Тест на базовую прозрачность по GDPR провалили 9 из 10 крупных VPN-сервисов. Журналисты TechRadar запросили у компаний копию персональных данных по статье 15 GDPR, но в большинстве случаев не получили ни данных, ни нормального отчёта в срок.
По их методике запросы отправили 5 января 2026 года и дальше вели переписку восемь недель, напоминая тем, кто не отвечал. У всех участников были активные подписки, а запросы оформили по инструкциям из политик приватности самих сервисов.
Что именно проверяли и почему это важно
В TechRadar проверили простую вещь: как VPN-компании выполняют право пользователя на доступ к данным. В GDPR это закреплено в статье 15: компания должна подтвердить обработку данных и предоставить копию персональных данных, если пользователь запросил.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Важный нюанс: VPN может собирать меньше данных о трафике, но совсем без персональных данных подписочный сервис почти не живёт. Обычно остаются идентификаторы вроде e-mail и платёжных данных. И если компания работает с пользователями в ЕС или Великобритании, она обязана соблюдать GDPR, даже если юридически базируется в юрисдикции, которую маркетинг называет «приватной».
TechRadar отдельно подчёркивает: плохой ответ на DSAR (data subject access request) сам по себе не доказывает плохую приватность в целом. Но он показывает, как устроены процессы и насколько серьёзно сервис относится к юридическим обязанностям.
Итоги теста: сроки сорвали, данные не отдали, файлы прислали «криптой»
По сводке TechRadar, 90% протестированных сервисов не дотянули до их стандарта «полного и своевременного» ответа. В ряде случаев компании нарушили и базовую логику статьи 15: вместо пользовательских данных присылали ссылки на публичные политики или просили уточнить, «какие именно данные нужны».
- 9 из 10: не выполнили базовые ожидания по GDPR-ответу.
- 2 сервиса: не ответили в 30-дневное окно без повторных пингов.
- 1 из 10: прислал оформленный отчёт в PDF в течение суток.
- 20%: отправили нечитабельные/необъяснённые выгрузки (например, CSV с полями вида field_0).
Кто справился лучше всех, а кто попал в «зал молчания»
Единственным сервисом, который в TechRadar назвали полностью соответствующим ожиданиям, стал Surfshark. Компания прислала детальный PDF-отчёт за четыре часа. Внутри были e-mail, активные подписки и история платежей (даты, валюта, идентификаторы). Там же оказался лог того, что блокировал встроенный антивирусный модуль.
И это двоякая история. С одной стороны, прозрачность и скорость — плюс. С другой — сама детализация логов поднимает вопрос, нужно ли приватному сервису хранить часть таких событий.
Самыми заметными провалами TechRadar назвал NordVPN и TunnelBear: по данным издания, оба сервиса не предоставили данные даже спустя восемь недель. TechRadar пишет, что в их политиках были инструкции по реализации GDPR-прав, но по факту срок в 30 дней компании превысили.
Разочаровали и сервисы с репутацией «privacy-first»: Proton VPN и ExpressVPN. По описанию TechRadar, вместо выдачи персональных данных они отправили шаблонные ответы и предложили прочитать политику приватности. Это не закрывает требование статьи 15, потому что пользователь просит свои данные, а не общий документ.
Были и промежуточные варианты. IPVanish дал CSV через специальный портал, но ответ затянулся больше чем на 30 дней. В выгрузке, по словам TechRadar, обнаружился IP-адрес на момент регистрации — для части аудитории это может расходиться с ожиданием «анонимного» опыта.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Hotspot Shield прислал семь CSV-файлов без заголовков. Поля выглядели как «field_0» — «field_32», так что без расшифровки данные были практически бесполезны. CyberGhost потребовал оформить запрос через DOCX-шаблон и запрашивал чувствительные данные вроде физического адреса и телефона, которых у компании, как утверждает TechRadar, изначально не было. Финальный ответ содержал скорее перечень категорий данных, а не сами данные.
Что отвечали компании на претензии
TechRadar запросил комментарии у всех участников. Часть компаний не ответила. Часть оспорила выводы.
- NordVPN: заявил, что задержка связана с тем, что журналисты не прошли верификацию личности. Представитель сказал, что проверка личности — защита от выдачи данных «не тому человеку». TechRadar при этом пишет, что отправлял письма дважды и не получал запросов на верификацию.
- IPVanish: тоже связал задержку с ожиданием верификации и отдельно подчеркнул no-log подход. Компания пояснила, что IP при регистрации могут собирать для платежей и антифрода.
- Proton VPN: сказал о «недопонимании», считался ли исходный запрос формальным DSAR, и признал, что ответ мог быть конкретнее. Компания указала, что часть данных можно посмотреть через «выделенные инструменты» онлайн.
- PrivadoVPN: заявил, что готов предоставлять копию данных по запросу и считает обязанность выполненной. TechRadar отмечает, что ответ был скорее про категории данных, без конкретных значений и без части обязательной сопроводительной информации (например, про право жалобы, сроки хранения и автоматизированные решения).
Тест TechRadar стартовал 5 января 2026 года, а наблюдение за ответами заняло 8 недель; по итогам этого периода NordVPN и TunnelBear, как утверждает издание, так и не предоставили запрошенные персональные данные.
Полный текст статьи 15 GDPR можно посмотреть на gdpr-info.eu.
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
Тест GDPR: 9 из 10 VPN не выдали персональные данные по запросу ⚡️