DocEasyCraft Logo
Політики3 квітня 2025

Політика конфіденційності для сайту: що писати, як відповідати закону та GDPR

Якщо ваш сайт збирає імена, email, телефони або використовує cookies — ви зобов'язані мати політику конфіденційності. Розбираємо вимоги українського закону та GDPR, обов'язкові розділи, типові помилки та як створити документ за кілька хвилин.

1. Що таке політика конфіденційності та навіщо вона потрібна

Політика конфіденційності (Privacy Policy) — це публічний документ, що пояснює відвідувачам вашого сайту, які персональні дані ви збираєте, для чого, як зберігаєте та кому можете передавати.

Вона потрібна, якщо ваш сайт:

  • Має форму реєстрації, зворотного зв'язку або замовлення
  • Збирає email-адреси для розсилки
  • Використовує Google Analytics, Facebook Pixel або інші трекери
  • Має особистий кабінет користувача
  • Приймає онлайн-платежі
  • Використовує cookies (а це майже кожен сайт)

💡 Факт: За даними Уповноваженого ВРУ з прав людини, у 2024 році кількість звернень щодо порушення захисту персональних даних зросла на 40%. Наявність коректної політики — ваш перший рівень захисту.

2. Закон України «Про захист персональних даних»

Основний нормативний акт — Закон України «Про захист персональних даних» №2297-VI від 01.06.2010. Ключові вимоги:

«Володілець персональних даних зобов'язаний повідомити фізичну особу про включення її персональних даних до бази персональних даних, мету збору та осіб, яким передаються її дані.» — ст. 12 Закону №2297-VI

Що вимагає закон від власника сайту:

Повідомити про збір даних до моменту їх обробки (ст. 12)
Отримати згоду суб'єкта персональних даних (ст. 6, ст. 11)
Забезпечити захист даних від несанкціонованого доступу (ст. 24)
Надати доступ суб'єкту до його даних за запитом (ст. 16)
Видалити дані за вимогою суб'єкта, якщо немає законних підстав зберігання (ст. 15)

Також важливий Закон «Про електронну комерцію» №675-VIII , який зобов'язує інтернет-магазини та сервіси розміщувати інформацію про обробку даних покупців.

3. GDPR: коли він стосується українських сайтів

General Data Protection Regulation (GDPR) — регламент ЄС, що діє з 25 травня 2018 року. Він стосується вашого українського сайту, якщо:

СценарійGDPR застосовується?
Сайт доступний для користувачів з ЄСТак, якщо цілеспрямовано (мова, валюта €)
Інтернет-магазин з доставкою в ЄСТак, однозначно
SaaS-сервіс з клієнтами в ЄСТак, однозначно
Google Analytics з відвідувачами з ЄСТак, потрібна Cookie Consent
Суто внутрішній B2B-сайт для УкраїниНі, тільки закон №2297-VI

⚠️ Важливо: Україна прийняла курс на адаптацію до GDPR в рамках євроінтеграції. Угода про асоціацію передбачає гармонізацію законодавства про захист даних. Навіть якщо GDPR зараз вас не стосується напряму — варто готуватися.

Ключові вимоги GDPR, які відрізняються від українського закону:

  • Правова основа обробки — потрібно чітко вказати одну з 6 підстав (згода, договір, законний інтерес тощо)
  • DPO (Data Protection Officer) — призначення відповідальної особи для великих обсягів обробки
  • Data Breach Notification — повідомлення про витік даних протягом 72 годин
  • Право на переносимість — користувач може забрати свої дані в машинозчитуваному форматі
  • Privacy by Design — захист даних має бути закладений у систему з самого початку

4. 8 обов'язкових розділів політики конфіденційності

01 Загальні положення

Хто є володільцем даних (назва компанії, ФОП, контактні дані). Сфера дії політики — на які сайти та сервіси поширюється.

02 Які дані збираються

Повний перелік: ім'я, email, телефон, IP-адреса, cookies, дані платежів, геолокація. Чим конкретніше — тим краще.

03 Мета збору даних

Для кожного типу даних — чітка мета: надання послуг, виконання договору, маркетинг, аналітика, покращення сайту.

04 Правова основа обробки

Згода користувача, виконання договору, законний інтерес, виконання юридичного обов'язку (ст. 11 Закону №2297-VI, ст. 6 GDPR).

05 Передача даних третім особам

Кому передаються дані: платіжні системи, хостинг-провайдери, CRM, аналітичні сервіси. Чи передаються дані за кордон.

06 Строки зберігання

Скільки зберігаються дані та критерії визначення строку. Не «безстроково», а конкретно: «протягом дії договору + 3 роки».

07 Права користувача

Доступ до даних, виправлення, видалення, обмеження обробки, заперечення, переносимість (ст. 8 Закону, ст. 15–22 GDPR).

08 Безпека даних та контакти

Які заходи захисту застосовуються (шифрування, обмеження доступу). Контакт для звернень щодо персональних даних.

5. Cookies та згода користувачів

Cookies — це невеликі файли, які сайт зберігає в браузері відвідувача. За GDPR та найкращими практиками, потрібно отримати інформовану згоду до встановлення нетехнічних cookies.

Типи cookies за призначенням:

ТипПрикладиПотрібна згода?
Технічно необхідніСесія, кошик, авторизаціяНі
АналітичніGoogle Analytics, HotjarТак
МаркетинговіFacebook Pixel, Google AdsТак
ФункціональніМова, тема, персоналізаціяРекомендується

📌 Порада: Окрім політики конфіденційності, створіть окрему Cookie Policy, де детально опишіть кожен cookie, його строк дії та мету. Це покращить позиції в Google та знизить юридичні ризики.

6. Штрафи та відповідальність за порушення

Відповідальність за порушення захисту персональних даних в Україні:

ПорушенняСтаттяСанкція
Незаконне збирання або зберігання ПДст. 188-39 КУпАП від 1 700 до 5 100 грн
Ненадання доступу до даних суб'єктуст. 188-39 КУпАПвід 1 700 до 5 100 грн
Незаконне розголошення ПД (умисне)ст. 182 КК штраф до 34 000 НМДГ або обмеження волі до 3 років

🔴 GDPR-штрафи: За порушення GDPR штрафи сягають до 20 мільйонів євро або 4% річного обороту компанії (що більше). Навіть для малого бізнесу це може бути катастрофою.

7. 5 типових помилок у політиках конфіденційності

  1. Копіпаст англомовного шаблону — переклад Privacy Policy від американського SaaS не враховує Закон №2297-VI та специфіку українського ринку. Такий документ не має юридичної сили.
  2. Відсутність конкретики — «ми збираємо ваші дані для покращення сервісу» без переліку яких саме даних і яких саме цілей. Закон вимагає конкретику (ст. 6, 12 Закону №2297-VI).
  3. Немає механізму відкликання згоди — користувач має право відмовитися від обробки своїх даних. Якщо у вас немає форми або email для цього — це порушення.
  4. Документ «для галочки» — без оновлення — якщо ви додали Google Analytics, нову CRM або почали збирати нові дані — політику потрібно оновити.
  5. Немає інформації про cookies — окремий блок або Cookie Policy обов'язковий, особливо якщо є відвідувачі з ЄС.

8. Створіть політику конфіденційності за 5 хвилин

Замість того, щоб копіювати застарілі шаблони з інтернету, скористайтесь генератором DocEasyCraft. Штучний інтелект врахує специфіку вашого бізнесу, тип даних які ви збираєте, та створить документ відповідно до Закону «Про захист персональних даних» та GDPR.

Що ви отримаєте:

  • Документ, адаптований під українське законодавство
  • Усі 8 обов'язкових розділів
  • Пункти про cookies та третіх осіб
  • Зручний формат для розміщення на сайті
  • Можливість редагування в онлайн-редакторі

🔒 Захистіть свій бізнес вже зараз

Створіть юридично коректну політику конфіденційності для вашого сайту за кілька хвилин.

Створити політику конфіденційності Всі шаблони політик