Політика конфіденційності є обов'язковою для будь-якого українського сайту або ФОП, що збирає персональні дані користувачів — ім'я, email, номер телефону, IP-адресу тощо. Обов'язок випливає зі ст. 8 та ст. 12 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI: суб'єкт персональних даних має право знати мету та умови обробки своїх даних до їх збору.
Disclaimer: Матеріал носить інформаційний характер і не є юридичною консультацією.
Хто зобов'язаний мати політику конфіденційності?
Обов'язок поширюється на будь-яку фізичну або юридичну особу, яка виступає володільцем бази персональних даних у розумінні ст. 2 ЗУ «Про захист персональних даних». Це охоплює:
- ФОП, що має сайт з контактною формою або інтернет-магазин;
- юридичних осіб будь-якої форми власності;
- власників блогів і медіаресурсів, що збирають email-адреси для розсилки;
- розробників мобільних застосунків.
Виняток — сайти-візитки, що не мають жодної форми збору даних і не використовують аналітичні cookie-файли. Однак навіть підключення Google Analytics вже означає обробку персональних даних (IP-адреси).
Що вважається збором персональних даних на сайті?
Збором персональних даних відповідно до ст. 2 та ст. 12 ЗУ «Про захист персональних даних» вважається будь-яка дія, спрямована на отримання відомостей про фізичну особу. Конкретні приклади:
| Елемент сайту | Чи є збором ПД? |
|---|---|
| Контактна форма (ім'я + email) | ✅ Так |
| Форма замовлення з телефоном | ✅ Так |
| Email-підписка на розсилку | ✅ Так |
| Cookie-файли аналітики (Google Analytics, Meta Pixel) | ✅ Так |
| Статична сторінка без форм | ❌ Ні |
| Реєстрація/авторизація користувача | ✅ Так |
Статтею 14 ЗУ «Про електронну комерцію» № 675-VIII від 03.09.2015 прямо встановлено: учасники відносин у сфері електронної комерції зобов'язані забезпечити захист персональних даних у порядку, передбаченому ЗУ «Про захист персональних даних».
Як скласти та розмістити політику конфіденційності на сайті?
Документ складається у довільній формі, але має відповідати вимогам ст. 8 ЗУ «Про захист персональних даних» щодо інформування суб'єкта. Алгоритм:
- Визначте перелік даних, що збираються (ім'я, email, IP, cookie тощо).
- Вкажіть мету обробки — продаж товарів, надання послуг, маркетинг.
- Опишіть правову підставу обробки (згода, договір, законний інтерес).
- Зазначте третіх осіб, яким передаються дані (платіжні системи, CRM, Google).
- Визначте строки зберігання даних.
- Опишіть права користувача: доступ, виправлення, видалення, відкликання згоди (ст. 8 ЗУ «Про захист персональних даних»).
- Вкажіть контакти відповідального за обробку.
- Розмістіть документ на окремій сторінці сайту з постійним посиланням у футері та поруч із кожною формою збору даних.
Для ФОП та договорів у бізнесі особливо важливо, щоб посилання на політику було присутнє в момент підписання будь-якого електронного договору.
Які особливості для ФОП щодо реєстрації бази персональних даних?
ФОП як суб'єкт господарювання зобов'язаний повідомити Уповноваженого Верховної Ради України з прав людини про обробку персональних даних відповідно до ст. 9 ЗУ «Про захист персональних даних». Повідомлення подається до початку обробки даних.
Форма повідомлення встановлена Наказом Уповноваженого ВРУ з прав людини. Реєстрація бази даних у Державному реєстрі баз персональних даних є безоплатною та здійснюється в електронній формі на сайті ombudsman.gov.ua.
Важливо: відсутність реєстрації не звільняє від обов'язку мати політику конфіденційності та отримувати згоду від користувачів.
Коли українському сайту потрібно дотримуватись вимог GDPR?
GDPR (Регламент ЄС 2016/679) застосовується до українського сайту або ФОП, якщо виконується хоча б одна умова (ст. 3 GDPR):
- сайт цілеспрямовано пропонує товари чи послуги резидентам ЄС (наявність цін у євро, мова інтерфейсу — мови ЄС);
- сайт відстежує поведінку осіб на території ЄС (cookie-трекінг, ремаркетинг).
При застосуванні GDPR додатково потрібні: призначення DPO (Data Protection Officer) у певних випадках, розширена cookie-згода (cookie banner з реальним вибором), право на перенесення даних.
Як правильно отримати згоду користувача на обробку даних?
Згода відповідно до ст. 2 та ст. 11 ЗУ «Про захист персональних даних» має бути добровільною, конкретною та поінформованою. Вимоги до форми:
- Чекбокс поруч із формою — незаздалегідь відмічений, з текстом «Я погоджуюсь з [Політикою конфіденційності]» та посиланням на документ.
- Заздалегідь відмічений чекбокс є недійсною згодою — це порушення ст. 11 ЗУ «Про захист персональних даних».
- Для email-розсилки — обов'язкове подвійне підтвердження (double opt-in) як підтвердження добровільності.
- Згода має фіксуватися з датою та версією політики.
Що обов'язково має містити політика конфіденційності?
Відповідно до ст. 8 ЗУ «Про захист персональних даних», документ повинен містити:
- Найменування та контакти володільця бази персональних даних.
- Мету збору та обробки персональних даних.
- Перелік персональних даних, що збираються.
- Правові підстави обробки (ст. 11 ЗУ «Про захист персональних даних»).
- Третіх осіб, яким передаються дані.
- Строки зберігання персональних даних.
- Права суб'єкта: доступ, виправлення, видалення, заперечення (ст. 8 ЗУ «Про захист персональних даних»).
- Порядок подання скарги до Уповноваженого ВРУ з прав людини.
- Інформацію про використання cookie-файлів.
Яка відповідальність за відсутність або неналежну політику конфіденційності?
За порушення законодавства про захист персональних даних передбачена відповідальність трьох видів:
- Адміністративна: ст. 188-39, 188-40 КУпАП — штраф від 85 до 170 неоподатковуваних мінімумів доходів громадян (від 1 445 до 2 890 грн) за незаконне збирання, зберігання або поширення персональних даних.
- Цивільно-правова: відшкодування моральної та матеріальної шкоди суб'єкту персональних даних на підставі ст. 23 ЦКУ.
- Кримінальна: ст. 182 КК України — незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу — штраф до 50 НМДГ або обмеження волі до 3 років.
Уповноважений ВРУ з прав людини також має право видавати приписи про усунення порушень та звертатись до суду.
FAQ
Чи потрібна політика конфіденційності, якщо сайт тільки збирає email через форму підписки? Так. Збір email-адреси — це обробка персональних даних відповідно до ст. 2 ЗУ «Про захист персональних даних». Політика обов'язкова, а згода має бути отримана до підписки.
Чи можна використати шаблон політики конфіденційності з інтернету? Шаблон можна використовувати як основу, але документ має відображати реальну практику вашого сайту: конкретні дані, що збираються, реальних третіх осіб (Google Analytics, Stripe, Nova Poshta тощо) та актуальні контакти. Загальний шаблон без адаптації не відповідає вимогам ст. 8 ЗУ «Про захист персональних даних».
Чи потрібно оновлювати політику конфіденційності? Так, при кожній зміні способів обробки даних, переліку третіх осіб або мети збору. Користувачів слід повідомляти про суттєві зміни — через email або повідомлення на сайті. Дата останнього оновлення має бути вказана в документі.
Де розмістити посилання на політику конфіденційності? Посилання має бути у футері кожної сторінки, поруч із кожною формою збору даних та в момент реєстрації — відповідно до вимог ст. 7 ЗУ «Про електронну комерцію» № 675-VIII щодо обов'язкової інформації для продавця/виконавця послуг в інтернеті.
Створити «Політика конфіденційності» онлайн
Сформуйте проєкт документа «Політика конфіденційності» під вашу ситуацію в конструкторі AGENTIS — Політика конфіденційності: відкрити конструктор. Сервіс готує структуровану чернетку на основі ваших даних; це підготовчий інструмент, що не замінює консультацію юриста перед підписанням.