Компания, которая построила GDPR-комплаенс для ЕС и включила Великобританию в тот же чек-лист “покрыто”, ошибается не в деталях, а в самой предпосылке. UK GDPR - не тот же регламент под другим флагом, а отдельная юрисдикция, которая с 2021 года постепенно расходится с EU GDPR, и в 2025-2026 годах это расхождение стало операционным, а не теоретическим.
Общий фундамент, разные детали
UK GDPR вступил в силу 1 января 2021 года как зеркальная копия EU GDPR: те же шесть принципов обработки данных, те же шесть законных оснований, те же права субъектов данных. По оценке нескольких юридических источников, режимы остаются совпадающими примерно на 90-95% по существу. Проблема в оставшихся 5-10% - именно там живут различия, которые задевают маркетинг, продукт и контракты напрямую, а не абстрактно.
Ключевой сдвиг случился с британским Data (Use and Access) Act 2025 (DUAA), большая часть положений которого вступила в силу с февраля 2026 года. Это не косметическая правка, а точка, где UK GDPR перестал быть предсказуемым подмножеством EU GDPR.
Cookies и legitimate interest: где правила разошлись физически
DUAA расширил категории cookies, которые можно устанавливать без предварительного opt-in: аналитика, улучшение функциональности сайта, безопасность и защита от мошенничества теперь не требуют активного согласия пользователя в Великобритании. В ЕС требование ePrivacy Directive осталось прежним - явное opt-in согласие на любой cookie, который не является строго необходимым.
Это значит, что баннер согласия, настроенный по EU-стандарту, юридически избыточен для британского трафика, а баннер, настроенный по UK-стандарту, недостаточен для трафика из ЕС. Для компании, которая ведёт единую cookie-политику на весь “европейский” сайт, это не теоретический риск, а конкретная задача: сегментировать логику согласия по юрисдикции посетителя, а не по языку сайта.
Похожая история с legitimate interest как основанием для директ-маркетинга. DUAA прямо закрепил прямой маркетинг в списке видов обработки, которые могут опираться на legitimate interest, при этом полная оценка баланса интересов (LIA) всё равно обязательна. В EU GDPR формально то же основание применяется, но без такой явной кодификации в законе - на практике это означает разную степень юридической определённости для одной и той же email-кампании, отправленной из UK-офиса и из офиса в ЕС.
Автоматизированные решения: разный дефолт для лид-скоринга
Для B2B-команд, которые используют автоматизированный скоринг лидов или AI-модели для приоритизации сделок, разница ощутима напрямую. Статья 22 EU GDPR по умолчанию запрещает решения, основанные исключительно на автоматизированной обработке, если они влекут значимые последствия для человека, и требует ручной проверки. DUAA заменяет этот запрет по умолчанию правом запросить пересмотр решения человеком постфактум. Практически это означает, что автоматизированный отсев лидов или скоринг заявок, который в ЕС требует встроенного механизма ручной проверки заранее, в Великобритании допустим без него - при условии, что путь к пересмотру предусмотрен.
Регулятор и обращения субъектов данных
DUAA заменяет ICO как единоличного уполномоченного на Information Commission - коллегиальный орган с председателем и комиссарами, переход происходит в течение 2026 года. Параллельно расширены основания для отказа или взимания платы за “необоснованные или чрезмерные” запросы на доступ к данным (DSAR) - критерии в Великобритании шире, чем в ЕС. Для маркетинг-команд это означает разную скорость и разную стоимость обработки запросов от одних и тех же контактов в CRM, в зависимости от того, к какой юрисдикции отнесена запись.
Адекватность есть, но она не окончательная
19 декабря 2025 года Еврокомиссия подтвердила решение об адекватности для Великобритании на шесть лет - до декабря 2031 года, с промежуточным пересмотром через четыре года. Это хорошая новость для трансграничной передачи данных: перенос данных между ЕС и UK пока не требует дополнительных механизмов вроде Standard Contractual Clauses. Но решение прямо связано с тем, что британское законодательство после DUAA всё ещё признано “по существу эквивалентным” - Еврокомиссия явно оставила за собой промежуточный контроль. Юристы, которые ведут комплаенс для обеих юрисдикций, сходятся в одном практическом правиле: соответствие EU GDPR обычно покрывает и требования UK GDPR, но обратное не гарантировано - продукт или контракт, спроектированный под британские нормы, нельзя автоматически считать годным для ЕС.
Почему это не только вопрос юристов
Расхождение регуляторики - не единственная причина не относиться к Великобритании как к очередному рынку ЕС. Исследования влияния GDPR-совместимого таргетинга на рекламную выдачу показывают ощутимую цену: по одной из академических оценок, ограничения персонализированного таргетинга после GDPR обошлись рекламному рынку ЕС примерно в 17% годовой рекламной выручки. Цифра относится к общему эффекту GDPR, а не к специфике UK, но она иллюстрирует масштаб: правила таргетинга и согласия - это не формальность для юротдела, а прямой фактор охвата и стоимости лида.
На этом фоне тезис “просто переведите сообщение на британский английский” не работает. B2B-бренды, которые формулируют сообщение отдельно для UK-аудитории - с учётом её собственной регуляторной риторики, кейс-стади и точек боли, а не как копию EU-контента с заменой валюты на фунты, стабильно показывают более высокое доверие и вовлечённость, чем бренды, которые ведут “Европу” одним потоком контента.
Практический вывод
Разделите UK и EU не только в юридической документации, но и в операционных настройках: cookie-consent логику, критерии LIA для email-кампаний, процесс review для автоматизированного скоринга лидов, SLA на обработку DSAR. Считать британский рынок покрытым тем же чек-листом, что и Германия или Франция, - это не экономия времени, а перенос юридического и репутационного риска на более поздний и более дорогой момент.
Источники: ICO - The Data Use and Access Act 2025, Clifford Chance - Key aspects of the DUA Act take effect, European Commission - Renewal of UK adequacy decisions, The Register - EU offers UK data adequacy until 2031, Vucense - UK GDPR vs EU GDPR 2026, George Mason University - The Early Impact of GDPR Compliance on Display Advertising.