Перейти до основного вмісту
AGENTIS Legal Platform

Договір про обробку персональних даних DPA 2026 ТОВ ФОП | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 28 GDPR, ст. 24 ЗУ № 2297-VI, ст. 24-1 ЗУ № 2297-VI

Коротка відповідь

Договір про обробку персональних даних (DPA — Data Processing Agreement) — це договір між Контролером (володільцем персональних даних) і Процесором (розпорядником), що регулює обробку персональних даних від імені Контролера. Для українського ТОВ/ФОП DPA обов'язковий за ст.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Договір про обробку персональних даних (DPA — Data Processing Agreement) — це договір між Контролером (володільцем персональних даних) і Процесором (розпорядником), що регулює обробку персональних даних від імені Контролера. Для українського ТОВ/ФОП DPA обов'язковий за ст. 28 Регламенту (ЄС) 2016/679 (GDPR) при роботі з EU-суб'єктами або EU-процесорами та за ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (ост. ред. 14.06.2025 ЗУ № 4240-IX). DPA фіксує 8 обов'язкових елементів за ст. 28(3) GDPR: предмет/тривалість/мета обробки, тип даних, обов'язки сторін, інструкції контролера, конфіденційність, заходи безпеки за ст. 32 GDPR, sub-процесори, audit + assistance + return/erasure.

Коли потрібен DPA

DPA — foundational контракт у будь-якій бізнес-моделі, де одна сторона (Процесор) обробляє персональні дані від імені іншої (Контролера):

  • SaaS/cloud провайдери — український ТОВ-Контролер користується AWS, Google Cloud, Azure, Cloudflare для зберігання даних клієнтів. Без DPA — порушення ст. 28 GDPR + ст. 24-1 ЗУ № 2297-VI.
  • Маркетингові агенції / email tools — Mailchimp, SendGrid, HubSpot обробляють email-адреси, поведінкові метрики, segments від імені ТОВ.
  • HR-сервіси — BambooHR, Workable, PeopleForce обробляють дані працівників/кандидатів.
  • Аналітика — Google Analytics, Mixpanel, Amplitude обробляють user identifiers + behavior.
  • Платіжні провайдери — Stripe, LiqPay, Fondy обробляють платіжні дані (з паралельним PCI-DSS режимом).
  • Колл-центри / outsourcing — зовнішня обробка телефонних дзвінків, скарг, сапорт-tickets.
  • Cross-border трансфери — передача даних до EU/US/UK потребує SCC 2021 модуля + Transfer Impact Assessment (TIA) за ст. 44-49 GDPR.
  • Joint controllers — спільна обробка з партнером (рекламні платформи) — окремий договір за ст. 26 GDPR + DPA з кожним процесором.

DPA НЕ потрібен для звичайних B2B послуг без обробки персональних даних (наприклад, поставка обладнання, оренда офісу) — у них діє звичайний договір про надання послуг за ст. 901 ЦКУ.

Покроково: алгоритм укладення DPA

  1. Класифікація ролі сторони. Визначте, хто є Контролером (визначає мету і засоби обробки) і хто — Процесором (обробляє за інструкціями). Один контрагент може бути joint controller (спільна обробка) — це окремий режим за ст. 26 GDPR.
  2. Інвентаризація обробки. Заповніть Annex 1 DPA: природа обробки (hosting/analytics/email), мета, тривалість, тип даних (базові ідентифікатори / фінансові / health / biometric), категорії суб'єктів (клієнти/працівники/відвідувачі), географія.
  3. Перевірка special categories (ст. 9 GDPR / ст. 7 ЗУ № 2297-VI). Якщо обробляються дані про здоров'я, біометрія, статеве життя, релігія тощо — потрібна явна письмова згода або spec-винятки + посилений захист.
  4. Інструкції Контролера. Документуйте у DPA + Annex 2: процесор обробляє ТІЛЬКИ за документованими інструкціями. Будь-яке відхилення — порушення ст. 28(3)(a).
  5. Sub-процесори. Список + право Контролера на 30-day notice + право заперечити (ст. 28(2), (4) GDPR). Для кожного sub-процесора — DPA-mirroring (back-to-back DPA з аналогічними зобов'язаннями).
  6. Заходи безпеки (ст. 32 GDPR). AES-256 encryption at rest + TLS 1.3 in transit + access control + pseudonymisation + audit logs + incident response. Annex 3 DPA — детальний перелік.
  7. Breach notification. SLA Процесор → Контролер — 24-48 годин (для виконання 72h GDPR-вимоги Контролером за ст. 33). Включає опис інциденту, scope, suspected impact, remediation plan.
  8. Audit rights. Self-assessment annually + право on-site з 30-day notice + третя сторона для confidentiality (Big4 / спеціалізовані аудитори).
  9. Cross-border трансфери. Якщо Процесор/sub-процесор поза EU/EEA + країна без adequacy decision → SCC 2021 модуль (C2P або P2P) + Transfer Impact Assessment (TIA).
  10. Termination. 30-90 днів post-termination — Процесор повертає або стирає всі персональні дані за вибором Контролера (ст. 28(3)(g)) + надає certificate of destruction.

Детальніше — QA: як скласти DPA 2026 покроково.

8 обов'язкових елементів DPA за ст. 28(3) GDPR

# Елемент Що містити у договорі
1 Предмет, тривалість, природа і мета обробки Annex 1: бізнес-кейс (hosting клієнтських даних), термін = сума контракту + 30 днів post-termination
2 Тип даних і категорії суб'єктів Annex 1: ім'я, email, IP, поведінкові метрики; категорії — клієнти ТОВ, відвідувачі сайту
3 Інструкції Контролера Documented instructions; будь-яке відхилення — порушення з відповідальністю
4 Конфіденційність NDA для всіх осіб, що обробляють дані
5 Заходи безпеки (ст. 32 GDPR) Annex 3: encryption, access control, pseudonymisation, incident response
6 Sub-процесори Annex 2: список + 30-day notice + право заперечити + back-to-back DPA
7 Допомога Контролеру DSAR (data subject access request) асистенція + DPIA + breach notification
8 Return/erasure + audit 30-90 днів post-termination + certificate + audit rights з notice

Без хоча б одного з 8 елементів договір не вважається валідним DPA — це порушення ст. 28 GDPR з ризиком штрафу до 4% річного обороту або €20 млн.

Штрафи та відповідальність 2024-2026

Україна (ЗУ № 2297-VI + КУпАП):

  • ст. 188-39 КУпАП — до 850 000 грн (50 000 НМДГ) за незаконну обробку, що завдала шкоди (посилено ЗУ № 4015-IX від 10.10.2024).
  • ст. 182, 361-2 ККУ — кримінальна відповідальність до 5 років позбавлення волі.

EU (GDPR):

  • ст. 83 GDPR — до €20 млн або 4% річного світового обороту (більшого з двох) за порушення ст. 5, 6, 7, 9, 28, 32-34.
  • DLA Piper GDPR Fines Survey January 2026: cumulative fines з 2018 — понад €7,1 млрд.
  • AEPD (Іспанія) 2024: 40+ санкцій, де відсутність або недостатність DPA — contributing factor.
  • EDPB Coordinated Enforcement Action 2024: 156 corrective actions across EU member states; documented instructions + sub-процесор control — найчастіші deficiencies.
  • CNIL (Франція) 2024: штраф healthcare-оператору за breach 33 млн пацієнтів — затримка повідомлення + неадекватна безпека.
  • UODO (Польща) січень 2025: оновлений guidance — risk assessment обов'язковий для кожного breach незалежно від severity.

Часті помилки у DPA

1. Універсальний шаблон без адаптації. Бельгійський DPA у 2023 наклав санкцію на контролера за використання ідентичного шаблону для 12 процесорів без адаптації до specific processing — порушення ст. 28(3) GDPR. Recipe: окремий DPA для кожного типу обробки + nature/purpose specific Annex 1.

2. Sub-процесори без згоди. Процесор підключає AWS sub-region або новий BI-tool без notification — порушення ст. 28(2). Recipe: explicit list у Annex 2 + 30-day notice + право заперечити + back-to-back DPA.

3. Без шифрування at rest. Дані у відкритому вигляді на S3/GCS. Recipe: AES-256 minimum + key rotation policy + KMS audit logs.

4. Breach SLA processor → controller > 72 годин. Контролер фізично не може дотриматися 72h. Recipe: 24-48h SLA з явним escalation procedure 24/7.

5. Cross-border без SCC. Передача до US/UK/India без SCC 2021 — порушення ст. 44-49 GDPR + ст. 24-1 ЗУ № 2297-VI. Recipe: SCC 2021 модуль + TIA + adequacy decision review.

6. Без права audit. Порушення ст. 28(3)(h). Recipe: self-assessment + on-site з notice + третя сторона.

7. Згода як єдина підстава для employment-обробки. Працівник може відкликати — risk paralysis HR-обробки. Recipe: ст. 6(1)(b) (договір) + (c) (legal obligation) як основні підстави, consent — для додаткових категорій.

8. Special categories без явної згоди. Health/biometric без ст. 9(2) винятку — нікчемно. Recipe: explicit consent OR конкретна підстава ч. 2 ст. 9 + посилений захист.

Воєнний стан і обробка персональних даних

Воєнний стан (ЗУ № 2122-IX від 15.03.2022, ред. 2024) не скасовує базових принципів захисту персональних даних. Суб'єкт зберігає права за ст. 8 ЗУ № 2297-VI. Винятки:

  • Реєстр «Оберіг» — обробка даних чоловіків 18-60 років з біометричними елементами; правова підстава — ЗУ № 3633-IX від 11.04.2024.
  • Cross-border 2024+: розширені можливості зберігання даних на EU/US-серверах для безпеки інфраструктури — застосовується ст. 24-1 ч. 5 ЗУ № 2297-VI з SCC.
  • Обмеження пропорційні — обмеження прав суб'єкта мають бути чітко визначеними у законі та необхідними для забезпечення безпеки.

FAQ

Чи потрібен DPA, якщо процесор — українська ФОП? Так. ст. 24 Закону № 2297-VI вимагає, щоб володілець доручав обробку розпоряднику на підставі договору в письмовій формі. DPA — еквівалент. Для українського процесора + EU-суб'єкта додатково діє ст. 28 GDPR.

Чи можу я використати готовий шаблон DPA AWS / Google? Так, для відповідного процесора (AWS DPA для AWS, Google DPA для Google Workspace). Але потрібно доповнити Annex 1 specific описом своєї обробки + прив'язати до української юрисдикції через посилання на ст. 24 ЗУ № 2297-VI.

Хто відповідає за breach — Контролер чи Процесор? Контролер — primary відповідальний за GDPR-compliance перед суб'єктами. Процесор — за порушення інструкцій + ст. 32 GDPR. У DPA пропишіть indemnification — Процесор відшкодовує штрафи Контролеру за свої порушення.

Чи можу я передавати дані EU-суб'єктів до Україна? Так. EU має adequacy decision для України з 2010 року — Україна вважається країною з адекватним рівнем захисту для EU-цілей (за певних умов). Перевірте останні рішення Комісії — статус може мінятися.

Що таке Transfer Impact Assessment (TIA)? Документ, що оцінює, чи країна-receiver забезпечує adequate protection при cross-border передачі. Введений Schrems II (2020) — для US, UK, India, Singapore тощо обов'язковий поряд з SCC.

Чи потрібен DPO (Data Protection Officer) для DPA? DPO обов'язковий за ст. 37 GDPR для контролерів, що систематично обробляють великі обсяги даних або special categories. Український ТОВ-Процесор обов'язково має DPO для обробки EU-суб'єктів. Контактна інформація DPO — у Annex 1 DPA.

Що робити якщо процесор відмовляється підписати DPA? Не передавати йому персональні дані. Без DPA — обробка незаконна (ст. 28(1) GDPR + ст. 24 ЗУ № 2297-VI), штраф контролеру до 4% обороту.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон DPA з 8 обов'язковими елементами + Annex 1-3 (опис обробки, sub-процесори, заходи безпеки) + SCC 2021 модулем для cross-border — згенеруйте чернетку DPA через AI-генератор AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: Закон № 2297-VI на zakon.rada.gov.ua · GDPR Art. 28 на gdpr-info.eu · SCC 2021 на commission.europa.eu

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 28 GDPR, ст. 24 ЗУ № 2297-VI з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.