К тому времени, как вы закончите читать это предложение, где-то в Соединенных Штатах потребитель нажмет кнопку «Не продавать и не передавать мою личную информацию». Если ваш бизнес управляет веб-сайтом, запускает рекламу или хранит адреса электронной почты клиентов, этот единственный клик уже может накладывать на вас обязательства в соответствии с одним или несколькими из двадцати комплексных законов штатов о конфиденциальности, действующих сейчас по всей стране — и большинство владельцев малого бизнеса об этом даже не подозревают.
Закон Техаса о конфиденциальности и безопасности данных (TDPSA) вступил в силу 1 июля 2024 года, и Техас стал самым густонаселенным штатом, который наконец принял комплексный закон о конфиденциальности. Но TDPSA — не единственная история. По состоянию на 2026 год в двадцати штатах действуют комплексные законы о конфиденциальности потребителей, двенадцать штатов требуют признания универсальных сигналов отказа, таких как Глобальный контроль конфиденциальности (GPC), и три совершенно новых закона — в Индиане, Кентукки и Род-Айленде — вступили в силу 1 января 2026 года. Периоды исправления нарушений (cure periods), которые давали законам первых штатов возможность адаптации, постепенно прекращают свое действие в течение 2026 года, а это означает, что правоприменение станет более жестким.
Это руководство объясняет, что вам на самом деле нужно сделать в 2026 году, чтобы не допустить регуляторов к своей двери, не покупая при этом программу конфиденциальности за пятьдесят тысяч долларов, которая вам не нужна.
Почему Техас важнее, чем вы думаете
В законе Техаса о конфиденциальности есть одна особенность, которая отличает его от законов любого другого штата: ему неважно, сколько денег вы зарабатываете или сколько записей храните. Его волнует только то, соответствуете ли вы определению малого бизнеса Управления по делам малого бизнеса США (SBA) — как правило, это менее 500 сотрудников с ограничениями по выручке в зависимости от отрасли.
Большинство законов штатов о конфиденциальности (CCPA в Калифорнии, VCDPA в Вирджинии, CPA в Колорадо, CTDPA в Коннектикуте) связывают применимость с числовыми порогами: 100 000 потребителей или 25 000 потребителей, если более половины вашего дохода поступает от продажи личных данных, или годовой валовой доход более 25 миллионов долларов. TDPSA отбрасывает эти пороги.
Это создает странную инверсию. Средняя SaaS-компания из Техаса с 600 сотрудниками и скромной выручкой может быть полностью подотчетна TDPSA, в то время как калифорнийский стартап с высоким доходом и 30 сотрудниками может быть освобожден по порогу SBA, но подотчетен по тесту выручки CCPA. Если вы ведете бизнес в обоих штатах, вы не можете выбрать тот, который вам больше нравится — вы должны соблюдать закон того штата, к которому относится потребитель, подающий запрос.
Исключение для конфиденциальных данных в TDPSA, которого на самом деле нет
Здесь кроется подвох. Даже если ваш бизнес квалифицируется как малый бизнес по стандартам SBA и в остальном освобожден от TDPSA, вы все равно должны получить согласие потребителя перед продажей конфиденциальных личных данных. Таким образом, «освобожден» не означает «делай что хочешь». Если вы продаете адреса электронной почты, связанные с интересами в сфере здравоохранения, религиозной принадлежностью, точным местоположением или биометрическими идентификаторами, вам необходимо получить предварительное согласие (opt-in), независимо от размера бизнеса.
Карта комплаенса в 20 штатах
К 2026 году комплексные законы о конфиденциальности действуют или вот-вот вступят в силу в следующих штатах: Калифорния, Вирджиния, Колорадо, Коннектикут, Юта, Айова, Индиана, Теннесси, Монтана, Орегон, Техас, Делавэр, Нью-Гэмпшир, Нью-Джерси, Кентукки, Миннесота, Мэриленд, Род-Айленд, Небраска и Мэриленд (Закон о конфиденциальности данных в Интернете).
Большинство этих законов следуют структуре «модели Вирджинии»: права на доступ, исправление, удаление, перенос и отказ, а также обязательства контроллера в отношении уведомления, минимизации данных и ограничений на обработку. Калифорния стоит особняком со своим CCPA/CPRA, который охватывает более широкие права сотрудников и B2B-сектор, а также имеет уникальные требования к аудиту кибербезопасности и регулированию автоматизированного принятия решений.
Практический вывод: стройте систему под самый строгий общий знаменатель, а не для каждого штата в отдельности. Программа конфиденциальности, настроенная в соответствии с требованиями Калифорнии, Колорадо и Техаса, охватит обязательства по всем остальным 17 законам штатов.
Права потребителей, которые вы должны соблюдать в течение сорока пяти дней
Почти во всех законах штатов потребители имеют одни и те же основные права:
- Доступ — они могут спросить, какие личные данные о них вы храните.
- Исправление — они могут потребовать исправить неточные данные.
- Удаление — они могут потребовать удаления своих данных (за исключением случаев юридического удержания, предотвращения мошенничества, внутреннего использования).
- Переносимость — они могут потребовать копию данных в машиночитаемом формате.
- Отказ от продажи, целевой рекламы и профилирования — три отдельных права на отказ, объединенных в большинстве штатов.
Большинство законов дают вам 45 дней на ответ с возможностью продления еще на 45 дней, если это обоснованно необходимо. Калифорнийский CCPA дает 45 дней с продлением на 45 дней. Техас дает 45 дней с продлением на 45 дней. Вам нужен рабочий процесс аутентифицированных запросов, который принимает, проверяет, выполняет и регистрирует запросы — и он должен масштабироваться, чтобы не ограничиваться одним перегруженным юридическим почтовым ящиком.
Что означает «аутентифицированный» на практике
Вы не можете просто принимать запрос на веру. Если кто-то пишет по электронной почте «удалите все мои данные», вы должны убедиться, что этот человек действительно является субъектом данных. Распространенные подходы к проверке включают:
- Подтверждение запроса через вход в учетную запись.
- Сопоставление предоставленной информации с записями в системе.
- Отправка письма с подтверждением и одноразовым кодом.
- Требование нотариально заверенного письменного заявления для запросов с высоким риском (редко; зарезервировано для случаев, когда потеря данных была бы катастрофической).
Отсутствие аутентификации создает два риска: вы удаляете данные для самозванца (атака через удаление) или раскрываете персональные данные не тому лицу (нарушение конфиденциальности). И то, и другое является нарушением.
Global Privacy Control: единый сигнал браузера, запускающий действие десятка законов
Самым важным техническим изменением в области комплаенса на 2026 год является Global Privacy Control (GPC). Это сигнал на уровне браузера, который автоматически сообщает каждому веб-сайту, посещаемому пользователем: «Я отказываюсь от продажи или передачи моей персональной информации».
К 1 января 2026 года двенадцать штатов потребуют от компаний признавать GPC как действительный запрос на отказ: Калифорния, Колорадо, Коннектикут, Монтана, Небраска, Нью-Гэмпшир, Нью-Джерси, Миннесота, Мэриленд, Делавэр, Орегон и Техас. Некоторые из этих штатов прямо указали GPC; другие просто требуют признания любого «универсального механизма отказа», и GPC является основной реализацией.
Что это означает технически: ваш веб-сайт должен считывать HTTP-заголовок Sec-GPC (или эквивалент navigator API) при каждом запросе, и при обнаружении сигнала прекращать продажу данных, кросс-контекстную поведенческую рекламу и передачу данных — без каких-либо запросов к пользователю. Никаких куки-баннеров. Никаких дополнительных кликов. Просто прекратите передачу.
Калифорния добавила требование к отображению в 2026 году: предприятия должны наглядно указывать, был ли обработан сигнал предпочтения пользователя об отказе. Индикатор «Запрос на отказ принят» (Opt-Out Request Honored) на странице становится зарождающимся стандартом. Пропустите это, и регулятор (или серийный истец) сможет заявить, что вы не предоставили уведомление о принятии отказа.
Ловушка конвейера рекламных технологий
Здесь большинство компаний терпят неудачу. Соблюдение GPC на уровне страницы — это просто. Соблюдение его во всем вашем стеке рекламных технологий — Google Ads, Meta Pixel, TikTok Pixel, LinkedIn Insight Tag, каждый поставщик динамического ретаргетинга — это сложно. У каждого из этих поставщиков есть свой собственный флаг отказа, сигнал или параметр пикселя, который вы должны установить при обнаружении GPC. Пропустите один, и вы продолжите делиться данными с этим поставщиком в нарушение закона штата.
Аудируйте ваш менеджер тегов. Для каждого поставщика, работающего на вашем сайте, задокументируйте, как он соблюдает GPC. Не верьте маркетинговым заявлениям — тестируйте с помощью браузера с поддержкой GPC и сетевого сниффера.
Конфиденциальные данные: требуется явное согласие (Opt-In)
Почти во всех законах штатов обработка конфиденциальных персональных данных требует явного (активного) согласия. Конфиденциальные данные обычно включают:
- Номера социального страхования, номера водительских прав, номера паспортов, учетные данные финансовых аккаунтов.
- Биометрические данные, используемые для идентификации личности.
- Медицинскую информацию, не подпадающую под действие HIPAA.
- Точное геоположение (часто определяется как радиус в пределах 1750 футов или аналогичный).
- Расовое или этническое происхождение.
- Религиозные убеждения.
- Сексуальную ориентацию, гендерную идентичность.
- Гражданство или иммиграционный статус.
- Персональные данные детей (до 13 лет, иногда до 16 лет).
Согласие должно быть дано добровольно, быть конкретным, информированным и недвусмысленным. Предварительно проставленные галочки не считаются. Объединение согласия с общим принятием условий обслуживания не считается. Скрытые раскрытия информации не считаются. Если вы обрабатываете конфиденциальные данные, вам нужен выделенный процесс получения согласия с четкими формулировками и записью того, как, когда и где было получено согласие.
Соглашения об обработке данных: контракты с поставщиками теперь обязательны для комплаенса
Закон о конфиденциальности каждого штата требует, чтобы компании, передающие персональные данные сторонним поставщикам (называемым «обработчиками» или «сервис-провайдерами»), подписывали письменный контракт — Соглашение об обработке данных (Data Processing Agreement, DPA), регулирующее эти данные.
Соответствующее требованиям DPA в 2026 году должно:
- Указывать характер, цель и продолжительность обработки.
- Определять типы данных и категории вовлеченных потребителей.
- Обязывать обработчика соблюдать конфиденциальность.
- Требовать от обработчика содействия в выполнении запросов о правах потребителей.
- Требовать от обработчика удаления или возврата данных по окончании срока действия контракта.
- Разрешать аудит и требовать соблюдения обязательств субподрядчиками (subprocessors).
- Ограничивать трансграничную передачу и налагать обязательства по обеспечению безопасности.
Если вы используете SaaS-инструменты — Stripe, HubSpot, Mailchimp, Intercom, Slack, AWS, Google Workspace — вам необходимо иметь подписанные DPA со всеми ними. Большинство крупных поставщиков предлагают DPA в формате «клик-соглашения». Проблемы возникают с нишевыми инструментами, фрилансерами, подрядчиками и разовыми интеграциями, которые никто не считал «поставщиками».
Оценка воздействия на защиту данных: когда нужно документировать риски
Большинство законов штатов требуют проведения Оценки воздействия на защиту данных (Data Protection Assessments — по иронии судьбы, та же аббревиатура DPA) для действий по обработке, представляющих повышенный риск. К таким действиям относятся:
- Обработка для таргетированной рекламы.
- Продажа персональных данных.
- Профилирование, которое влечет за собой юридические или иные значимые последствия.
- Обработка конфиденциальных данных.
- Любая обработка, представляющая повышенный риск причинения вреда.
Техас, Вирджиния, Колорадо, Коннектикут и другие штаты требуют проведения таких оценок. Оценка должна взвешивать выгоды для контролера, потребителя, общественности и обработчика по сравнению с рисками для потребителя с документированием мер по их снижению. Храните их в архиве. Регуляторы могут затребовать их в ходе расследования.
Обрыв периода исправления: почему 2026 год будет другим
Первые законы штатов о конфиденциальности включали положения о «праве на исправление» — 30- или 60-дневный льготный период после того, как регулятор выдавал уведомление о нарушении, в течение которого компания могла устранить проблему до наложения штрафа. Это задумывалось как «вспомогательные колеса» для адаптации бизнеса.
В 2026 году эти колеса снимаются. Периоды исправления утрачивают силу в течение 2026 года в Коннектикуте, Делавэре, Кентукки, Миннесоте и Монтане. В новом законе Род-Айленда период исправления изначально не был предусмотрен. В Калифорнии срок действия такого периода истек несколько лет назад.
Техас сохранил свой 30-дневный период исправления без ограничения срока действия, что является необычайно щедрым шагом. Но штрафы после этого 30-дневного окна составляют до 7 500 долларов за каждое нарушение. В исках о защите конфиденциальности потребителей «за нарушение» часто означает «за каждого затронутого потребителя» — умножьте это на вашу базу клиентов, и цифры быстро станут пугающими.
Связь комплаенса в сфере конфиденциальности с вашей бухгалтерией
Соблюдение требований конфиденциальности затрагивает финансы больше, чем осознает большинство операторов. В частности, это касается трех областей:
Распределение затрат на вендоров. Вендоры по комплаенсу — платформы управления согласием (CMP), инструменты выполнения запросов субъектов данных (DSAR), сервисы верификации личности, гонорары юристов по вопросам конфиденциальности — это операционные расходы, которые следует отслеживать отдельно. Это позволит вам отчитываться о стоимости комплаенса перед советом директоров и принимать решения о возврате инвестиций (ROI): какие законы соблюдать с избытком, а где принимать риски.
Резерв на случай утечки. Большинство законов штатов не требуют явно выделять средства на случай потенциальных утечек, но если вы обрабатываете конфиденциальные данные в больших масштабах, создание резерва по условным обязательствам — признак хорошего тона. Даже небольшие утечки влекут за собой расходы на уведомление, предложения по мониторингу кредитной истории и оплату судебно-технической экспертизы, которые могут исчисляться шестизначными суммами.
Документация для страхования. Страховщики киберрисков при продлении полиса все чаще требуют документацию по вашей программе конфиденциальности: письменные политики, реестр соглашений об обработке данных (DPA), результаты тестирования внедрения GPC, журналы ответов на запросы DSAR. Поддержание чистоты записей может существенно повлиять на размер страховых премий.
Точный бухгалтерский учет с четким планом счетов, в котором разделены расходы на комплаенс, затраты на вендоров и резервы на реагирование на инциденты, делает ежегодные обзоры бюджета, отчеты совета директоров и продление страховки гораздо менее болезненными.
Практический стек комплаенса на 2026 год
Если вы начинаете с нуля, вот минимально жизнеспособная программа обеспечения конфиденциальности для малого или среднего бизнеса в США на 2026 год:
- Определите, какие законы применимы. Соотнесите вашу клиентскую базу, штат сотрудников и доход с порогами применимости в каждом штате.
- Опубликуйте единое консолидированное уведомление о конфиденциальности, которое удовлетворяет самому строгому из применимых законов. Включите раскрытие информации о конфиденциальных данных, продаже/передаче данных, целях обработки, сроках хранения, правах потребителей и каналах связи.
- Создайте рабочий процесс DSAR. Выберите инструмент (или структурированный процесс с использованием электронной почты и таблиц, если вы — малый бизнес), который принимает, аутентифицирует, выполняет и регистрирует запросы в течение 45 дней.
- Внедрите поддержку GPC. Считывайте сигнал на уровне страницы. Блокируйте вендоров по продаже данных и таргетированной рекламе при получении сигнала. Отображайте индикатор соблюдения отказа от обработки, если у вас есть трафик из Калифорнии.
- Подпишите DPA с каждым вендором. Проведите инвентаризацию всех вендоров. Подпишите соглашение об обработке данных (DPA). Храните его там, где вы сможете его найти.
- Проводите оценки DPA для процессов с высоким риском. Документируйте каждую из них. Сохраняйте их.
- Создайте процесс получения согласия на обработку конфиденциальных данных с явным подтверждением (opt-in) и записью доказательств.
- Задокументируйте вашу программу безопасности. Большинство законов штатов требуют «разумной» безопасности. Разумная безопасность включает в себя письменные политики, контроль доступа, шифрование при передаче и хранении, управление уязвимостями и процедуры реагирования на инциденты.
Типичные ошибки малого бизнеса
- Предположение, что исключение SBA для малого бизнеса полностью освобождает от TDPSA. Это не так — обработка конфиденциальных данных по-прежнему требует согласия.
- Отношение к баннерам cookie как к полноценной программе конфиденциальности. Баннеры — это лишь одна тактика. Они не заменяют процессы DSAR, соглашения DPA или поддержку GPC.
- Игнорирование каскадирования обязательств перед вендорами. Ваши DPA с вендорами должны требовать, чтобы эти вендоры передавали обязательства своим субобработчикам. Большинство типовых DPA включают этот пункт, но прочитайте их перед подписанием.
- Отношение к отказу от обработки данных (opt-out) как к маркетинговому решению. Соблюдение отказа — это законное требование, а не предпочтение. Блокируйте поток данных, даже если это вредит эффективности ретаргетинга.
- Ожидание истечения периода исправления перед началом действий. Если вы получили уведомление о нарушении, у вас есть ограниченное временное окно. Действуйте немедленно, задокументируйте исправление и получите письменное подтверждение от регулятора.
Поддерживайте чистоту записей о комплаенсе с первого дня
По мере создания программы комплаенса в условиях многообразия законов штатов, у вас будут накапливаться счета от вендоров, авансы консультантам, страховые премии и расходы на реагирование на инциденты, которые необходимо отслеживать, классифицировать и отражать в отчетности. Beancount.io предлагает текстовый учет (plain-text accounting), который обеспечивает полную прозрачность и контроль версий ваших финансовых данных. Это делает ежегодные отчеты для совета директоров, продление страховки и анализ стоимости комплаенса значительно проще, чем работа с «закрытым» реестром. Начните бесплатно и узнайте, почему разработчики, финансовые специалисты и операторы, заботящиеся о конфиденциальности, доверяют текстовому учету ведение своих бизнес-книг.