Европейские регуляторы по защите данных оштрафовали компанию MLU B.V., управлявшую сервисом Yango в Европе, на €100 млн. Основанием стали претензии к передаче персональных данных пользователей приложения в Россию. Решение приняли совместно ведомства Нидерландов, Финляндии и Норвегии, а само расследование началось ещё в 2023 году. Проверка была связана с тем, как обрабатывались данные пользователей Yango в Финляндии и Норвегии и были ли они защищены в соответствии с европейскими требованиями.
Эта история стала заметной не только из-за суммы штрафа, но и из-за общего контекста. В Европе вопросы персональных данных давно рассматриваются как часть цифрового суверенитета и безопасности. Если приложение собирает сведения о поездках, маршрутах, номерах телефонов, платежах и поведении пользователей, регуляторы хотят понимать, где именно эти данные хранятся, кто к ним имеет доступ и могут ли они попасть в юрисдикцию, которую ЕС считает рискованной.
Почему дело Yango оказалось важным
Сервисы такси и городской мобильности работают с особенно чувствительными данными. Они видят не только имя и номер телефона пользователя, но и маршруты, адреса, частоту поездок, места работы, проживания, встреч и отдыха. На основе таких сведений можно построить подробный портрет повседневной жизни человека. Поэтому для регуляторов важно не только то, использует ли сервис данные внутри продукта, но и то, куда они передаются дальше.
В случае с Yango европейские ведомства проверяли, могла ли информация пользователей из Финляндии и Норвегии передаваться в Россию. Для европейского законодательства это принципиальный вопрос, потому что передача персональных данных за пределы ЕС требует дополнительных гарантий. Если страна-получатель не считается обеспечивающей сопоставимый уровень защиты, компания должна доказать, что применяет достаточные технические и юридические меры.
Сама MLU B.V. заявила, что не согласна со штрафом и намерена его оспаривать. По позиции компании, данные хранились на территории Евросоюза в зашифрованном виде, а необходимые меры защиты соблюдались. Также компания указала, что Yango с 2025 года больше не работает в Финляндии и Норвегии. Тем не менее регуляторы сочли выявленные обстоятельства достаточными для крупного взыскания.
Как здесь связаны Яндекс, Yango и Nebius
Ситуация осложняется корпоративной историей компании. MLU B.V. была бывшим совместным предприятием Яндекса и Uber, зарегистрированным в Нидерландах. При этом структура Яндекса за последние годы сильно изменилась. Нидерландская Yandex N.V. летом 2024 года закрыла сделку по продаже российского бизнеса Яндекса и после этого переименовалась в Nebius.
Nebius теперь развивает направления, связанные с инфраструктурой для искусственного интеллекта, разметкой данных, беспилотными технологиями и образовательными сервисами. Российский такси-бизнес при этом остался за МКПАО «Яндекс». Поэтому в подобных новостях важно различать юридические структуры, бренды и исторические связи: публичное название может ассоциироваться с Яндексом, но конкретные претензии регуляторов относятся к определённой компании и конкретному периоду её работы.
Для пользователей такие корпоративные детали могут выглядеть сложными, но для регуляторов они имеют ключевое значение. В делах о персональных данных важно установить, кто именно был оператором данных, какие компании участвовали в обработке, где находились серверы, кто имел доступ к информации и какие договорные отношения связывали разные части бизнеса.
Почему Европа усиливает контроль над данными
Европейский подход к персональным данным строится на идее, что информация о человеке не должна свободно перемещаться между юрисдикциями без понятных гарантий. Особенно строго это касается стран, где европейские регуляторы видят риск доступа государственных органов к данным или недостаточный уровень правовой защиты пользователя.
После роста геополитической напряжённости любые трансграничные потоки данных стали восприниматься острее. Для сервисов с российскими корнями это создаёт дополнительные сложности: даже если компания юридически зарегистрирована в ЕС, регуляторы могут внимательно проверять технические связи, инфраструктуру, доступ сотрудников и возможную передачу сведений в Россию.
В таких условиях простого заявления о соблюдении правил уже недостаточно. Компании должны демонстрировать прозрачную архитектуру хранения, шифрование, ограничение доступа, договорные гарантии и возможность доказать, что персональные данные не уходят туда, где они могут оказаться вне европейского контроля. Если у регуляторов возникают сомнения, последствия могут быть серьёзными — вплоть до многомиллионных штрафов.
Что это значит для цифровых сервисов
Штраф MLU B.V. показывает, что европейские регуляторы готовы жёстко реагировать на возможные нарушения правил передачи данных. Для технологических компаний это сигнал: международная регистрация и формальное присутствие в ЕС не снимают вопросов, если сервис технически или корпоративно связан с другой юрисдикцией. Проверяться будет не только юридическая оболочка, но и реальная схема обработки данных.
Особенно это важно для приложений, которые работают с большим объёмом поведенческой информации. Такси, доставка, навигация, финтех, маркетплейсы и социальные платформы собирают данные, по которым можно многое понять о пользователе. Чем чувствительнее такие сведения, тем выше требования к их защите и тем меньше терпимости к неопределённости.
Для бизнеса это означает необходимость заранее проектировать инфраструктуру с учётом регуляторных рисков. Нельзя сначала построить продукт, а потом формально добавить политику конфиденциальности. Нужно понимать, где физически хранятся данные, кто имеет к ним доступ, какие журналы ведутся, как работает шифрование и можно ли быстро доказать соответствие требованиям надзорных органов.
Что это значит для пользователей
Для обычных пользователей эта история напоминает, что удобство цифрового сервиса всегда связано с передачей данных. Приложение такси кажется простым: открыть карту, выбрать маршрут, вызвать машину и оплатить поездку. Но за этим стоит обработка большого количества информации, включая геолокацию, историю перемещений, платежные данные и контактные сведения.
Пользователь редко может самостоятельно проверить, как именно компания хранит и передаёт эти данные. Поэтому роль регуляторов становится особенно важной. Они выступают как внешний контроль, который должен проверять не рекламные обещания, а реальные процессы обработки информации. Если компания нарушает правила или не может доказать достаточную защиту, штраф становится способом не только наказания, но и давления на весь рынок.
В то же время такие дела показывают, что международные цифровые сервисы становятся всё более зависимыми от политики, права и доверия. Даже удобный продукт может столкнуться с ограничениями, если у регуляторов возникают вопросы к его происхождению, инфраструктуре или потокам данных. Для пользователя это означает, что выбор приложения всё чаще связан не только с ценой и качеством, но и с тем, как сервис обращается с персональной информацией.
Заключение
Штраф на €100 млн для MLU B.V. стал показательным примером того, как серьёзно европейские регуляторы относятся к трансграничной передаче персональных данных. В центре дела оказались не только юридические формальности, но и вопрос доверия: где хранились данные пользователей Yango, кто мог получить к ним доступ и насколько надёжно они были защищены.
Эта история показывает, что цифровые сервисы больше не могут рассматривать данные как технический ресурс, который свободно перемещается между странами и компаниями. Персональная информация становится предметом строгого контроля, особенно если речь идёт о геолокации, поездках и повседневном поведении людей. Для бизнеса это означает рост требований к прозрачности, а для пользователей — напоминание о том, что за удобством приложений всегда стоит вопрос конфиденциальности.