Перейти до основного вмісту
AGENTIS Legal Platform

Політика обробки персональних даних: зміст | AGENTIS

Перевірив юрист: Олександр Кравченко, магістр права (КНУ ім. Шевченка)·Оновлено: 22.06.2026·Правова база: ст. 6 ЗУ Про захист персональних даних, ст. 8 ЗУ Про захист персональних даних, ст. 24 ЗУ Про захист персональних даних

Коротка відповідь

Політика обробки персональних даних має містити мету збору, перелік категорій даних, правову підставу обробки, строки зберігання, права суб'єктів та порядок їх реалізації — відповідно до ст. 6, 8, 11, 12 Закону України «Про захист персональних даних».

Довідкова інформація на основі законодавства України, не юридична консультація.

Потрібен документ для вашої ситуації? Створіть чернетку договору — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Політика обробки персональних даних має містити мету збору, перелік категорій даних, правову підставу обробки, строки зберігання, права суб'єктів та порядок їх реалізації — відповідно до ст. 6, 8, 11, 12 Закону України «Про захист персональних даних». Документ є обов'язковим для кожного володільця бази персональних даних незалежно від організаційно-правової форми.

Disclaimer: Матеріал носить інформаційний характер і не є юридичною консультацією.

Хто зобов'язаний мати політику обробки персональних даних?

Обов'язок розробити та оприлюднити політику обробки персональних даних поширюється на кожного володільця бази персональних даних — юридичну особу, фізичну особу-підприємця або орган державної влади, який самостійно визначає мету обробки даних (ст. 4 ЗУ «Про захист персональних даних»). Відповідно до ст. 24 цього Закону, Уповноважений Верховної Ради з прав людини здійснює контроль за дотриманням вимог до документування обробки.

На практиці це стосується: інтернет-магазинів, роботодавців, медичних закладів, освітніх установ, банків та будь-яких суб'єктів, що збирають контактні дані клієнтів або працівників. Детальніше про правовий статус суб'єктів господарювання — у розділі ФОП, договори та бізнес. Про вимоги до захисту персональних даних та суміжні норми — у розділі захист персональних даних.

Які обов'язкові розділи має містити політика відповідно до закону?

Закон України «Про захист персональних даних» не встановлює єдиного затвердженого шаблону, проте системний аналіз ст. 6, 8, 11, 12 дає чіткий перелік обов'язкових елементів.

Елемент Норма
1 Найменування та контактні дані володільця бази даних ст. 4
2 Мета (цілі) обробки персональних даних ст. 6 ч. 1
3 Категорії та перелік персональних даних, що обробляються ст. 12
4 Правова підстава обробки (згода, договір, закон тощо) ст. 11
5 Строки зберігання даних або критерії їх визначення ст. 13
6 Порядок реалізації прав суб'єктів персональних даних ст. 8
7 Порядок доступу третіх осіб та передачі даних ст. 14, 16
8 Опис заходів захисту персональних даних ст. 6 ч. 2

Мета обробки має бути сформульована конкретно: «надання послуг за договором», «виконання трудових відносин», «маркетингові комунікації» — кожна мета окремо. Відповідно до ст. 6 ч. 1 ЗУ «Про захист персональних даних» (в редакції, чинній з урахуванням змін, внесених ЗУ № 2297-VI), обробка персональних даних має здійснюватися лише з конкретно визначеною та законною метою; обробка даних з іншою метою без нового повідомлення суб'єкта заборонена.

Правова підстава обирається з вичерпного переліку ст. 11: згода суб'єкта, виконання договору, виконання обов'язку за законом, захист законних інтересів володільця або третіх осіб тощо. Для кожної категорії даних підстава зазначається окремо.

Особливі категорії даних, дані неповнолітніх та транскордонна передача

Спеціальні категорії даних (ст. 7 ЗУ «Про захист персональних даних»)

Обробка спеціальних категорій персональних даних — відомостей про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях і організаціях, стан здоров'я, статеве життя, біометричні дані — допускається лише у виняткових випадках, прямо передбачених ст. 7 Закону. Зокрема:

  • за явно вираженою письмовою згодою суб'єкта;
  • якщо обробка необхідна для захисту життєво важливих інтересів суб'єкта або іншої особи;
  • якщо обробка здійснюється в рамках законної діяльності громадської організації або установи з відповідним статутним призначенням;
  • якщо дані є загальнодоступними внаслідок дій самого суб'єкта.

Уповноважений Верховної Ради з прав людини у своїх роз'ясненнях наголошує, що обробка медичних даних без явної правової підстави є одним із найпоширеніших порушень, виявлених під час перевірок медичних закладів та роботодавців. Політика обробки персональних даних повинна окремим розділом або позначкою ідентифікувати спеціальні категорії та зазначати конкретну підставу для кожної з них.

Обробка персональних даних неповнолітніх

Збір та обробка даних осіб, які не досягли 14 років, здійснюється виключно за згодою батьків або законних представників. Для осіб від 14 до 18 років згода надається суб'єктом самостійно, однак у разі сумніву щодо дієздатності рекомендується отримати підтвердження від представника. Політика обробки персональних даних, якщо сервіс або продукт орієнтований на неповнолітніх або допускає їхню участь, зобов'язана:

  • прямо вказати вікові обмеження для самостійного надання згоди;
  • описати механізм верифікації віку або отримання згоди представника;
  • передбачити спрощений порядок видалення даних на вимогу представника.

Транскордонна передача персональних даних

Передача персональних даних до іноземних держав або міжнародних організацій регулюється ст. 29 ЗУ «Про захист персональних даних». Передача допускається, якщо:

  • держава-отримувач забезпечує належний рівень захисту персональних даних (перелік таких держав визначається Уповноваженим);
  • суб'єкт надав явну згоду на таку передачу;
  • передача необхідна для виконання договору між суб'єктом та володільцем або в інтересах суб'єкта.

На практиці це стосується використання хмарних сервісів (Google Workspace, Microsoft 365, AWS), CRM-систем та платіжних шлюзів із серверами за межами України. Політика обробки персональних даних повинна прямо вказувати факт транскордонної передачі, найменування отримувача або категорію отримувачів та правову підставу. Уповноважений Верховної Ради з прав людини рекомендує також зазначати, чи є держава-отримувач учасницею Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних (Конвенція 108).

Які права суб'єктів персональних даних потрібно описати в політиці?

Відповідно до ст. 8 ЗУ «Про захист персональних даних», суб'єкт має право:

  • знати про місцезнаходження бази даних, її призначення та найменування володільця;
  • отримувати інформацію про умови надання доступу до своїх даних;
  • на доступ до своїх персональних даних;
  • отримувати не пізніш як за 30 календарних днів відповідь на запит про наявність своїх даних;
  • подавати вмотивовану вимогу про зміну або знищення даних;
  • на захист від автоматизованого рішення, що має для нього правові наслідки.

Політика обробки персональних даних зобов'язана містити контактну адресу (email або поштову) та строк розгляду звернень суб'єктів. Стандартний строк відповіді на запит — 30 календарних днів з дня отримання (ст. 16 ЗУ «Про захист персональних даних»).

Які строки зберігання даних зазначати та коли оновлювати політику?

Строки зберігання персональних даних визначаються метою обробки: після досягнення мети дані підлягають видаленню або знеособленню (ст. 15 ЗУ «Про захист персональних даних»). Якщо строк встановлений законом — застосовується законодавчий мінімум (наприклад, первинна бухгалтерська документація — 3 роки за ст. 44 ПКУ, кадрові документи — 75 років).

У політиці рекомендується зазначати строки зберігання для кожної категорії даних окремо або встановлювати критерії їх визначення (наприклад, «протягом дії договору та 3 роки після його припинення»). Якщо строк зберігання не визначений законом і не випливає з мети, Уповноважений Верховної Ради з прав людини рекомендує встановлювати його самостійно та фіксувати у внутрішніх регламентах, на які посилається політика.

Політику слід оновлювати у таких випадках:

  • зміна мети або переліку даних, що обробляються;
  • зміна підстав обробки;
  • зміна контактних даних або найменування володільця;
  • набрання чинності новими нормативними актами, що регулюють обробку даних;
  • початок транскордонної передачі даних або зміна отримувачів;
  • початок обробки спеціальних категорій даних або даних неповнолітніх.

Рекомендований цикл перегляду — не рідше одного разу на рік. Про внесення суттєвих змін до політики суб'єктів персональних даних слід повідомляти у спосіб, аналогічний первісному повідомленню (електронний лист, повідомлення на сайті тощо).

Які документи доповнюють політику обробки персональних даних?

Політика є основним, але не єдиним документом системи захисту персональних даних. До пакету документів входять:

  1. Форма згоди суб'єкта — окремий документ або чекбокс з чітким формулюванням мети; мовчання або попередньо проставлена позначка не є згодою (ст. 2 ЗУ «Про захист персональних даних»).
  2. Реєстр (облік) баз персональних даних — відповідно до ст. 9 Закону, володілець зобов'язаний повідомити Уповноваженого про обробку персональних даних у встановленому порядку.
  3. Договір з розпорядником — якщо обробку здійснює третя особа (хмарний сервіс, аутсорсинговий колл-центр), укладається договір із зазначенням обсягу та мети обробки (ст. 10 ЗУ «Про захист персональних даних»).
  4. Повідомлення суб'єктів — під час збору даних суб'єкт має бути повідомлений про всі умови обробки (ст. 12 ч. 2).

Детальніше про договірне оформлення відносин з контрагентами — у матеріалах розділу ФОП, договори та бізнес. Нормативна база щодо захисту персональних даних та актуальні роз'яснення Уповноваженого — у розділі захист персональних даних.

FAQ

Чи потрібна окрема політика ФОП, чи достатньо публічної оферти?

Публічна оферта не замінює політику обробки персональних даних. ФОП є самостійним суб'єктом відносин у сфері персональних даних (ст. 4 ЗУ «Про захист персональних даних»), тому зобов'язаний мати окремий документ або окремий розділ у договорі з повним описом умов обробки. Поєднання в одному документі допустиме, якщо всі обов'язкові елементи присутні.

Яка відповідальність за відсутність політики обробки персональних даних?

Відсутність або неповнота документа є підставою для притягнення до адміністративної відповідальності за ст. 188-39 КУпАП — штраф від 85 до 170 неоподатковуваних мінімумів доходів громадян (від 1 445 до 2 890 грн). При повторному порушенні — від 170 до 340 неоподатковуваних мінімумів. Уповноважений Верховної Ради з прав людини має право складати протоколи та вносити подання про усунення порушень (ст. 24 ЗУ «Про захист персональних даних»).

Чи потрібно розміщувати політику на сайті публічно?

Для суб'єктів, що збирають дані через вебсайт, публічне розміщення політики є обов'язковим елементом виконання обов'язку з повідомлення суб'єктів (ст. 12 ч. 2 ЗУ «Про захист персональних даних»). Посилання на політику розміщується у місці збору даних — у формі реєстрації, підписки або оформлення замовлення.

Більше про захист прав у відносинах із державними органами та роботодавцями — у розділах трудове право та військове право.

Створити «Політика конфіденційності» онлайн

Сформуйте проєкт документа «Політика конфіденційності» під вашу ситуацію в конструкторі AGENTIS — Політика конфіденційності: відкрити конструктор. Сервіс готує структуровану чернетку на основі ваших даних; це підготовчий інструмент, що не замінює консультацію юриста перед підписанням.

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 6 ЗУ Про захист персональних даних, ст. 8 ЗУ Про захист персональних даних з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.