Перейти до основного вмісту
AGENTIS Legal Platform

Політика конфіденційності для сайту — зразок 2026 | AGENTIS

Перевірив юрист: Олександр Кравченко, магістр права (КНУ ім. Шевченка)·Оновлено: 21.06.2026·Правова база: ст. 8 ЗУ Про захист персональних даних, ст. 10 ЗУ Про захист персональних даних, ст. 12 ЗУ Про захист персональних даних

Коротка відповідь

Будь-який ФОП або компанія, що збирає персональні дані через сайт (ім'я, email, телефон, cookie), зобов'язані розмістити публічну політику конфіденційності відповідно до ЗУ «Про захист персональних даних» (редакція 14. 06.

Довідкова інформація на основі законодавства України, не юридична консультація.

Маєте схожу ситуацію? AI проаналізує вашу справу за законодавством України.

Описати ситуацію →

Будь-який ФОП або компанія, що збирає персональні дані через сайт (ім'я, email, телефон, cookie), зобов'язані розмістити публічну політику конфіденційності відповідно до ЗУ «Про захист персональних даних» (редакція 14.06.2025). Відсутність документа тягне адміністративну відповідальність за ст. 188-39 КУпАП. У 2026 році вимоги залишаються чинними — нижче повний алгоритм складання та зразок.

Disclaimer: Матеріал носить інформаційний характер і не є юридичною консультацією.

Коли застосовується: хто зобов'язаний мати політику конфіденційності

Обов'язок виникає у кожного суб'єкта, який є володільцем бази персональних даних відповідно до ст. 4 ЗУ «Про захист персональних даних». Для сайту це означає: якщо через форму реєстрації, замовлення, підписки або cookie-лічильники збираються будь-які дані, що дозволяють ідентифікувати фізичну особу — виникає обов'язок.

Хто підпадає:

  • ФОП будь-якої групи, що має сайт із формою зворотного зв'язку, магазин, блог із коментарями.
  • Юридичні особи (ТОВ, АТ) — без винятків.
  • Громадські організації, що збирають дані членів або відвідувачів сайту.
  • Фізичні особи, якщо вони ведуть комерційну діяльність онлайн.

Edge cases — коли обов'язок може бути меншим:

  • Сайт-візитка без будь-яких форм і без аналітики (Google Analytics, Facebook Pixel) — формально збору даних немає, однак розміщення політики є хорошою практикою.
  • Обробка даних виключно власних працівників у внутрішній системі без публічного доступу — окремий режим за ст. 10 ЗУ «Про захист персональних даних».
  • Сайт, що повністю використовує сторонній платіжний шлюз без передачі даних на власні сервери — відповідальність частково переходить до процесора, але власник сайту залишається співвідповідальним.

Детальний огляд зобов'язань ФОП у сфері персональних даних та договірних відносин — у гайді для ФОП з договорів та бізнесу.

Що таке політика конфіденційності та які дані вона охоплює

Політика конфіденційності — публічний документ, що інформує суб'єктів персональних даних про мету, підстави та порядок обробки їхніх даних. Відповідно до ст. 8 ЗУ «Про захист персональних даних», суб'єкт має право знати про мету збору, склад даних, третіх осіб, яким вони передаються, та строки зберігання.

Персональні дані, які типово охоплює політика для сайту:

Категорія Приклади Правова підстава збору
Ідентифікаційні ПІБ, email, телефон Згода (ст. 11 ЗУ «Про захист ПД»)
Технічні IP-адреса, cookie, тип браузера Законний інтерес / згода
Платіжні Номер картки (через шлюз) Виконання договору
Поведінкові Переглянуті сторінки, кліки Згода через cookie-банер
Особливі категорії Стан здоров'я, біометрія Ст. 7 ЗУ «Про захист ПД» — лише за явною згодою

Збір особливих категорій даних (ст. 7 ЗУ «Про захист персональних даних») вимагає окремої явної письмової згоди — цей момент у більшості сайтів ФОП відсутній, що є типовим порушенням.

Вимоги ЗУ «Про захист персональних даних» до змісту документа у 2026 році

Відповідно до ст. 8, ст. 10 та ст. 12 ЗУ «Про захист персональних даних», чинна редакція від 14.06.2025, документ повинен містити такі обов'язкові блоки:

  1. Найменування та контакти володільця — повна назва або ПІБ ФОП, адреса, email для звернень щодо персональних даних (ст. 8 ч. 2).
  2. Мета збору та обробки — конкретна, а не загальна ("для надання послуг" недостатньо — потрібно: "для обробки замовлень, надсилання рахунків, маркетингових розсилок").
  3. Склад даних — перелік категорій, що збираються (ст. 12 ЗУ «Про захист персональних даних»).
  4. Підстави обробки — згода, виконання договору, законний обов'язок (ст. 11 ЗУ «Про захист персональних даних»).
  5. Строки зберігання — конкретні строки або критерії їх визначення.
  6. Треті особи та передача даних — назви сервісів (Google Analytics, Nova Poshta, платіжний шлюз), мета передачі (ст. 10 ч. 2).
  7. Права суб'єкта — доступ, виправлення, видалення, заперечення обробці (ст. 8 ЗУ «Про захист персональних даних»): право знати, отримувати копію, вимагати знищення.
  8. Порядок реалізації прав — строк відповіді (30 днів за ст. 16 ЗУ «Про захист персональних даних»), контактна особа.
  9. Cookie-політика — окремий розділ або посилання на окремий документ.
  10. Дата останнього оновлення — фіксує актуальність версії.

Питання про згоду на обробку персональних даних та її форму — суміжна тема, що потребує окремого документа.

Покроково: як скласти та розмістити політику конфіденційності на сайті

Крок 1. Аудит даних (1-3 дні) Складіть перелік усіх точок збору даних на сайті: форми, cookie, аналітика, платіжні системи, чат-боти. Визначте, які дані збираються, де зберігаються, кому передаються.

Крок 2. Визначення правових підстав (1 день) Для кожної категорії даних визначте підставу обробки відповідно до ст. 11 ЗУ «Про захист персональних даних»: згода, договір або законний обов'язок. Маркетингові розсилки — лише за згодою.

Крок 3. Складання тексту документа (2-5 днів) Використайте зразок нижче як основу. Адаптуйте під реальні дані вашого бізнесу. Уникайте шаблонних фраз без конкретики — регулятор (Уповноважений Верховної Ради з прав людини) оцінює реальний зміст, а не наявність документа.

Крок 4. Юридична перевірка (опціонально, але рекомендовано) Для сайтів із великим трафіком або збором чутливих даних — перевірка юристом. Консультацію щодо договорів та відповідальності ФОП можна отримати через AGENTIS.

Крок 5. Розміщення на сайті

  • Посилання у футері кожної сторінки — обов'язково.
  • Посилання у формах збору даних — поряд із чекбоксом згоди.
  • Окрема URL-адреса, наприклад /privacy-policy.
  • Версія для друку або PDF — за потреби.

Крок 6. Впровадження cookie-банера Відповідно до ст. 14 ЗУ «Про електронну комерцію» та ст. 10 ЗУ «Про захист персональних даних», cookie-банер має з'являтися до встановлення файлів cookie (крім технічно необхідних).

Крок 7. Навчання персоналу Відповідно до ст. 10 ч. 3 ЗУ «Про захист персональних даних», працівники, що мають доступ до персональних даних, зобов'язані забезпечувати їх захист і нерозголошення.

Зразок політики конфіденційності для сайту ФОП

ПОЛІТИКА КОНФІДЕНЦІЙНОСТІ [Назва сайту / ФОП ПІБ] Редакція від: [дата]

1. Загальні положення Цей документ визначає порядок збору, обробки та захисту персональних даних користувачів сайту [URL] відповідно до ЗУ «Про захист персональних даних» (редакція 14.06.2025).

Володілець бази персональних даних: ФОП [ПІБ], РНОКПП [номер], адреса: [адреса], email: [email].

2. Які дані ми збираємо

  • Ім'я, прізвище, email, номер телефону — при заповненні форм замовлення/реєстрації.
  • IP-адреса, тип браузера, cookie — автоматично при відвідуванні сайту.
  • Платіжні дані — обробляються виключно платіжним шлюзом [назва], ФОП не зберігає дані карток.

3. Мета обробки

  • Обробка замовлень та укладення договорів (ст. 11 ЗУ «Про захист ПД»).
  • Надсилання маркетингових матеріалів — лише за окремою згодою.
  • Аналіз трафіку сайту через Google Analytics (анонімізовані дані).

4. Передача третім особам Дані передаються: Google LLC (аналітика), Nova Poshta (доставка), [платіжний шлюз]. Передача здійснюється лише в обсязі, необхідному для виконання послуги (ст. 10 ч. 2 ЗУ «Про захист ПД»).

5. Строки зберігання

  • Дані замовлень — 3 роки (строк позовної давності за ст. 257 ЦКУ).
  • Cookie — до 12 місяців або до відкликання згоди.
  • Дані підписників розсилки — до відписки.

6. Права суб'єкта персональних даних (ст. 8 ЗУ «Про захист ПД») Ви маєте право: знати про обробку ваших даних; отримати копію; вимагати виправлення або видалення; заперечити обробці; відкликати згоду. Звернення надсилати на [email], відповідь — протягом 30 днів (ст. 16 ЗУ «Про захист ПД»).

7. Зміни до Політики Про суттєві зміни повідомляємо на сайті або електронною поштою не пізніше ніж за 10 днів до набрання чинності.

Строки та дедлайни

Подія Строк Норма
Розміщення політики до початку збору даних До першого збору Ст. 12 ЗУ «Про захист ПД»
Відповідь на запит суб'єкта про доступ до даних 30 календарних днів Ст. 16 ЗУ «Про захист ПД»
Видалення даних на вимогу суб'єкта 30 календарних днів Ст. 15 ЗУ «Про захист ПД»
Повідомлення про зміну мети обробки До початку нової обробки Ст. 9 ЗУ «Про захист ПД»
Оновлення політики при зміні сервісів/процесів Негайно після зміни Ст. 10 ЗУ «Про захист ПД»
Зберігання даних договорів До 3 років Ст. 257 ЦКУ (позовна давність)

Необхідні документи

Повний пакет для сайту ФОП включає:

  1. Політика конфіденційності — основний публічний документ.
  2. Форма згоди на обробку персональних даних — окремий чекбокс у кожній формі збору; текст: "Я надаю згоду на обробку моїх персональних даних відповідно до Політики конфіденційності".
  3. Cookie-повідомлення (банер) — з можливістю відмовитись від нетехнічних cookie.
  4. Реєстр бази персональних даних — внутрішній документ, що підтверджує реєстрацію бази (ст. 9 ЗУ «Про захист ПД»; реєстрація здійснюється у Уповноваженого ВРУ з прав людини).
  5. Договір із обробником даних (Data Processing Agreement) — якщо залучаєте сторонні сервіси (хмарні платформи, CRM, email-сервіси) відповідно до ст. 10 ЗУ «Про хмарні послуги».
  6. Внутрішня інструкція для персоналу — порядок роботи з персональними даними (ст. 10 ч. 3 ЗУ «Про захист ПД»).

Зразки форм згоди та cookie-банерів — у статті про згоду на обробку персональних даних.

Судова практика

Українська судова практика у сфері захисту персональних даних формується переважно через рішення адміністративних судів та постанови Уповноваженого ВРУ з прав людини.

1. Позиція щодо формальної наявності vs. реального змісту Адміністративні суди у справах про оскарження приписів Уповноваженого ВРУ з прав людини послідовно підтримують позицію: наявність тексту "Політика конфіденційності" на сайті без конкретних відомостей про мету, склад даних і треті особи не звільняє від відповідальності. Документ оцінюється за змістом, а не за назвою.

2. Відповідальність за передачу даних третім особам без повідомлення Суди визнають порушенням ст. 10 ЗУ «Про захист персональних даних» використання аналітичних сервісів (зокрема, передачу IP-адрес за кордон) без зазначення цього у політиці конфіденційності та без отримання належної згоди користувача.

3. Строк відповіді на запит суб'єкта Практика Уповноваженого ВРУ з прав людини підтверджує: порушення 30-денного строку відповіді на запит суб'єкта (ст. 16 ЗУ «Про захист персональних даних») є самостійною підставою для притягнення до відповідальності незалежно від того, чи є у підприємця політика конфіденційності.

Часті помилки

Помилка 1: Копіювання чужої політики без адаптації Типова ситуація — ФОП копіює текст із іншого сайту, залишаючи чужу назву компанії або невірні дані про сервіси. Це не лише марно, але й може кваліфікуватися як введення користувача в оману.

Помилка 2: Відсутність cookie-банера при використанні Google Analytics Google Analytics встановлює cookie та передає дані на сервери Google LLC (США). Без cookie-банера та відповідного пункту в політиці — порушення ст. 10 ЗУ «Про захист персональних даних».

Помилка 3: Загальна мета обробки ("покращення сервісу") Формулювання на кшталт "для покращення якості послуг" не відповідає вимозі конкретності. Мета повинна бути чіткою: "надсилання рахунків", "підтвердження замовлень", "email-маркетинг".

Помилка 4: Відсутність механізму реалізації прав суб'єкта Вказати права — недостатньо. Потрібен реальний механізм: email для звернень, строк відповіді, форма запиту. Без цього ст. 8 ЗУ «Про захист персональних даних» вважається порушеною.

Помилка 5: Незазначення строків зберігання Більшість сайтів пишуть "до досягнення мети обробки" — це прийнятно, але краще вказати конкретні строки для кожної категорії даних.

Помилка 6: Відсутність дати редакції Без дати редакції неможливо довести, що на момент збору даних діяла актуальна версія документа.

Відповідальність за відсутність або неналежну політику конфіденційності

Відповідно до ст. 188-39 КУпАП, порушення законодавства про захист персональних даних тягне:

  • Попередження або штраф на фізичних осіб — від 100 до 200 неоподатковуваних мінімумів доходів громадян (від 1 700 до 3 400 грн).
  • Для посадових осіб — від 300 до 500 неоподатковуваних мінімумів (від 5 100 до 8 500 грн).
  • При повторному порушенні протягом року — штраф збільшується.

Контроль здійснює Уповноважений Верховної Ради України з прав людини (ст. 23 ЗУ «Про захист персональних даних»). Перевірки можуть бути ініційовані скаргою будь-якого користувача сайту.

Додатково — цивільна відповідальність за ст. 23 ЦКУ (відшкодування моральної шкоди) у разі витоку або незаконного поширення персональних даних.

Суміжна тема — відповідальність ФОП за порушення договірних зобов'язань — також регулюється нормами ЦКУ.

FAQ: найпоширеніші запитання ФОП щодо захисту персональних даних

Чи потрібна політика конфіденційності, якщо у мене лише форма зворотного зв'язку з email? Так. Збір email — це обробка персональних даних відповідно до ст. 2 ЗУ «Про захист персональних даних». Навіть одне поле email зобов'язує розмістити документ.

Чи достатньо розмістити посилання на політику у футері? Посилання у футері — мінімальна вимога. Додатково посилання має бути у кожній формі збору даних поряд із чекбоксом згоди.

Чи потрібно реєструвати базу персональних даних? Відповідно до ст. 9 ЗУ «Про захист персональних даних», реєстрація бази є обов'язковою. Реєстрація здійснюється у Уповноваженого ВРУ з прав людини (безкоштовно, в електронній формі).

Що робити, якщо користувач вимагає видалити його дані? Відповідно до ст. 15 ЗУ «Про захист персональних даних», дані підлягають видаленню протягом 30 днів. Виняток — якщо зберігання є обов'язковим за законом (наприклад, фіскальні дані).

Чи може одна людина одночасно бути суб'єктом і подати скаргу на ФОП? Так. Будь-який користувач сайту, чиї дані оброблялися без належної підстави або без повідомлення, має право подати скаргу до Уповноваженого ВРУ з прав людини відповідно до ст. 8 ЗУ «Про захист персональних даних».

Чи поширюється ЗУ «Про захист персональних даних» на дані юридичних осіб? Ні. Відповідно до ст. 2 та ст. 5 ЗУ «Про захист персональних даних», об'єктом захисту є дані виключно фізичних осіб. Дані ТОВ, ФОП як суб'єктів господарювання (назва, код ЄДРПОУ) захистом цього Закону не охоплюються.

Чи потрібна окрема згода для кожного виду обробки (email-розсилка, аналітика, CRM)? Так. Відповідно до ст. 11 ЗУ «Про захист персональних даних», згода має бути конкретною: одна загальна згода "на обробку даних" не охоплює всі можливі цілі. Маркетингова розсилка та аналітика — окремі цілі, що потребують окремого підтвердження.

Потрібен документ для цієї ситуації?

AI згенерує договір, позов або клопотання за ДСТУ 4163-2020 з урахуванням ст. 8 ЗУ Про захист персональних даних, ст. 10 ЗУ Про захист персональних даних.

Згенерувати документ →

Перевірити на своїй ситуації

AI-аналіз вашої конкретної ситуації за 420+ законами України. Покроковий план дій, ризики, необхідні документи.

Описати ситуаціюАбо згенерувати документ →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.