KMCO HOLLAND
TAX & FINANCE

GDPR в Нидерландах для бизнеса: обязанности, документы и практический минимум

Дисклеймер: материал носит информационный характер и не является индивидуальной юридической консультацией. Для оценки вашего случая нужны вводные данные (вид деятельности, каналы сбора данных, страны клиентов/сотрудников, подрядчики, ИТ-контур).

GDPR в Нидерландах: с чего начать и почему это важно бизнесу

Если ваша компания в Нидерландах собирает или использует персональные данные (клиенты, лиды с сайта, сотрудники, кандидаты, подписчики рассылок, посетители с cookies/аналитикой), то у вас, как правило, возникает набор обязанностей по GDPR (в Нидерландах часто используют термин AVG). Надзорным органом в Нидерландах является Autoriteit Persoonsgegevens (AP).

В практическом смысле GDPR — это не “один документ на сайте”, а комплект прозрачности + процессов + договоров с подрядчиками + мер безопасности, которые вместе снижают риски претензий, утечек и организационных потерь.

Кому GDPR актуален (типовые ситуации)

GDPR затрагивает большинство компаний, если есть хотя бы один из контуров:

  • Сайт с формами (заявки, обратный звонок, регистрация, чат-виджет).
  • Маркетинг и аналитика (cookies, пиксели, трекинг, ремаркетинг, поведенческая реклама).
  • CRM / базы клиентов (контакты, сделки, история коммуникаций).
  • HR-контур (резюме, анкеты, документы сотрудников).
  • Подрядчики (хостинг, email-сервисы, коллтрекинг, бухгалтерия, HR-платформы, облака).

Роли и ответственность: кто вы — controller или processor

Одна из ключевых точек, с которой начинается порядок, — понять роли:

  • Controller (контролёр) — вы определяете “зачем и как” обрабатываются данные (цели и средства).
  • Processor (обработчик) — вы обрабатываете данные по поручению контролёра (обычно подрядчик/платформа).
Почти всегда бизнес одновременно является controller по данным клиентов/лидов/сотрудников и одновременно использует подрядчиков, которые выступают processors.

Это важно, потому что далее появляется обязанность корректно оформить отношения с подрядчиками (см. DPA ниже) и выстроить процессы.

Практический минимум: какие документы и артефакты должны быть у компании

.

Ниже — минимальный “рабочий набор”, который чаще всего ожидают увидеть при проверке/споре/инциденте.

1) Privacy notice / политика конфиденциальности

.
Цель: прозрачно объяснить, какие данныезачемна каком основаниисколько хранитекому передаёте, и как реализуются права человека.

Минимум, который должен быть отражён:

  • категории данных (контактные, договорные, техданные, HR и т.п.)
  • цели обработки
  • категории получателей (подрядчики)
  • сроки хранения (логика retention)
  • права субъекта данных и канал обращения
  • контакт для вопросов/жалоб

2) Cookie notice + механика согласий (если есть трекинг/маркетинг)

.
Если вы используете cookie/пиксели/скрипты аналитики и маркетинга, важно обеспечить корректную механику уведомления и, где нужно, управление согласием (consent). Здесь часто “ломаются” даже хорошие сайты: баннер есть, но реального управления категориями нет, либо скрипты грузятся до согласия.

3) DPA / договор(ы) с обработчиками данных

.
Если у вас есть подрядчики, которые обрабатывают персональные данные по поручению (хостинг, CRM, рассылки, коллтрекинг), на практике нужен договорной контур (часто называют DPA). Он фиксирует роли, обязанности, меры защиты, порядок инцидентов и субподрядчиков.

4) Реестр обработок (RoPA) — Article 30

.
GDPR предусматривает документирование обработок (record of processing activities) по статье 30 — это один из центральных элементов accountability. gdpr-info.eu

На практике это таблица/реестр, где по каждому процессу фиксируются:

  • цель обработки
  • категории данных и субъектов
  • получатели/подрядчики
  • сроки хранения
  • общие меры безопасности

5) Процедуры: права субъектов данных и “как отвечаем”

.
GDPR предполагает, что человек может обратиться с запросом (доступ, исправление, удаление и т.д.). Нужна внутренняя процедура:

  • кто принимает запрос
  • как идентифицируем заявителя
  • где ищем данные (сайт/CRM/почта/облака)
  • как отвечаем и фиксируем результат

6) Информационная безопасность (минимум организационных мер)

.
GDPR — не только про “бумаги”. Важно показать разумные меры:

  • разграничение доступов (кто видит CRM/HR)
  • 2FA и управление паролями
  • контроль устройств/почты
  • резервные копии
  • обучение сотрудников (минимальный инструктаж)

Инциденты и утечки: что важно знать бизнесу

.
GDPR содержит обязанность уведомлять надзорный орган о нарушении безопасности персональных данных без неоправданной задержки и, как правило, не позднее 72 часов с момента, когда организация “осознала” факт нарушения, если есть риск для прав и свобод людей. European Commission

Практический вывод для бизнеса:

  • заранее иметь план реагирования (кто отвечает, как фиксируем, какие данные собираем)
  • вести журнал инцидентов
  • иметь контакт подрядчиков (кто сообщает вам о проблемах)
  • Важно: не каждое ИТ-событие = “утечка GDPR”. Критично правильно квалифицировать инцидент и действовать процессно.
СРОЧНЫЙ РАЗБОР СИТУАЦИИ С GDPR
Заявка на аудит

Нужен ли DPO (Data Protection Officer)

.
Не каждой компании нужен DPO, но в ряде случаев назначение DPO становится обязательным — например, если основные виды деятельности включают регулярный и систематический мониторинг в крупном масштабе или обработку специальных категорий данных в крупном масштабеEuropean Commission

Если вы не уверены, относится ли бизнес к таким категориям, обычно достаточно короткого комплаенс-скрининга по фактам: что именно вы трекаете, какие данные собираете, сколько субъектов, какие системы, какие подрядчики.

Топ-10 типовых ошибок компаний (и как их исправлять)

.
  1. “Политика есть, но не соответствует фактическим процессам” → сверка текста с реальными формами/CRM/подрядчиками.
  2. Трекинг включается до согласия → настройка загрузки скриптов по категориям.
  3. Нет DPA с ключевыми подрядчиками → формирование договорного контура.
  4. Нет реестра обработок (RoPA) → завести Article 30 реестр и обновлять при изменениях. gdpr-info.eu
  5. Слишком широкий доступ к данным → роли и доступы, принцип “need-to-know”.
  6. Нет процедуры по запросам субъектов → регламент + шаблоны ответов.
  7. Сроки хранения нигде не определены → политика retention (логика по категориям).
  8. Данные кандидатов/HR живут в почте годами → отдельный HR-контур и правила хранения.
  9. Субподрядчики у processors не контролируются → условия по субпроцессорам в DPA.
  10. Нет плана реагирования на инциденты → минимальный incident response plan + журнал.

Как мы обычно выстраиваем GDPR-контур (процесс)

.
  1. Короткий скрининг (сайт/маркетинг/CRM/HR/подрядчики)
  2. Карта обработок + роли (controller/processor)
  3. Реестр RoPA (Article 30)
  4. Документы прозрачности (privacy/cookie)
  5. DPA с ключевыми подрядчиками
  6. Процедуры (DSAR-запросы, инциденты)
  7. Минимальные меры безопасности и обучение сотрудников

Мы не обещаем “нулевой риск”, но делаем систему управляемой: документы совпадают с процессами, а процессы — с ответственными.

FAQ

.

Читайте в нашем Блоге

Полезные материалы о юридических аспектах деятельности в Нидерландах
Monday, August 11
Уведомление о фактическом доходе инвестиций
Что изменилось в налогообложении Box 3 («налог на богатых») в Нидерландах с 2025 года. Фактический доход (werkelijke rendement), возврат OWR и сроки уведомлений Belastingdienst.
Monday, August 11
Изменения правил налогообложения физических лиц в Нидерландах в 2025 году
Какие изменения внесены в налогообложение физических лиц в Нидерландах с 2025 года. Новые ставки подоходного налога, расчет налоговой базы и социальные программы.
Monday, August 11
Изменения в правилах налогообложения в 2025 году
Какие изменения в налогах вступили в силу в Нидерландах в 2025 году. Новые ставки по Box 1–3, корпоративный налог, льготы для бизнеса, НДС и акцизы.
Monday, August 4
Организационно-правовая форма бизнеса
Какие существуют правовые формы бизнеса в Нидерландах. BV, VOF, фонд, ассоциация и другие варианты. Как выбрать оптимальную структуру для компании.
Monday, August 4
Возможные трудности при открытии корпоративного счета
Узнайте, как открыть корпоративный счет в банке Нидерландов. Требования KYC/AML, риски для нерезидентов, подготовка документов и процедура pre-approval.
Monday, August 4
Налоговые вычеты и финансовое планирование
Узнайте, как получить налоговые вычеты в Нидерландах. Основные категории расходов, особенности подачи декларации, предварительная декларация VA для планирования налогов.