Соответствует ли n8n требованиям GDPR? Разницу определяет самостоятельный хостинг
n8n может работать в соответствии с GDPR, но не является таким автоматически. Чем отличаются облако и самостоятельный хостинг и где рабочие процессы теряют данные.
Как только через ваши рабочие процессы n8n проходят данные клиентов, имена, адреса электронной почты, суммы счетов, иногда заявки соискателей, вопрос ложится к вам на стол: соответствует ли n8n требованиям GDPR? Короткий ответ: n8n можно эксплуатировать в соответствии с GDPR, но сам по себе он таким не является. GDPR оценивает эксплуатацию и рабочие процессы, а не инструмент, поэтому решает ваша конфигурация, а не программное обеспечение само по себе.
Кстати, прояснить это стоит до того, как первый рабочий процесс запустится в продуктивной среде, а не после. Решающими являются три вещи: где работает n8n, к каким сервисам подключаются ваши рабочие процессы и что происходит с данными выполнения. Самостоятельный хостинг на сервере в Германии, это самый прямой путь к полному суверенитету над данными, но он решает не все вопросы.
Почему «соответствие GDPR», это не свойство программного обеспечения
GDPR регулирует деятельность по обработке, а не продукты, поэтому ни один производитель не может всерьёз утверждать, что его программное обеспечение в целом соответствует GDPR. Ответственность за обработку данных остаётся на вас как на компании. Рабочий процесс n8n, который без запроса отправляет данные клиентов в сервис в США, нарушает GDPR на том же самом сервере, на котором чисто построенный рабочий процесс работает совершенно безобидно. Таким образом, вопрос не в том, «соответствует ли n8n?», а в том, «соответствует ли моя конфигурация n8n вместе с рабочими процессами?». Это не придирки к словам, а причина, по которой решение о хостинге и проектирование рабочих процессов нужно рассматривать раздельно.
n8n Cloud: немецкая компания, серверы в ЕС, американский облачный провайдер
Согласно официальной странице безопасности n8n (по состоянию на июль 2026 года), n8n Cloud хранит данные клиентов на инфраструктуре Microsoft Azure в Европейском союзе, а страница с ценами указывает в качестве места расположения Франкфурт. За продуктом стоит n8n GmbH со штаб-квартирой в Берлине, то есть немецкая компания. n8n предоставляет договор об обработке данных по поручению (DPA, по-немецки AVV) для подписания, включая стандартные договорные положения ЕС и публичный список субподрядчиков. Это надёжная основа для многих малых и средних предприятий.
Момент, который вам следует знать: Azure принадлежит Microsoft, американскому концерну. Даже при хранении во Франкфурте американский провайдер таким образом остаётся в цепочке. Для большинства коммерческих данных это допустимо при наличии DPA и стандартных договорных положений; для особо чувствительных данных, например у лиц, связанных профессиональной тайной, или в сфере здравоохранения, это становится предметом обсуждения с уполномоченным по защите данных. Эту оценку за вас не сделает никакое программное обеспечение, и эта статья не заменяет юридическую консультацию.
Самостоятельный хостинг: ваши данные остаются на вашем сервере
При самостоятельном хостинге n8n работает на сервере, который вы контролируете, и персональные данные из ваших рабочих процессов не покидают вашу инфраструктуру, пока рабочие процессы не подключаются к внешним сервисам. Community Edition можно использовать без лицензионной платы и запускать через Docker на сервере у немецкого хостинг-провайдера. Тогда DPA вам нужен только с хостинг-провайдером, а не с самим n8n, поскольку n8n не имеет доступа к вашему экземпляру. Именно такую конфигурацию мы в NordFlux строим по умолчанию: n8n на сервере в Германии, с обновлениями, резервными копиями и мониторингом, чтобы эксплуатация не легла целиком на ваши плечи.
Скажем честно: самостоятельный хостинг перекладывает ответственность за безопасность на вас. Необновлённый сервер n8n с открытым входом в систему представляет собой больший риск для защиты данных, чем любое серьёзно эксплуатируемое облако. Тем, у кого внутри нет никого для обслуживания сервера, следует передать эксплуатацию поставщику услуг или осознанно выбрать облачный вариант с DPA.
Работает ли n8n в соответствии с GDPR, решает не программное обеспечение, а ваша конфигурация. Самостоятельный хостинг в Германии решает вопрос хостинга. Вопрос о том, куда ваши рабочие процессы отправляют данные, решает только чистое проектирование рабочих процессов.
Три ловушки защиты данных в проектировании рабочих процессов
Большинство проблем с защитой данных в n8n возникают не при хостинге, а в самих рабочих процессах. Три шаблона мы снова и снова видим на практике:
- Узлы ИИ: как только рабочий процесс отправляет данные клиентов в модель ИИ, например OpenAI или Anthropic, этот провайдер обрабатывает данные. Тогда вам нужен DPA с провайдером ИИ, исключение из обучения модели и по возможности минимизация данных перед узлом.
- Узлы сторонних сервисов в США: Google Sheets, Slack или Airtable в качестве цели рабочего процесса означают передачу в третью страну. Самостоятельно размещённый сервер мало помогает, если рабочий процесс затем копирует данные в таблицу в США.
- Журналы выполнения: по умолчанию n8n сохраняет входные и выходные данные каждого выполнения рабочего процесса. Без ограниченного срока хранения там накапливаются персональные данные, о которых уже никто не думает.
Особенно подключение ИИ заслуживает внимательного рассмотрения, потому что там часто передаются полные наборы данных, хотя модели нужны лишь два поля. Как в целом подключать сервисы ИИ в соответствии с защитой данных, от выбора провайдера до DPA, подробно описано в нашей статье об ИИ, соответствующем GDPR, на предприятии.
Эксплуатировать n8n в соответствии с GDPR: как выглядит чистая конфигурация
Надёжная конфигурация n8n для среднего бизнеса состоит из четырёх строительных блоков: сервер у немецкого или европейского хостинг-провайдера с подписанным DPA, контроль доступа с персональными учётными записями и двухфакторной аутентификацией, правило удаления для данных выполнения (n8n может автоматически очищать старые данные выполнения) и минимизация данных в каждом рабочем процессе, который обращается к внешним сервисам. Сюда относится и внесение рабочих процессов в реестр деятельности по обработке, чтобы ваш уполномоченный по защите данных знал, что было автоматизировано. Это звучит как бумажная работа, но выполняется за один-два рабочих дня, а затем требует лишь поддержания.
Усилия окупаются вдвойне: задокументированная конфигурация ускоряет каждое последующее расширение, потому что принципиальные вопросы решены, а новые рабочие процессы нужно лишь проверить на соответствие существующим правилам.
Частые вопросы
Можно ли использовать n8n Cloud в соответствии с GDPR?
Да, для многих вариантов использования. n8n предлагает DPA со стандартными договорными положениями ЕС, и, по данным n8n, данные находятся на серверах Azure в ЕС. Остаётся оценить тот факт, что инфраструктуру предоставляет Microsoft, американский провайдер. При чувствительных данных вам следует прояснить это с вашим уполномоченным по защите данных.
Нужен ли мне DPA с n8n при самостоятельном хостинге?
Нет. При самостоятельно размещённом экземпляре n8n не обрабатывает никакие данные для вас, программное обеспечение полностью работает на вашем сервере. Вместо этого вам нужен DPA с хостинг-провайдером, на сервере которого работает экземпляр, если только вы не эксплуатируете собственный сервер внутри компании.
Можно ли использовать узлы ИИ, такие как OpenAI, в рабочих процессах n8n?
В принципе да, если соблюдены рамочные условия: DPA с провайдером ИИ, исключение данных из обучения модели и передача только тех полей, которые модели действительно нужны. Тот, кто хочет избежать передачи в третьи страны, может перейти на европейских провайдеров или на модели, работающие локально.
Сколько стоит n8n при самостоятельном хостинге?
Community Edition не требует лицензионных затрат, вы платите за сервер и за эксплуатацию, то есть за обновления, резервные копии и мониторинг. Для небольших конфигураций достаточно простого облачного сервера у немецкого хостинг-провайдера. Честный расчёт, однако, включает и рабочее время на обслуживание, внутри компании или через поставщика услуг.
Делает ли самостоятельный хостинг n8n автоматически соответствующим GDPR?
Нет. Самостоятельный хостинг проясняет лишь, где работает программное обеспечение и у кого есть доступ к экземпляру. Соответствует ли обработка требованиям, зависит дополнительно от того, к каким сервисам подключаются ваши рабочие процессы, как долго хранятся данные выполнения и существует ли правовое основание для обработки.
NordFlux UG (haftungsbeschränkt)
NordFlux создаёт цифровых сотрудников для организаций: автоматизации и КИ-агентов, которые берут на себя повторяющуюся работу. Вы сохраняете контроль.
Хотите, чтобы n8n работал у вас чисто с точки зрения защиты данных?
В бесплатном первичном анализе мы проверяем ваши процессы и честно говорим, подходит ли n8n и как выглядит конфигурация с немецким суверенитетом над данными.
- n8n на сервере в Германии, вы сохраняете контроль
- Проектирование рабочих процессов с минимизацией данных вместо утечки данных
- Один постоянный контактный человек, а не колл-центр