Что происходит, когда вы не собираете согласие: реальные штрафы и кейсы
Думаете, баннеры согласия необязательны? Что простого уведомления о cookie достаточно? Регуляторы с этим не согласны — и у них есть доказательства. С момента вступления GDPR в силу в 2018 году органы по защите данных в Европе и за её пределами выписали штрафов на сумму более €4,5 миллиарда. Многие из них были напрямую связаны с нарушениями при сборе действительного согласия пользователей.
Вот реальные дела, реальные цифры и то, что они означают для вашего бизнеса.
Крупнейшие штрафы, связанные с согласием, в истории
Meta (Facebook/Instagram) — Ирландия, 2023
Ирландская комиссия по защите данных (DPC) установила, что Meta передавала данные пользователей из ЕС в США без действительных правовых механизмов и надлежащего согласия. Это остаётся крупнейшим штрафом по GDPR в истории. Meta также была оштрафована на €390 миллионов в январе 2023 года за то, что заставляла пользователей соглашаться на персонализированную рекламу в качестве условия использования Facebook и Instagram — явное нарушение требования о «свободно данном» согласии.
Amazon — Люксембург, 2021
Amazon была оштрафована за обработку персональных данных для таргетированной рекламы без надлежащего согласия пользователей. Люксембургский орган по защите данных (CNPD) установил, что система таргетинга рекламы Amazon не соответствовала требованиям GDPR о согласии.
Google — Франция (CNIL), 2022
CNIL оштрафовала Google, поскольку механизм согласия на cookie на google.fr и youtube.com позволял легко принять все cookie одним кликом, но требовал нескольких кликов для отказа. Этот асимметричный дизайн — когда отказ сложнее, чем принятие — был признан нарушением принципа «свободно данного» согласия.
TikTok — Ирландия, 2023
TikTok был оштрафован за обработку персональных данных детей без надлежащего согласия и мер прозрачности. DPC установила, что детские аккаунты по умолчанию были публичными и что настройки конфиденциальности платформы были недостаточно доступны.
Criteo — Франция (CNIL), 2023
Рекламно-технологическая компания была оштрафована за сбор данных о просмотрах миллионов пользователей через отслеживающие cookie без доказательства получения действительного согласия. CNIL установила, что Criteo не могла продемонстрировать действительную цепочку согласия с сайтов, на которых размещались cookie.
Это касается не только техногигантов: штрафы для малого бизнеса
Не думайте, что штрафы только для технологических гигантов. Органы по защите данных по всей Европе регулярно штрафуют малый и средний бизнес за нарушения, связанные с согласием:
- Испанское AEPD: регулярно выписывает штрафы от €2 000 до €60 000 малым предприятиям за установку cookie без согласия или отсутствие политик в отношении cookie.
- Итальянский Garante: оштрафовал небольшой интернет-магазин на €20 000 за использование Google Analytics без действительных механизмов передачи согласия.
- Французский CNIL: оштрафовал медицинский сайт на €150 000 за сбор чувствительных данных через формы без явного согласия.
- Австрийский DSB: постановил, что использование Google Analytics без согласия является незаконным, создав прецедент, затронувший тысячи компаний.
- Бельгийское DPA: оштрафовало IAB Europe на €250 000 за проблемы со строкой согласия TCF, продемонстрировав, что даже сама структура согласия подлежит контролю.
Помимо штрафов: скрытые издержки
Финансовые санкции — лишь верхушка айсберга. Реальный ущерб часто включает:
- Репутационный вред: штрафы по GDPR являются публичной информацией. Ваш бренд начинают ассоциировать с нарушениями конфиденциальности в новостях и результатах поиска.
- Потеря рекламного дохода: без сертифицированной CMP Google может ограничить показ рекламы в ЕЭЗ. Издатели сообщали о падении дохода на 30–70% при несоответствующей настройке согласия.
- Юридические расходы: защита от жалоб, ответы на расследования органов по защите данных и перестройка практик работы с данными могут стоить сотни тысяч на юридические услуги.
- Операционные сбои: органы по защите данных могут предписать полностью прекратить обработку данных до достижения соответствия — фактически закрыв ваш онлайн-бизнес.
- Риск коллективных исков: GDPR позволяет коллективные судебные действия. Потребительские организации в Австрии, Франции и Германии подавали коллективные иски против компаний за нарушения, связанные с согласием.
Самые распространённые ошибки в согласии, ведущие к штрафам
- Предварительно отмеченные галочки согласия: GDPR прямо это запрещает. Согласие должно быть утвердительным действием.
- Cookie-стены: блокировка доступа к контенту, пока пользователи не примут все cookie, не является «свободно данным» согласием.
- Асимметричные кнопки: выделение кнопки «Принять» при сокрытии или уменьшении «Отклонить» нарушает принцип свободно данного согласия.
- Объединённое согласие: объединение согласия для нескольких целей в одно действие «Принять» лишает пользователей права на конкретный выбор.
- Отсутствие механизма отзыва: если пользователи не могут легко изменить или отозвать согласие, весь ваш сбор согласия недействителен.
- Отсутствие записей о согласии: без журналов с отметками времени, показывающих, кто, когда и на что дал согласие, вы не сможете доказать соответствие при аудите.
- Отслеживание до согласия: загрузка аналитики, рекламных пикселей или маркетинговых скриптов до того, как пользователь сделает выбор, — самое распространённое и легко обнаруживаемое нарушение.
Как регуляторы обнаруживают несоответствие
Органы по защите данных не просто ждут жалоб. Они активно сканируют сайты с помощью автоматизированных инструментов, которые обнаруживают:
- cookie, устанавливаемые до какого-либо взаимодействия с согласием;
- отсутствующие или неполные баннеры согласия;
- недействительные или просроченные строки согласия;
- скрипты отслеживания, срабатывающие до записи согласия;
- асимметричный дизайн баннеров, благоприятствующий принятию.
Например, французский CNIL просканировал тысячи сайтов и выписал десятки штрафов исключительно на основе автоматического обнаружения — без каких-либо жалоб пользователей.
Как выглядит правильное согласие в 2026 году
Чтобы избежать штрафов и защитить свой бизнес, ваша реализация согласия должна:
- блокировать все несущественные cookie и скрипты до получения явного согласия;
- обеспечивать равный визуальный вес вариантам «Принять» и «Отклонить»;
- предоставлять детальный выбор по категориям cookie (аналитика, маркетинг, функциональные);
- хранить записи о согласии с отметками времени и идентификаторами пользователей;
- поддерживать IAB TCF 2.3 для программатической рекламы;
- интегрировать Google Consent Mode V2 для соответствующего показа рекламы;
- позволять лёгкий отзыв согласия в любое время;
- отображаться на языке пользователя.
Как FlexyConsent защищает вас
FlexyConsent создан специально для предотвращения описанных выше нарушений:
- Автоматическая блокировка скриптов: никакое отслеживание не срабатывает до получения согласия.
- Соответствующий дизайн баннера: равные кнопки «Принять»/«Отклонить», без тёмных паттернов.
- Готовые к аудиту журналы: каждое решение о согласии записывается с отметками времени.
- Сертифицированная Google CMP: соответствует требованиям Google для показа рекламы в ЕЭЗ.
- IAB TCF 2.3: действительные строки согласия для программатической рекламы.
- Consent Mode V2: нативная интеграция с Google для непрерывности измерений.
- 43 языка: автоматическая локализация для глобальных посетителей.
- Геотаргетинг: баннеры, соответствующие региону, для GDPR, CCPA, LGPD и других.