29.05.2026

Кризис GDPR: суды в Европе начали массово отменять штрафы за утечки данных

29 мая 2026 · 6 минут чтения

К восьмой годовщине вступления в силу Общего регламента о защите данных (GDPR) европейская IT-индустрия подошла к парадоксальной ситуации. Общая сумма выписанных за все годы штрафов перешагнула отметку в 7,1 млрд евро. Однако статистика национальных судов Евросоюза за последний год шокирует регуляторов: почти 40% крупных штрафов отменяются или радикально сокращаются в высших инстанциях. Большие технологические корпорации и локальный бизнес научились эффективно отбиваться от обвинений. Разбираемся, почему европейская система защиты данных начала буксовать на юридическом уровне.

Отсутствие доказанного реального ущерба

Большинство штрафов регуляторы выписывали по факту формального нарушения процедур. Однако суды, включая Европейский суд справедливости (ECJ), заняли жёсткую позицию: само по себе нарушение регламента (например, утечка данных) не означает автоматическое право на компенсацию или гигантский штраф. Регулятор обязан доказать, что субъекты данных понесли конкретный физический, материальный или подтверждённый нематериальный ущерб — сильный стресс, финансовые потери, кражу личности. Если этого нет, суды признают штрафы несоразмерными.

Размытость понятия «искусственный интеллект» в GDPR

Регламент принимался в 2016 году, задолго до бума генеративного ИИ. Национальные ведомства пытались штрафовать разработчиков нейросетей (включая кейсы против OpenAI), используя старые нормы о «прозрачности обработки». Юристы технологических компаний успешно доказывают в судах, что архитектура больших языковых моделей (LLM) физически не позволяет применять к ним правила «права на забвение» (удаление конкретных данных) в том виде, как они прописаны для классических баз данных. Суды встают на сторону бизнеса, требуя дождаться полноценного вступления в силу AI Act.

Процессуальные ошибки самих регуляторов

Европейские ведомства по защите данных часто перегружены и спешат с выводами под давлением общественности. Это приводит к грубым нарушениям процесса: нарушается право компаний на защиту (право быть выслушанным), неверно рассчитывается оборот холдингов при определении размера штрафа, отсутствует чёткая методология. Суды отменяют санкции просто потому, что регулятор не смог прозрачно объяснить формулу, по которой насчитал, например, 50 млн евро штрафа.

Конфликт юрисдикций и «форум-шопинг»

Главный офис большинства американских IT-корпораций находится в Ирландии. Местный регулятор традиционно мягче относится к Big Tech, чем регуляторы Франции или Германии. Когда регуляторы других стран пытаются наказать компанию в обход Ирландии, суды отменяют эти решения из-за нарушения принципа «единого окна» (One-Stop-Shop), закреплённого в самом GDPR.

Что это значит для рынка

Для IT-бизнеса наступает эпоха «смелого комплаенса». Компании больше не боятся регуляторов и закладывают бюджеты на судебные апелляции, зная, что шансы отбить штраф в суде крайне высоки. Регуляторы вынуждены снижать количество громких миллиардных штрафов и сосредотачиваться на качестве доказательной базы. Для пользователей реальная защита данных временно ослабевает, так как механика наказания за нарушения завязла в судебных процедурах на годы вперёд.