Обеспечение соответствия сайта требованиям GDPR
GDPR (General Data Protection Regulation) — регламент ЕС о защите персональных данных, действующий с 2018 года. Распространяется на любой сайт, обрабатывающий данные граждан ЕС, независимо от того, где расположен сервер. Штрафы: до €20 млн или 4% от глобального оборота.
Шесть правовых оснований для обработки ПДн
- Согласие — явное, отзывное, конкретное
- Договор — необходимость для выполнения договора
- Юридическое обязательство — требования закона
- Жизненно важные интересы — защита жизни
- Публичная задача — государственные функции
- Законный интерес — коммерческие интересы (балансировочный тест)
Большинство коммерческих сайтов используют согласие и договор.
Технические меры (GDPR Art. 25 & 32)
Privacy by Design — проектирование с учётом приватности:
// Принцип минимизации данных — собирать только необходимое
class UserRegistrationRequest extends FormRequest
{
public function rules(): array
{
return [
'email' => 'required|email',
'password' => 'required|min:8',
// НЕТ: phone, birthdate, address — если не нужны для сервиса
];
}
}
// Псевдонимизация — замена ПДн идентификаторами
class AnalyticsEventService
{
public function track(User $user, string $event): void
{
AnalyticsEvent::create([
'user_pseudonym' => hash('sha256', $user->id . config('app.analytics_salt')),
'event' => $event,
// НЕТ: user_id, email — не нужны для аналитики
]);
}
}
Шифрование данных в покое:
// Чувствительные поля шифруются (см. страницу про шифрование ПДн)
protected $casts = [
'date_of_birth' => EncryptedCast::class,
'address' => EncryptedCast::class,
];
Права субъектов данных (GDPR Art. 15-22)
| Право | Срок ответа | Реализация |
|---|---|---|
| Доступ (Art. 15) | 1 месяц | Экспорт данных в ЛК |
| Исправление (Art. 16) | 1 месяц | Редактирование профиля |
| Удаление (Art. 17) | 1 месяц | Кнопка «Удалить аккаунт» |
| Ограничение (Art. 18) | 1 месяц | Заморозка обработки |
| Переносимость (Art. 20) | 1 месяц | Экспорт в JSON/CSV |
| Возражение (Art. 21) | Без задержки | Отписка от рассылок |
// Реализация права на удаление (right to erasure)
class GdprUserDeletionService
{
public function deleteUser(User $user): void
{
DB::transaction(function () use ($user) {
// Анонимизировать, не удалять — для сохранения бухгалтерских данных
$user->update([
'name' => 'Удалённый пользователь',
'email' => 'deleted_' . $user->id . '@deleted.invalid',
'phone' => null,
]);
// Удалить персональные данные
$user->consents()->delete();
$user->addresses()->delete();
// Сохранить транзакции (юридическое обязательство)
// $user->orders — оставить с анонимизированным user_id
$user->tokens()->delete(); // отозвать все сессии
$user->update(['deleted_at' => now(), 'anonymized_at' => now()]);
});
// Уведомить все обработчики данных (email-провайдер и т.д.)
event(new UserDataDeleted($user->id));
}
}
Экспорт данных (право на переносимость)
class UserDataExportService
{
public function generateExport(User $user): string
{
$data = [
'export_date' => now()->toIso8601String(),
'user' => [
'id' => $user->id,
'name' => $user->name,
'email' => $user->email,
'created_at' => $user->created_at,
],
'consents' => $user->consents()->with('type')->get()->toArray(),
'orders' => $user->orders()->get()->toArray(),
'activity' => AuditLog::where('user_id', $user->id)
->orderByDesc('created_at')->get()->toArray(),
];
$path = "gdpr-exports/user_{$user->id}_" . now()->timestamp . ".json";
Storage::disk('private')->put($path, json_encode($data, JSON_PRETTY_PRINT));
// Ссылка действительна 24 часа
return Storage::disk('private')->temporaryUrl($path, now()->addHours(24));
}
}
Record of Processing Activities (ROPA)
GDPR требует документировать все операции обработки:
// config/gdpr-ropa.php
return [
'controller' => [
'name' => 'ООО "Компания"',
'address' => '...',
'contact' => '[email protected]',
],
'activities' => [
[
'name' => 'User Registration',
'purpose' => 'Service provision',
'legal_basis' => 'Contract (Art. 6.1.b)',
'data_subjects' => 'Customers',
'data_types' => ['name', 'email', 'hashed_password'],
'retention' => 'Account lifetime + 2 years',
'recipients' => ['Sendgrid (DPA signed)', 'Stripe (DPA signed)'],
'transfers' => ['US - Standard Contractual Clauses'],
],
],
];
Data Processing Agreements (DPA)
С каждым сервисом-обработчиком данных должно быть заключено DPA:
- Sendgrid/Mailchimp — обязательно, доступно онлайн
- Google Analytics — GA4 + DPA + IP-анонимизация
- Stripe — встроено в Terms of Service
- AWS/GCP/Azure — доступно в консоли
Уведомление об утечке (Art. 33-34)
class DataBreachService
{
// Уведомить надзорный орган (SA) в течение 72 часов
public function notifySupervisoryAuthority(DataBreach $breach): void
{
// Для РФ — Роскомнадзор; для ЕС — локальный DPA
// Уведомление через официальный портал или API
BreachNotification::create([
'breach_id' => $breach->id,
'notified_authority'=> $this->getCompetentAuthority($breach),
'notified_at' => now(),
'notification_ref' => $this->submitToAuthority($breach),
]);
}
// Уведомить субъектов при высоком риске (Art. 34)
public function notifyDataSubjects(DataBreach $breach): void
{
if ($breach->risk_level === 'high') {
$breach->affectedUsers()->each(function (User $user) use ($breach) {
Mail::to($user)->queue(new DataBreachNotificationMail($breach));
});
}
}
}
Cookie Consent
Cookie banner с детальным управлением по категориям — обязательный элемент. Согласие на аналитические и маркетинговые cookies должно быть получено до их установки (см. отдельную страницу по Cookie Consent Banner).
DPO (Data Protection Officer)
При обработке большого объёма ПДн специальных категорий или систематическом мониторинге назначение DPO обязательно. Для большинства малого и среднего бизнеса — рекомендовано, не обязательно.
Срок реализации
- Gap-анализ текущего состояния: 2–3 дня
- Технические меры (шифрование, права субъектов, cookie banner): 7–14 дней
- Документация (ROPA, DPA, политики): 3–5 дней
- Тестирование процессов удаления/экспорта: 2–3 дня
- Итого: 3–5 недель для типового SaaS