Чи потрібен DPA для SaaS-сервісів та Google Analytics 2026 для ТОВ/ФОП? ТАК — будь-який SaaS, що обробляє персональні дані користувачів від імені ТОВ-Контролера, є Процесором за ст. 28 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI. DPA обов'язковий для Google Analytics 4, Mailchimp, HubSpot, Stripe, AWS, Cloudflare, Sentry, Mixpanel, Hotjar, Intercom тощо. Без DPA — обробка незаконна, штраф до €20 млн або 4% обороту (ст. 83 GDPR) + до 850 000 грн (ст. 188-39 КУпАП).
Які SaaS точно потребують DPA
Будь-який сервіс, де ТОВ передає персональні дані третій стороні для обробки:
| SaaS / категорія | Що обробляє | DPA URL |
|---|---|---|
| Google Analytics 4 | user identifiers, behavior, IP | analytics.google.com → Admin → Account Settings → Data Processing Amendment |
| Mailchimp | email, behavior, segments | mailchimp.com/legal/data-processing-addendum |
| HubSpot | CRM, email, behavior | hubspot.com/legal-data-protection |
| Stripe | payment data, customer info | stripe.com/legal/dpa |
| AWS / Google Cloud / Azure | infrastructure | AWS Artifact / Google Workspace Admin / Microsoft Trust Center |
| Cloudflare | IP, request logs, behavior | cloudflare.com/dpa |
| Sentry | error logs з PII | sentry.io/legal/dpa |
| Mixpanel / Amplitude | user identifiers, events | mixpanel.com/legal/dpa |
| Hotjar | session recordings, heatmaps | hotjar.com/legal/dpa |
| Intercom | customer messages, profiles | intercom.com/legal/data-processing-agreement |
| Zendesk | support tickets з PII | zendesk.com/legal/dpa |
| Slack / MS Teams (workplace) | employee messages | salesforce.com/dpa / Microsoft Trust Center |
| Notion / Asana / Trello | project data + user info | notion.so/dpa / asana.com/dpa / trello.com/dpa |
| DocuSign / HelloSign | signed documents з PII | docusign.com/dpa |
Google Analytics 4 — особливий випадок
GA4 — найпоширеніший SaaS-Процесор для українських ТОВ. Обробляє: user IDs, IP-адреси, behavior events, custom dimensions.
Status: Google визнає себе Processor (Data Processor) для GA Data Processing Amendment.
Як підписати:
- analytics.google.com → Admin (gear icon) → Account Settings.
- Розділ "Data Processing Amendment".
- Прийняти amendment + указати legal entity name + adresa.
- Перевірити Annex з sub-процесорами Google.
- Save + extract PDF для архіву.
Critical 2024-2025:
- CNIL 2022: GA used in EU — non-compliant без proxy/anonymisation. Тому Google запровадив Consent Mode v2.
- EU-US Data Privacy Framework (DPF) 2023: Google certified — adequate protection для US-transfer.
- Practice 2026: GA4 + DPF + IP anonymisation + Consent Mode v2 → compliant configuration.
Обов'язкові настройки GA4 для compliance:
- IP anonymisation (default у GA4 — IP truncation).
- Data retention: 14 months (default) — review для свого use case.
- Consent Mode v2 — TCF integration.
- Restricted data sharing з Google Ads (ads_data_redaction).
- Google Signals — оптимізувати або вимкнути для anonymity.
Чи embeddable widgets потребують DPA?
| Widget | DPA |
|---|---|
| Google Maps embedded | НІ (не передає user data, окрім request) |
| YouTube embedded | YES — як Processor для viewer data |
| Vimeo embedded | YES |
| Facebook Like button | YES |
| Twitter widget | YES |
| reCAPTCHA | YES — Google як Processor |
| LinkedIn share | YES |
| Disqus comments | YES |
| Google Fonts (CDN) | НІ якщо self-hosted; YES якщо via Google CDN |
Self-serve DPA process
Більшість сучасних SaaS пропонують self-serve DPA — натиснути checkbox у Settings:
- Login до admin panel.
- Find "Legal" / "Privacy" / "Data Processing" section.
- Read DPA terms carefully.
- Accept + provide legal entity name.
- Download executed copy.
- Archive у contract management.
Trap: click-through DPA without reading — можуть бути unfavorable terms (limited liability, broad sub-processor rights). Read before accept.
Negotiated DPA process (для enterprise + small business з leverage)
Якщо ТОВ має значні обсяги (>10K users / >€50K річний spend), можна negotiate:
- Lower breach SLA (24h замість "without undue delay").
- Custom Annex 1 з specific описами.
- Audit rights з reduced notice.
- Higher indemnification cap.
- Region-specific data residency.
Practice: AWS, Google Cloud, Microsoft Azure — open до negotiation для enterprise plans. Standard SaaS (Mailchimp Free, Zendesk Starter) — non-negotiable.
DPA chain — sub-процесори
ТОВ-Контролер → SaaS-Процесор → sub-процесори Процесора.
Example для Mailchimp:
- Mailchimp (USA) — Процесор.
- Mailchimp sub-процесори: AWS, Google Cloud, Salesforce, third-party integrations.
- Кожен sub-процесор повинен мати back-to-back DPA з Mailchimp з аналогічними обов'язками.
Recipe: review Annex 2 sub-процесорів + 30-day notice + право objection.
Часті помилки SaaS DPA
1. Click-through без read. Mailchimp DPA accepted blindly — потім shock про cross-border транс. Recipe: read DPA, document data residency option.
2. Без update коли SaaS оновлює DPA. SaaS notify через email (often spam folder), Контролер пропускає. Recipe: dedicated email для legal notices + RSS subscriptions.
3. SaaS без DPA option. Old / small SaaS без DPA. Recipe: request DPA через support; якщо відмова — switch to compliant alternative.
4. GA4 з default settings. Без IP anonymisation, без Consent Mode v2 — non-compliant for EU users. Recipe: configure compliance settings.
5. Multiple SaaS, один шаблон. Generic DPA для всіх 20 SaaS — non-compliant per Belgian DPA 2023 ruling. Recipe: specific Annex 1 для кожного.
6. Sub-процесори не reviewed. Mailchimp adds new sub-processor — Контролер не реагує. Recipe: monthly review.
7. Free tier SaaS без DPA. "We don't have DPA for free tier". Recipe: upgrade to paid tier OR switch to alternative.
8. Без termination procedure. Як отримати дані back з SaaS після cancellation? Recipe: export data BEFORE termination + verify deletion.
Перевірка SaaS на compliance
Checklist перед використанням SaaS:
- DPA доступний?
- DPA містить 8 обов'язкових елементів ст. 28(3) GDPR?
- Sub-процесори listed?
- Region selection (EU/US)?
- DPF certified (для US-based)?
- SCC 2021 включено?
- Breach SLA explicit (24-72h)?
- Audit rights (self-assessment + on-site)?
- Termination data handling described?
- Privacy Policy / Terms — public + accessible?
FAQ
Чи потрібен DPA для трекінг pixels (FB Pixel, Google Ads tag)? Так. Pixel = код на сайті, що передає user data до third party. DPA потрібен (Meta Business Tools Terms, Google Ads Data Processing Terms).
Чи DPA з Google автоматично покриває YouTube embedded? Загалом так, але YouTube has separate Terms of Service. Перевірте Google Workspace DPA / Google Privacy Policy — references YouTube.
Що якщо SaaS — ТОВ з України? ст. 24 ЗУ № 2297-VI — DPA в письмовій формі обов'язковий. Можна використати simplified template без cross-border + SCC.
Чи можу я обробляти персональні дані EU-користувачів через російський SaaS? НІ. EU sanctions + GDPR ризики. Russian processors — заборонені для obviously sanctioned entities; для решти — extreme legal risk.
AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.
Готовий шаблон DPA для SaaS-провайдера — згенеруйте чернетку DPA через AGENTIS.
Пов'язані матеріали:
- Pillar: Договір про обробку персональних даних
- DPA з cloud-провайдером AWS GCP Azure
- DPA з маркетинговою агенцією і email-tool
- Cross-border SCC 2021
Зовнішні джерела: Google Analytics DPA · GDPR Art. 28 на gdpr-info.eu · EU-US Data Privacy Framework