Проект поправок к GDPR: предложения Еврокомиссии по изменению регулирования персональных данных

26.01.2026

19 ноября 2025 года в рамках инициативы Digital Omnibus Европейская комиссия представила проект поправок к Регламенту ЕС 2016/679, известному как Общий регламент защиты персональных данных (далее – GDPR). 

Ранее мы делали обзор предложений Еврокомиссии по внесению изменений в EU AI Act, однако сейчас рассмотрим, какие системные изменения предлагаются в GDPR и как они могут повлиять на деятельность компаний в сфере персональных данных.

1. Дополнения в определение «персональных данных» 

Ранее по смыслу GDPR к персональным данным относилась любая информация, позволяющая идентифицировать субъекта данных (ст. 4 GDPR). 

Однако предлагаемые поправки меняют подход: информация не будет считаться персональными данными для юридического лица, если у него отсутствуют средства, которые с достаточной вероятностью могут быть использованы для идентификации физического лица, к которому относится эта информация. 

Псевдонимизированные данные

Поправки также затрагивают режим псевдонимизированных данных:

•    Еврокомиссия сможет устанавливать критерии, по которым будет оцениваться, считаются ли такие данные персональными для определённых категорий организаций;
•    если компания применяет утверждённые методы и может доказать невозможность повторной идентификации, такие данные в отдельных случаях могут перестать квалифицироваться как персональные.

2. Включение положений об искусственном интеллекте

Ранее GDPR практически не регулировал обработку данных в контексте ИИ (за исключением ст. 22), настоящий проект поправок направлен на согласование положений GDPR с EU AI Act.

Основные предложения Еврокомиссии

Еврокомиссия внесла следующие предложения, которые направлены на разъяснение обстоятельств, при которых персональные данные могут обрабатываться для деятельности, связанной с ИИ:  

• Дополнение GDPR новой статьей 88(c), которая позволит разработчикам систем и моделей ИИ правомерно ссылаться на законный интерес (как на правовое основание обработки) при обработке персональных данных в контексте разработки и использования ИИ. Однако такая обработка должна осуществляться в соответствии с необходимыми организационными и техническими мерами, а также гарантиями соблюдения прав и свобод субъекта данных.
• Изменения ст. 9 GDPR об обработке специальных категорий данных. Новые поправки запрещают использование специальных категорий данных для разработки и использования систем. 

Контролёры будут обязаны:

• выявлять такие данные в наборах данных для обучения, тестирования и валидации;
• удалять их при обнаружении;
• документировать принятые меры.

3. Смягчение и унификация отдельных обязательств по защите данных 

Еврокомиссия предлагает пересмотреть несколько практических обязательств по защите данных, включая запросы субъектов данных на доступ (далее – DSAR), уведомления об утечке персональных данных и проведение оценки воздействия на защиту данных (далее – DPIA).

• В отношении DSAR контролеру предоставляется право отказать субъекту данных в ответе на запрос или потребовать за такой ответ разумную плату, если субъект злоупотребляет предоставленными правами в целях, не связанных с защитой его данных. Однако объем этого исключения остается неопределенным.
• В отношении уведомлений об утечках персональных данных: 

1.  устанавливается более высокий порог для уведомления уполномоченных органов (только в случаях, когда утечка «может привести к высокому риску для прав и свобод физических лиц»); 
2.  увеличивается срок уведомления уполномоченного органа с 72 до 96 часов. Разработка унифицированного образца уведомления, а также подготовка списка обстоятельств «высокого риска» возлагается на Европейский совет по защите данных (далее – EDPB); 
3.  вводится система единого входа для направления уведомлений об инцидентах.

• В отношении DPIA будет произведена гармонизация требований: EDPB составит унифицированные списки видов деятельности по обработке данных, требующих или не требующих проведения такой оценки, а также разработает стандартный шаблон и методологию DPIA.

Таким образом, изменения GDPR направлены на гармонизацию и упрощение требований по защите персональных данных, а также на стандартизацию подхода к защите персональных данных в государствах-членах ЕС.

Ознакомиться с полным текстом проекта поправок к GDPR можно по ссылке.

 

Авторы: Людмила Епихова, Александра Маглыш.

---

При возникновении вопросов команда юристов REVERA готова проконсультировать в части защиты персональных данных и ИИ-регулирования в соответствии с требованиями GDPR.