Перейти до основного вмісту
AGENTIS Legal Platform

DPA з cloud-провайдером AWS GCP Azure 2026 для ТОВ ФОП | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 28 GDPR, ст. 24 ЗУ № 2297-VI, ст. 24-1 ЗУ № 2297-VI

Коротка відповідь

DPA між українським ТОВ і cloud-провайдером (AWS, GCP, Azure, Cloudflare, DigitalOcean) — це договір, що регулює обробку персональних даних клієнтів/користувачів ТОВ-Контролера на серверах cloud-провайдера-Процесора. Обов'язковий за ст.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

DPA між українським ТОВ і cloud-провайдером (AWS, GCP, Azure, Cloudflare, DigitalOcean) — це договір, що регулює обробку персональних даних клієнтів/користувачів ТОВ-Контролера на серверах cloud-провайдера-Процесора. Обов'язковий за ст. 28 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI. Cloud-провайдер виступає як Процесор і часто має готовий DPA-шаблон (AWS DPA, Google Cloud DPA), який ТОВ-Контролер має доповнити Annex 1 з описом своєї обробки та прив'язати до української юрисдикції.

Коли потрібен cloud-DPA для ТОВ/ФОП

Будь-яке українське юридичне особа або підприємець, що використовує SaaS / IaaS / PaaS у бізнесі, має DPA з кожним cloud-провайдером, що обробляє персональні дані:

  • Hosting клієнтських сайтів / API — AWS EC2/RDS, GCP Compute Engine, DigitalOcean Droplets зберігають user accounts, payment metadata, behavior logs.
  • Storage — Amazon S3, Google Cloud Storage, Azure Blob — файли користувачів, аватари, документи.
  • CDN + WAF — Cloudflare, AWS CloudFront — IP-адреси, request logs, behavior signals.
  • Database-as-a-Service — Supabase, Neon, PlanetScale — primary user data store.
  • Auth — Auth0, Clerk, Firebase Authentication — user credentials, biometric (якщо WebAuthn).
  • Backup + DR — cross-region replication часто включає cross-border трансфер.
  • Monitoring — Datadog, New Relic, Sentry — error logs з PII.

Якщо cloud-провайдер просто забезпечує обчислювальну потужність без доступу до даних (наприклад, encrypted-at-rest зберігання з зашифрованими ключами тільки у Контролера) — формально процесорна роль слабка, але DPA все одно рекомендований.

Покроково: укладення DPA з cloud-провайдером

  1. Інвентаризація сервісів. Складіть перелік усіх cloud-сервісів, що обробляють персональні дані клієнтів/працівників. Ідентифікуйте, які дані передаються кожному.
  2. Аналіз ролей. Cloud-провайдер — Процесор (визначає засоби, але не мету). ТОВ — Контролер (визначає мету). Joint controllership рідкісний у cloud — більшість шаблонів AWS/GCP позиціонують себе як Processor.
  3. Sign провайдерського DPA-шаблону. AWS DPA доступний через AWS Artifact, Google Cloud DPA — через Workspace Admin Console, Azure DPA — через Microsoft Trust Center. Critical: перевірте останню версію (2024-2025).
  4. Доповнення Annex 1. Опишіть specific processing: природа (storage / compute / analytics), мета (надання послуг ТОВ клієнтам), тип даних (email, IP, behavior), категорії суб'єктів (клієнти ТОВ, відвідувачі сайту), географія.
  5. Annex 2: sub-процесори. Cloud-провайдер має sub-процесорів (AWS — sub-region partners, Google — third-party SaaS у Marketplace). Перевірте їх список + право на 30-day notice + право заперечити.
  6. Annex 3: заходи безпеки. AES-256 encryption at rest (default для AWS S3 SSE-S3, GCP CMEK), TLS 1.3 in transit, IAM з MFA, KMS key rotation, audit logs (CloudTrail, GCP Audit Logs). Document specific configurations.
  7. Cross-border трансфери (ст. 44-49 GDPR). Якщо ТОВ обслуговує EU-суб'єктів і дані зберігаються у US-region (наприклад, AWS us-east-1) — потрібен SCC 2021 модуль C2P + Transfer Impact Assessment (TIA).
  8. Breach SLA (ст. 33 GDPR). AWS, GCP, Azure повідомляють Контролера протягом 24-72 годин від виявлення. Перевірте у DPA конкретний SLA.
  9. Audit rights. AWS, GCP, Azure пропонують SOC 2 Type II reports + ISO 27001 + PCI-DSS attestations замість on-site audit. Це зазвичай прийнятно — на-site audit неможливий.
  10. Termination. 30-90 днів post-termination — повернення/стирання даних. AWS пропонує Account Closure → автоматичне стирання через 90 днів. Зробіть свій backup перед closure.

Особливості провайдерських DPA — порівняльна таблиця

Провайдер DPA версія SCC 2021 включено Breach SLA Sub-процесори Audit
AWS DPA 2024 (через AWS Artifact) Так, як Annex II "without undue delay" AWS Marketplace partners + sub-regions SOC 2, ISO 27001, PCI-DSS
Google Cloud Data Processing Amendment (Cloud Customer) 2024 Так, через Schedule 2 24h SLA Список у Cloud Service Specific Terms SOC 2, ISO 27018
Microsoft Azure Microsoft Products and Services DPA 2024 Так, через EU Standard Contractual Clauses Addendum 72h, але часто 24h практика Sub-process List на Trust Center SOC, ISO, FedRAMP
Cloudflare Data Processing Addendum 2024 Так, у DPA Section 8 72h Список у DPA Schedule 2 SOC 2, ISO 27001
DigitalOcean DPA 2024 Так, через окремий SCC document 72h Sub-processors List на trust page SOC 2 Type II
Supabase DPA 2024 Так без undue delay AWS, Vercel SOC 2 Type II

Cross-border: коли потрібен SCC

Якщо ТОВ передає дані EU-суб'єктів до cloud-region поза EU/EEA + поза країнами з adequacy decision (наприклад, US, UK, Singapore, India) — обов'язковий SCC 2021 модуль C2P:

Cloud region Country Adequacy decision EU SCC потрібен
AWS eu-central-1 (Frankfurt) Germany EU member НІ
AWS eu-west-1 (Ireland) Ireland EU member НІ
AWS us-east-1 (N. Virginia) USA EU-US Data Privacy Framework (DPF) 2023 YES (DPF не покриває all transfers)
AWS ap-southeast-1 (Singapore) Singapore НІ YES + TIA
GCP europe-west1 (Belgium) Belgium EU member НІ
GCP us-central1 (Iowa) USA DPF 2023 YES
Azure UK South (London) UK UK Adequacy Decision 2021 НІ

EU-US Data Privacy Framework (DPF) 2023: прийнято Комісією 10.07.2023; забезпечує adequate protection для US-компаній, що приєдналися до DPF. Перевірте список certified companies на dataprivacyframework.gov.

Часті помилки при роботі з cloud-DPA

1. Неадаптований Annex 1. Cloud-DPA шаблон містить generic опис; без specific Annex 1 для свого ТОВ — формально невалідний. Recipe: заповніть Annex 1 з details своєї обробки.

2. Region selection без adequacy. ТОВ запускає AWS у us-east-1 без SCC, обробляє EU-користувачів. Recipe: для EU-користувачів — eu-region (Frankfurt/Ireland) + SCC якщо backup поза EU.

3. Sub-процесори без notification. AWS додає нового sub-region partner — ТОВ не отримує notification. Recipe: subscribe на провайдерські sub-processor lists через RSS / email + review monthly.

4. Default encryption keys (AWS-managed). За замовчуванням AWS S3 використовує SSE-S3 (AWS-managed keys); для high-sensitivity — потрібен SSE-KMS з custom keys. Recipe: SSE-KMS + key rotation 90 days.

5. Без backup encryption. AWS Snapshots, Glacier архіви без додаткового шифрування. Recipe: encrypt всі snapshots + Glacier vault з KMS.

6. Без audit logs retention policy. CloudTrail logs автоматично rotate без long-term storage. Recipe: S3 lifecycle policy → archive у Glacier 1 рік + delete після 7 років (GDPR retention obligation).

7. Cross-region replication без SCC update. ТОВ налаштовує DR-replication до us-region без TIA. Recipe: при кожному додаванні нового region — review TIA.

Воєнний стан: cloud + персональні дані 2024-2026

Воєнний стан розширив можливості зберігання даних на EU/US-серверах для безпеки інфраструктури:

  • ст. 24-1 ч. 5 ЗУ № 2297-VI + Розпорядження КМУ № 360-р (2022) — спрощений режим cross-border до країн з adequacy + з SCC.
  • Дiя реєстри — частина даних зберігається на AWS eu-region як backup для resilience.
  • Practice 2024-2025: український ТОВ + AWS Frankfurt — стандарт для startups.

FAQ

Чи можу я використати AWS DPA "як є" без adapt? Не повністю. AWS DPA — generic template. Потрібно заповнити Annex 1 (опис обробки), Annex 3 (security measures specific для свого account configuration), додати посилання на ст. 24 ЗУ № 2297-VI.

Чи cloud-провайдер несе відповідальність за breach? Так, у межах своїх обов'язків (ст. 32 GDPR — security). За SLA для breach notification + indemnification у DPA — Процесор відшкодовує штрафи Контролеру за свої порушення. Але primary GDPR-compliance — на Контролері.

Чи потрібен DPO для ТОВ, що використовує AWS? Якщо ТОВ обробляє великі обсяги персональних даних або special categories (ст. 9 GDPR) — DPO обов'язковий за ст. 37 GDPR. Контактна інформація DPO — у Annex 1 DPA.

Що робити, якщо AWS змінює sub-процесорів без notification? Subscribe на AWS sub-processor list (доступний через AWS Artifact). Якщо novel sub-processor unacceptable — exercise right to object → AWS зазвичай пропонує alternative configuration. Якщо неможливо — terminate DPA + migrate.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон DPA для cloud-провайдера з заповненими Annex 1-3 + SCC 2021 модулем — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: GDPR Art. 28 на gdpr-info.eu · SCC 2021 на commission.europa.eu · EU-US Data Privacy Framework

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 28 GDPR, ст. 24 ЗУ № 2297-VI з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.