Введение

Privacy-режим в периметре SwiftRide — самый зрелый по возрасту (GDPR с 25 May 2018) и самый фрагментированный по geography (EU + UK + US state-by-state + LATAM LGPD + DPDP India + SEA + MENA). Кумулятивные штрафы GDPR в EU превышают EUR 7.1B с 2018; в 2024–2025 — TikTok EUR 530M (May 2025) и Meta EUR 1.2B (May 2023) — крупнейшие single fines в истории. Privacy = регуляция с наивысшей enforcement velocity в портфеле SwiftRide.

Этот урок — фиксация текущего state на May 2026: ядро GDPR, шортлист EDPB guidelines (Op 22/2024, GL 1/2024, Op 28/2024, GL 01/2025, draft DPIA template Apr 2026), международные передачи post-Latombe, EU Data Act applying, DPDP India phasing in, и матрица US state как мозаика 20 юрисдикций.

GDPR core — состояние enforcement 2024–2025

Source: Regulation (EU) 2016/679.

Effective: Applicable с 25 May 2018; нет поправок к operative articles в 2024–2026. Предложение Commission «GDPR simplification» вошло в pipeline в 2025 (материальных изменений пока нет).

Заметные штрафы 2024–2025

• TikTok (DPC Ireland, 2 May 2025) — EUR 530M total (EUR 485M Art. 46(1) за неадекватные safeguards передачи EEA-China + EUR 45M Art. 13(1)(f) — нарушение transparency). DPC обязал привести transfers в соответствие Chapter V в течение 6 месяцев, с suspension как fallback. TikTok позже раскрыл (Feb 2025), что ограниченные данные EEA users фактически хранились на китайских серверах.
• Meta — EUR 1.2B (DPC Ireland, May 2023) за Art. 46(1) — крупнейший единичный штраф GDPR.
• DSA cross-cutting actions (Oct 2025) против Meta + TikTok — потенциальные штрафы до 6% global turnover. DSA, не GDPR, но overlap с data-governance — material.

Ключевые статьи для data engineer

• Art. 5 — Principles (lawfulness, fairness, transparency; purpose limitation; data minimisation; accuracy; storage limitation; integrity + confidentiality; accountability).
• Art. 6 — Lawful basis (consent, contract, legal obligation, vital interests, public interest, legitimate interest).
• Art. 9 — Special categories (расовое / этническое происхождение, political opinions, религия, trade union, биометрия для идентификации, health, sex life / orientation).
• Art. 30 — Records of Processing Activities (ROPA) — обязательная документация.
• Art. 33-34 — Breach notification (72 ч. supervisor, без undue delay — subject).
• Art. 35 — DPIA (обязательно для high-risk processing).
• Art. 46 — Safeguards международных передач.

EDPB guidelines — шортлист 2024–2026

EDPB index.

Art. 30 ROPA — текущие ожидания

Каждый controller / processor ведёт written / electronic ROPA:

• Цели обработки.
• Категории data subjects.
• Категории данных.
• Получатели.
• Retention schedule.
• Международные передачи + safeguards.
• Technical + Organisational Measures (TOMs).

EDPB связывает качество ROPA с осуществимостью DSAR, breach notification (Arts. 33-34).

Релевантность CDE: ROPA = канонический инвентарь, от которого CDE register наследует; каждая категория записей в ROPA = CDE candidate.

Применение в SwiftRide: ROPA per бизнес-юнит (Rides, Delivery, Marketplace, SwiftPay, SwiftCapital, SwiftAds) + per цель обработки. T0 — partial coverage; цель T+6M — полный ROPA с автоматической связью с датасетами OpenMetadata + DSAR-ready data extracts.

DPIA — текущие триггеры

Sources: GDPR Art. 35 + WP248 + national DPA blacklists + draft EDPB DPIA template Apr 2026.

Триггеры (Art. 35(3) + 9 критериев WP248 — ≥2 обычно требуют):

1. Systematic + extensive profiling (с legal / similarly significant effect).
2. Large-scale special-category data.
3. Systematic monitoring (например, public spaces).
4. Matching / combining datasets.
5. Vulnerable subjects (дети, сотрудники).
6. Innovative-use technology.
7. Препятствует осуществлению права.
8. Large-scale (data subjects).
9. (Совмещённые high-risk индикаторы.)

Эволюция 2024–2025: обучение AI-моделей (scraping public data) — всё чаще в national DPA «must-DPIA» categories. Opinion 28/2024 фактически обязывает DPIA для high-risk AI.

Список приоритета DPIA для SwiftRide:

• KYC biometric matching (Art. 9 + innovation + large-scale → triple-trigger).
• Surge multiplier pricing engine (systematic profiling + large-scale).
• Credit-scoring SwiftCapital (автоматическое принятие решений Art. 22 + financial-significance + vulnerable subjects).
• Процесс background-check водителей.
• Geolocation profiling.

International transfers — DPF, SCC 2021, TIA

EU-US Data Privacy Framework

Source: Implementing Decision (EU) 2023/1795. Adequacy decision 10 Jul 2023.

Статус (May 2026): Первое судебное оспаривание dismissed General Court 3 September 2025 (Case T-553/23 Latombe). Апелляция подана 31 Oct 2025; CJEU может вынести решение в 2026–2027. NOYB / Schrems продолжают параллельный «Schrems III» civil-law маршрут. Относиться к DPF как к currently valid с обязательством мониторинга потенциальных решений CJEU.

Standard Contractual Clauses (Commission Decision (EU) 2021/914)

В силе с 27 Jun 2021. Section III clause 14 = мандат TIA. Legacy SCCs 2010 retired 27 Dec 2022.

Ожидания TIA:

• CNIL Practical Guide (Jan 31, 2025) — самый actionable.
• EDPB Recommendations 01/2020 — authoritative.

TIA = Transfer Impact Assessment. Задокументированная оценка surveillance law страны назначения + цепочка onward-transfer.

Применение в SwiftRide: TIA per non-EEA destination (US, India для операций SwiftCapital, Singapore для SEA hub и т.д.). Цель T+6M — TIA library в OpenMetadata; автоматически связанная с export-путями CDE.

EU Data Act + EU Data Governance Act

EU Data Act — Reg (EU) 2023/2854: Вступил в силу 11 Jan 2024; applicable c 12 Sep 2025. «Data-by-design» connected products — 12 Sep 2026; cloud-switching fees полностью забанены — 12 Jan 2027; unfair-terms — 12 Sep 2027.

Core: Доступ пользователя к данным, генерируемым IoT; cloud / edge «switching rights» (notice 2 месяца); B2B data-sharing fairness; non-EU providers — EU legal representative.

EU Data Governance Act — Reg (EU) 2022/868: Applicable с 24 Sep 2023. Notification regime для data-intermediation services (Art. 11); структурное отделение от value-added services; регистрация data-altruism organisations.

Релевантность для SwiftRide: EU Data Act = права data-portability потребителя + водителя через мобильное приложение; SwiftAds может trigger data-intermediation obligation, если перепродаёт user data рекламодателям.

DPDP India — Act 2023 + Rules 2025

Source: DPDP Act 2023 (gazette 11 Aug 2023); DPDP Rules 2025 PIB notification (gazette 14 Nov 2025).

Effective dates:

• Foundational provisions + Data Protection Board — немедленно с 14 Nov 2025.
• Большинство operational obligations — +12 месяцев (~Nov 2026).
• Полный режим SDF / consent-manager / cross-border — +18 месяцев = ~13 May 2027.

Significant Data Fiduciary (SDF) — Rule 13

• Обязательный DPO в Индии.
• Annual DPIA + независимый аудит.
• Due diligence алгоритмического ПО.
• Category-specific cross-border restrictions.

Consent framework

Specific, informed, unconditional, unambiguous, free. Consent notices — английский + 22 индийских языка Eighth Schedule. Consent отзываемый; посредники consent-manager зарегистрированы в Data Protection Board.

Cross-border (Rule 15)

Модель «negative-list» — передачи разрешены, кроме notified restricted (списка пока нет на May 2026; полный режим ожидается ~13 May 2027).

Penalties: до INR 250 crore per instance.

Применение в SwiftRide: присутствие SwiftRide в Индии сейчас небольшое, но SwiftAds может таргетить пользователей в Индии; пилот SwiftCapital — в зависимости от выбора стран. Отслеживайте cross-border list DPDP, когда опубликуют; готовность через DPDP-compliant pattern ROPA.

US state privacy — 20 штатов к 2026

К 2026 — 20 штатов США с comprehensive consumer-privacy laws в силе: CA, CO, CT, DE, FL, IN, IA, KY, MD, MN, MT, NE, NH, NJ, OR, RI, TN, TX, UT, VA.

Новое в 2026: Indiana (1 Jan 2026), Kentucky (1 Jan 2026), Rhode Island (1 Jan 2026); Minnesota (31 Jul 2025 — enforcement созрел в 2026).

California — CCPA / CPRA + ADMT

Source: California Civil Code §1798.100 et seq.; CPPA regulations.

Регуляции ADMT + Risk Assessment + Cybersecurity Audit:

• OAL одобрил 22 Sep 2025; effective 1 Jan 2026.
• Операционные обязательства ADMT начинаются 1 Jan 2027.
• Pre-use notices + risk assessments для ADMT в significant decisions начинаются 1 Apr 2027.

Определение ADMT: технология, обрабатывающая PI и использующая computation для замены или существенной замены human decision-making.

«Significant decisions» = finances, housing, education, employment, healthcare (НЕ advertising).

Pre-use notice, opt-out, access right, human appeal — обязательны для ADMT в significant decisions.

Texas TRAIGA

Texas Responsible AI Governance Act — effective 1 Jan 2026 — cross-sector AI obligations. Disclosure при использовании AI в consumer interactions; risk-management framework.

Maryland MODPA

Effective 1 Oct 2025. Самая строгая в US data-minimisation («reasonably necessary and proportionate»); flat ban на sensitive-data без consent. Флаг anti-pattern: многие vendor SaaS apps не удовлетворяют требованиям minimisation MODPA out-of-box.

Minnesota MCDPA

Effective 31 Jul 2025. Права на оспаривание profiling-decision — жители Миннесоты могут оспаривать automated decisions; credit scoring SwiftCapital столкнётся с этим.

NYHIPA

Vetoed Governor Hochul в декабре 2025 (поправка: не январь 2025; небольшая factbook-коррекция). Reintroduced в феврале 2026 как S9269 Sen. Liz Krueger. Уточняет определение RHI, расширяет «strictly necessary» processing, исключает SAMHSA Part 2 records / clinical trial data / FDA-regulated / некоторые public-health функции. Не закон на May 2026 — на рассмотрении комитета.

APRA (federal)

Статус: Draft H.R. 8818 представлен 25 Jun 2024; markup отменён; expired sine die в Jan 2025, не reintroduced на May 2026. Следствие: нет federal pre-emption — state-by-state matrix продолжается.

Anti-patterns

1. «Dismissal DPF в Latombe означает, что DPF safe forever» — Latombe dismissed на General Court 3 Sep 2025; appeal lodged 31 Oct 2025; outcome CJEU 2026–2027 неизвестен. Параллельный маршрут Schrems III. Относиться к DPF как «valid + actively challenged».
2. «Одна privacy policy на все US states» — 20 разных state laws с непересекающимися требованиями (MODPA minimisation строжайший; CPPA — ADMT-specific; TRAIGA — AI-specific). Единая policy = compliance gaps. Per-state addendums или jurisdiction-aware policy.
3. «Pseudonymisation делает данные non-personal» — per EDPB GL 01/2025: pseudonymised данные = personal data, когда re-identification возможен. Только tokenisation недостаточно; полная anonymisation требует irreversibility (k-anonymity, differential privacy, агрегация).
4. «DPIA нужна только для AI» — 9 критериев WP248 + Art. 35(3); AI — один триггер; profiling, large-scale special-category, vulnerable subjects и т.д. = независимые триггеры.

Резюме

• GDPR — applicable с 25 May 2018; cumulative штрафы >EUR 7.1B; headlines 2024–2025 — TikTok EUR 530M, Meta EUR 1.2B.
• Шортлист EDPB 2024–2026 — Op 22/2024 (processors), GL 1/2024 (legitimate interest), Op 28/2024 (AI models, taint training data), GL 01/2025 (pseudonymisation), draft DPIA template Apr 2026.

• Art. 30 ROPA — канонический инвентарь; CDE register наследует.
• Триггеры DPIA — 9 критериев WP248, ≥2 обычно требуют; обучение AI всё чаще mandatory.
• International transfers — Latombe DPF dismissed 3 Sep 2025 (appeal 31 Oct 2025); мандат SCC 2021 + TIA.
• EU Data Act apply 12 Sep 2025; EU DGA apply 24 Sep 2023.
• DPDP India — Rules 2025 gazetted 14 Nov 2025; полный режим ~13 May 2027; «negative list» cross-border pending.
• Матрица US state 2026 — 20 штатов; CA CPPA ADMT (effective 1 Jan 2026); TX TRAIGA (1 Jan 2026); MD MODPA (1 Oct 2025); MN MCDPA (31 Jul 2025); NYHIPA vetoed Dec 2025 + S9269 Feb 2026.
• Нет federal pre-emption — APRA expired sine die Jan 2025.