишь тогда, когда каждое раскрытие правдиво. Именно это проверяет сбор фактов — не существует ли уведомление, а описывает ли оно реальность.

Почему слежечная аналитика делает уведомление хрупким

Прогоните типичную интеграцию аналитики по этому списку — и раскрытий станет больше. Поведенческий тег с межсайтовыми идентификаторами означает, что у вас есть получатели, которых нужно назвать — вендор, его рекламные партнёры, его измерительная сеть. Обычно это означает передачу в третью страну, которую нужно задекларировать и защитить гарантиями. Устойчивый идентификатор, следующий за посетителем месяцами, — это профилирование, которое затягивает пункт об автоматизированном принятии решений. Срок хранения — это то, что выставлено по умолчанию у вендора, и теперь вы обязаны его знать и указать корректно.

Каждое из этих утверждений — фраза, которая может оказаться неверной. Уведомление расходится с реальностью в тот момент, когда вендор добавляет суб-обработчика, меняет регион или продлевает хранение, — а вы редко об этом узнаёте. При надзоре за прозрачностью уведомление, занижающее получателей или срок хранения, — это не опечатка. Это и есть нарушение, ради выявления которого создана CEF.

Защитимое уведомление — короткое

Дешевле всего пройти проверку прозрачности, когда раскрывать почти нечего. Это свойство модели данных, а не копирайтинга.

Трекер без cookie сжимает аналитический раздел уведомления по статье 13 до нескольких честных строк. Нет сторонних получателей, потому что ничего не передаётся. Нет профилирования, потому что ни один идентификатор не сохраняется. Идентичность посетителя — это односторонний суточный hash, вычисляемый в памяти на edge:

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

Сырые IP и User-Agent используются только для вычисления этого дайджеста и никогда не записываются; D1 хранит hash, а не входные значения. Поскольку дата — один из входов, hash сменяется каждую полночь, так что нет межсессионного профиля, который пришлось бы описывать. Срок хранения — жёсткая, формулируемая граница: просмотры страниц удаляются через 730 дней — а не значение по умолчанию вендора, которое пришлось бы искать.

Получившееся раскрытие коротко, потому что обработка мала. Оно гласит: мы считаем агрегированные просмотры страниц, выводим страну и грубый тип устройства на edge, ни с кем не делимся, не строим профилей и храним данные не дольше двух лет. Каждый пункт проверяется по схеме.

Половина того же упражнения по статье 30

У прозрачности для посетителя (статьи 12–14) есть внутренний двойник: записи об операциях обработки по статье 30 — документ, который орган запрашивает первым. Он должен перечислять цели, получателей, передачи и срок хранения — те же факты, что и публичное уведомление, но со стороны контролёра.

Когда эти два документа расходятся, расхождение и становится нарушением. Стек, который не хранит ни одного персонального идентификатора и ничем не делится, держит оба документа согласованными, потому что записывать почти нечего ни с той, ни с другой стороны.

Уведомление о конфиденциальности — это обещание о вашей модели данных. Проверка 2026 года выясняет, правдиво ли это обещание. Наименее рискованное обещание — то, которое вы можете сдержать не задумываясь, потому что вы никогда не собирали то, что иначе пришлось бы объяснять.

Источники

• EDPB запускает Скоординированную надзорную акцию 2026 года по прозрачности и обязанностям по информированию
• Скоординированная система надзора: EDPB выбирает тему на 2026 год
• Статья 13 GDPR — Информация, предоставляемая при сборе персональных данных у субъекта данных
• Статья 30 GDPR — Записи об операциях обработки
• ICO — Право быть информированным