GDPR для українського бізнесу
— коли він діє
GDPR не діє в Україні як прямий закон.
- Екстериторіальна дія — якщо у вас клієнти в ЄС або ви моніторите їх поведінку (ст. 3(2) GDPR).
- Всередині України діє Закон № 2297-VI, наглядовий орган — Уповноважений ВРУ.
- Штрафи до 20 млн € / 4% обороту — це санкція органу ЄС, не українського (ст. 83 GDPR).
Адвокат фонду каже, чи GDPR узагалі на вас діє — і вибудовує сумісність під вашу модель.
Перша консультація по телефону — безкоштовна, конфіденційна.
Чотири кроки до GDPR-сумісності
Кожен крок вибудовуємо під вашу модель: які дані, звідки клієнти, чи є ЄС-фактор. Адвокат спершу каже, чи GDPR узагалі на вас діє — щоб ви не платили за зайвий комплаєнс.
Перевіряємо, чи діє GDPR на вас
Аналізуємо, чи є ЄС-фактор: клієнти-резиденти ЄС, продаж товарів/послуг у ЄС, моніторинг поведінки. Це визначає екстериторіальну дію (ст. 3(2) GDPR).
- Нормаст. 3(2) GDPR
- Критерійклієнти в ЄС
Аудит даних і правова підстава
Складаємо реєстр: що збираєте, навіщо, де зберігаєте, кому передаєте. Для кожної мети — правова підстава (ст. 6 GDPR) і дотримання принципів обробки (ст. 5).
- Підставаст. 6 GDPR
- Принципист. 5 GDPR
Документи і права суб'єктів
Політика приватності (ст. 13-14), реалізація прав: доступ, «право бути забутим» (ст. 17), переносимість (ст. 20), заперечення. За потреби — DPO (ст. 37 GDPR).
- Праваст. 15-20 GDPR
- DPOст. 37 GDPR
Процедури і український комплаєнс
План реагування на витік — 72 години для регулятора ЄС (ст. 33), DPA з підрядниками (ст. 28). Паралельно — вимоги Закону № 2297-VI і Уповноваженого ВРУ.
- Витік ЄС72 год, ст. 33
- УкраїнаЗакон № 2297-VI
Не знаєте, чи GDPR узагалі на вас поширюється? Перша консультація по телефону безкоштовна. За 15 хвилин розберемо вашу модель і назвемо, що робити.
ЗателефонуватиАнатомія проєкту — від скринінгу до підтримки
Реальна послідовність GDPR-сумісності: п'ять контрольних точок, де адвокат фонду включається або страхує вас від зайвих витрат і помилок.
-
01
Скринінг: чи діє на вас GDPR
День 1
Ви описуєте бізнес-модель: звідки клієнти, які дані, чи є продаж у ЄС. Адвокат визначає, чи спрацьовує екстериторіальна дія (ст. 3(2) GDPR). Якщо ЄС-фактора немає — скажемо чесно, що повний GDPR-комплаєнс вам не потрібен. Передзвонюємо того ж дня.
Скринінг -
02
Аудит даних і правові підстави
Дні 1–14
Складаємо реєстр операцій з обробки: що збираєте, навіщо, де зберігаєте, кому передаєте, скільки тримаєте. Для кожної мети підбираємо правову підставу (ст. 6 GDPR) і звіряємо з принципами обробки — законність, мінімізація, обмеження зберігання (ст. 5).
Аудит -
03
Політика, згоди, права суб'єктів
Дні 14–30
Готуємо політику приватності і повідомлення (ст. 13-14), механізми згоди, процедури реалізації прав: доступ (ст. 15), видалення / «право бути забутим» (ст. 17), переносимість (ст. 20). Тут — розвилка: визначаємо, чи потрібен DPO (ст. 37 GDPR).
Розвилка -
04
DPA з підрядниками і план на витік
1–3 міс.
Укладаємо договори обробки даних (DPA) з хостингом, CRM, маркетингом (ст. 28 GDPR), налаштовуємо трансфер даних за межі ЄС (ст. 46). Пишемо процедуру реагування на витік — 72 години на повідомлення наглядового органу ЄС (ст. 33) і суб'єктів (ст. 34).
Впровадження -
05
Український комплаєнс і підтримка
Постійно
Паралельно закриваємо українську частину: вимоги Закону № 2297-VI, повідомлення Уповноваженого ВРУ, відповідальна особа з захисту даних (ст. 24). Далі — супровід запитів суб'єктів, оновлення документів під зміни в діяльності і в праві.
Супровід
Самостійно або з адвокатом — GDPR-комплаєнс
Що ви отримаєте у кожному з варіантів — на старті проєкту і в момент запиту суб'єкта чи перевірки.
| Що буде | Самостійно / шаблони з інтернетуБез адвоката | Альтернатива: З адвокатом фондуКоординатор + профільний адвокат |
|---|---|---|
| Чи діє на вас GDPR | Гадаєте навмання — або платите за зайвий комплаєнс, або ігноруєте реальний ризик | Юридичний висновок за ст. 3(2): є ЄС-фактор чи ні, що саме потрібно |
| Правова підстава | «Погоджуюсь з усім» без вибору — типове порушення принципів обробки | Підстава під кожну мету обробки (ст. 6 GDPR), звірка з принципами ст. 5 |
| Права суб'єктів | На словах — а на запит про видалення чи доступ реагувати нічим | Процедури доступу, забуття і переносимості (ст. 15-20) з реальним механізмом |
| Витік даних | Без плану — у критичний момент втрачаєте 72 години і збільшуєте штраф | Готовий план: 72 год для органу ЄС (ст. 33) і крок для Уповноваженого ВРУ |
| Українська частина | Думаєте, що Закон № 2297-VI = GDPR, і не закриваєте жодного | Паралельний комплаєнс за № 2297-VI: відповідальна особа, повідомлення органу |
| Ризик і відповідальність | Штраф ЄС до 4% обороту плюс українська відповідальність (ст. 188-39 КУпАП, ст. 182 КК) | Прораховуємо реальні ризики під вашу модель і закриваємо їх по пріоритету |
Хто контролює захист даних в Україні
Ключова відмінність від ЄС: в Україні немає окремого «дата-регулятора». Контроль за захистом персональних даних покладено на Уповноваженого ВРУ і суди — саме сюди йдуть скарги, а не до вигаданої «інспекції з даних».
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи: 1) Уповноважений; 2) суди.
-
Не DPA, а омбудсмен
На відміну від країн ЄС, де діють національні органи із захисту даних (DPA), в Україні наглядову функцію виконує Уповноважений Верховної Ради України з прав людини.
-
GDPR — окрема система
Уповноважений ВРУ застосовує український Закон № 2297-VI, а не GDPR. За GDPR ваш бізнес відповідає перед наглядовим органом тієї держави ЄС, чиїх резидентів обробляє.
-
Скарга — Уповноваженому або в суд
Суб'єкт даних скаржиться Уповноваженому ВРУ (наслідок — адмінштраф за ст. 188-39 КУпАП) або звертається до суду. Окремого «дата-регулятора» в Україні не існує.
Виходите на ринок ЄС
Не впевнені, чи GDPR на вас діє і що закривати першим? Розберемо вашу модель за 15 хвилин на телефоні.
Базові документи GDPR-комплаєнсу
Усі шаблони — для розуміння обсягу роботи. Адвокат фонду адаптує кожен документ під вашу модель обробки даних — не використовуйте їх самостійно без правки.
-
Реєстр операцій з обробки персональних даних (ROPA)
Зразок структури — заповнюється під ваш ППРДокумент: Реєстр операцій з обробки персональних даних (Records of Processing Activities) — ТОВ «[найменування]», код ЄДРПОУ [номер].
Реєстр ведеться відповідно до ст. 30 Регламенту ЄС 2016/679 (GDPR) як внутрішній документ обліку діяльності з обробки. Для кожної операції зазначається:
- Мета обробки: [напр. виконання договору, email-маркетинг, аналітика сайту];
- Категорії суб'єктів і даних: [клієнти, працівники; ПІБ, email, платіжні дані];
- Правова підстава: [ст. 6 GDPR — згода, договір, легітимний інтерес];
- Отримувачі: [хостинг, CRM, платіжний провайдер, підрядники];
- Трансфер за межі ЄС: [країна, механізм — ст. 46 GDPR];
- Строк зберігання: [період або критерій визначення];
- Технічні та організаційні заходи захисту: [шифрування, розмежування доступу].
Реєстр оновлюється при кожній зміні процесів обробки. Паралельно враховуються вимоги Закону України № 2297-VI щодо повідомлення Уповноваженого ВРУ.
-
Політика приватності (Privacy Policy) для сайту / застосунку
Зразок структури — заповнюється під ваш ППРПолітика приватності — ТОВ «[найменування]» (далі — Компанія), контакти: [email, адреса].
Документ інформує суб'єктів даних відповідно до ст. 13-14 GDPR та Закону України № 2297-VI. Обов'язкові розділи:
- Хто обробляє дані: найменування Компанії, контакти, за потреби — DPO;
- Які дані і навіщо: перелік категорій, цілі обробки та правова підстава (ст. 6 GDPR);
- Кому передаються: категорії отримувачів, трансфер за межі ЄС і його механізм;
- Скільки зберігаються: строки або критерії їх визначення;
- Права суб'єкта: доступ, виправлення, видалення, обмеження, переносимість, заперечення (ст. 15-21);
- Право на скаргу: до наглядового органу ЄС або до Уповноваженого ВРУ в Україні.
Текст пишеться простою, зрозумілою мовою. Окремо оформлюються cookie-повідомлення і механізм згоди.
-
Форма згоди на обробку персональних даних
Зразок структури — заповнюється під ваш ППРЗгода на обробку персональних даних — форма для сайту / реєстрації / розсилки.
Згода відповідає вимогам ст. 6-7 GDPR і визначенню згоди у ст. 2 Закону України № 2297-VI: має бути добровільною, конкретною, поінформованою та однозначною.
- окрема відмітка (checkbox) для кожної мети — без попередньо проставлених «галочок»;
- чітке формулювання: хто обробляє, які дані, з якою метою, кому передаються;
- посилання на політику приватності;
- можливість відкликати згоду так само легко, як її надати (ст. 7(3) GDPR);
- фіксація факту, дати і обсягу наданої згоди (доказ на випадок перевірки).
Для email-маркетингу враховуються також вимоги ePrivacy (окрема директива ЄS про електронні комунікації). Одна «згода на все» — недійсна.
-
Договір обробки даних (DPA) з підрядником
Зразок структури — заповнюється під ваш ППРДоговір про обробку персональних даних (Data Processing Agreement) між [Контролер — ТОВ «[найменування]»] та [Обробник — постачальник послуги].
Укладається відповідно до ст. 28 GDPR, коли ви (контролер) передаєте дані підряднику (обробнику): хостинг, CRM, email-сервіс, аналітика. Обов'язкові умови:
- обробник діє лише за задокументованими інструкціями контролера;
- предмет, тривалість, характер і мета обробки, категорії даних і суб'єктів;
- зобов'язання конфіденційності персоналу обробника;
- технічні та організаційні заходи безпеки (ст. 32 GDPR);
- умови залучення суб-обробників — лише з дозволу контролера;
- сприяння у відповідях на запити суб'єктів і в реагуванні на витік;
- видалення або повернення даних після завершення співпраці.
Для трансферу даних за межі ЄС додатково використовуються стандартні договірні положення (SCC) — ст. 46 GDPR.
-
Процедура відповіді на запит суб'єкта (DSAR)
Зразок структури — заповнюється під ваш ППРВнутрішня процедура опрацювання запитів суб'єктів даних (Data Subject Access Request) — ТОВ «[найменування]».
Регламентує реалізацію прав суб'єктів за ст. 15-20 GDPR (в Україні — ст. 8 Закону № 2297-VI). Алгоритм:
- Прийом запиту: канали (email, форма), реєстрація дати надходження;
- Ідентифікація заявника: перевірка, що запит подала саме особа-суб'єкт;
- Тип права: доступ (ст. 15), виправлення (ст. 16), видалення / забуття (ст. 17), обмеження (ст. 18), переносимість (ст. 20), заперечення (ст. 21);
- Строк відповіді: 1 місяць за GDPR (30 календарних днів — за ст. 8 Закону № 2297-VI);
- Форма відповіді: шаблони для кожного типу запиту, у тому числі обґрунтована відмова;
- Фіксація: облік запитів і відповідей як доказ реагування.
Прострочення або ігнорування запиту — підстава для скарги і штрафу.
-
План реагування на витік даних (Data Breach Response)
Зразок структури — заповнюється під ваш ППРПлан реагування на порушення захисту персональних даних — ТОВ «[найменування]».
Визначає дії при витоку відповідно до ст. 33-34 GDPR. Ключові кроки:
- Виявлення і фіксація: хто, коли, які дані, обсяг, канал витоку;
- Оцінка ризику: чи загрожує витік правам і свободам суб'єктів;
- Повідомлення наглядового органу ЄС: протягом 72 годин з моменту виявлення, якщо ризик імовірний (ст. 33);
- Повідомлення суб'єктів: без зайвої затримки, якщо ризик високий (ст. 34);
- Мінімізація наслідків: технічні заходи, обмеження шкоди, документування;
- Українська частина: взаємодія з Уповноваженим ВРУ і реагування за Законом № 2297-VI (жорсткого 72-годинного дедлайну український закон не встановлює).
Задокументований план знижує розмір штрафу навіть за факту витоку.
Який пакет документів потрібен саме вам — підкаже адвокат після скринінгу бізнес-моделі.
ЗателефонуватиТри ситуації, коли потрібна GDPR-консультація
Якщо ваш кейс схожий — телефонуйте. Координатор знайде профільного адвоката за 15 хвилин.
Український стартап виходить на ринок ЄС
SaaS, маркетплейс або застосунок з клієнтами-резидентами ЄС. Без GDPR-сумісності — ризик штрафу від органу ЄС і зрив партнерств: європейські контрагенти вимагають політику, DPA і докази комплаєнсу ще до підписання договору.
ЗателефонуватиIT-аутсорс обробляє дані замовника з ЄС
Ви — обробник (processor) даних клієнтів свого замовника: розробка, підтримка, дата-центр. Замовник вимагає підписати DPA за ст. 28 GDPR і гарантувати заходи безпеки. Без коректних договорів контракт під загрозою.
ЗателефонуватиОтримали запит суб'єкта або наближається аудит
Прийшов запит на видалення чи доступ до даних від користувача з ЄС, або партнер запросив GDPR-аудит. Строк на відповідь — 1 місяць, а при витоку — 72 години на регулятора. Потрібні готові процедури, а не імпровізація.
ЗателефонуватиХто веде ваш проєкт
Усі — члени Національної асоціації адвокатів України (НААУ) з чинним свідоцтвом і записом у Єдиному реєстрі. Координатор фонду підбирає адвоката під вашу модель: чи є ЄС-фактор, які дані, хто контролер, а хто обробник.
Часті запитання про GDPR для українського бізнесу
Так — якщо ви пропонуєте товари чи послуги резидентам ЄС або моніторите їхню поведінку (наприклад, через аналітику й таргетинг). Це екстериторіальна дія GDPR за ст. 3(2) Регламенту ЄС 2016/679 — місце реєстрації компанії значення не має.
Якщо ЄС-фактора немає, GDPR на вас не діє, а всередині України ви керуєтеся Законом № 2297-VI.
Перевірити мою модель — +380 73 051 50 77Ні. Штрафи до 20 млн € або 4% світового обороту (ст. 83 GDPR) накладають наглядові органи держав ЄС, а не український орган.
В Україні за порушення у сфері обробки персональних даних передбачено адмінвідповідальність за ст. 188-39 КУпАП і кримінальну за ст. 182 КК — це інші, значно менші санкції. «GDPR-штраф від українського органу» — міф.
Оцінити мій ризик — +380 73 051 50 77За GDPR DPO обов'язковий, якщо ядро вашої діяльності — систематичний масштабний моніторинг суб'єктів або обробка чутливих категорій даних (ст. 37 GDPR).
Український Закон № 2297-VI не вимагає DPO у GDPR-форматі, але зобов'язує визначити структурний підрозділ або відповідальну особу з захисту даних і повідомити Уповноваженого ВРУ (ст. 24). Потребу оцінює адвокат під вашу модель.
З'ясувати потребу — +380 73 051 50 77За GDPR суб'єкт має право на доступ (ст. 15), виправлення (ст. 16), видалення / «право бути забутим» (ст. 17), переносимість (ст. 20) і заперечення (ст. 21). Строк відповіді — 1 місяць.
В Україні аналогічні права суб'єкта закріплені у ст. 8 Закону № 2297-VI, а відповідь володілець дає протягом 30 календарних днів. Потрібні готові процедури для обох режимів.
Налаштувати процедури — +380 73 051 50 77Для GDPR — так: контролер повідомляє наглядовий орган ЄС про витік протягом 72 годин з моменту виявлення, якщо є ризик для прав суб'єктів (ст. 33 GDPR).
Чинний в Україні Закон № 2297-VI такого жорсткого 72-годинного дедлайну не встановлює. Наглядовий орган в Україні — Уповноважений ВРУ, а не окремий «дата-регулятор» (ст. 22).
Скласти план на витік — +380 73 051 50 77Три рівні відповідальності: адміністративна — за ст. 188-39 КУпАП (штраф за порушення порядку захисту даних); кримінальна — за ст. 182 КК за незаконне збирання, зберігання, використання чи поширення конфіденційної інформації про особу; цивільна — відшкодування моральної і майнової шкоди за ЦК.
GDPR-штрафи (до 20 млн €/4%) в Україні не застосовуються — це санкції органів ЄС.
Оцінити відповідальність — +380 73 051 50 77Ні. В Україні чинний Закон № 2297-VI; він не звільняє вас від GDPR, якщо ви підпадаєте під ст. 3(2). Це два окремі режими, які закривають паралельно.
Законопроєкт № 8153 про гармонізацію з GDPR прийнято лише в першому читанні — він ще не чинний, покладатися на його норми не можна. Відповідальність за порушення 2297 настає за законом (ст. 28).
Розібратися в режимах — +380 73 051 50 77Першу консультацію по телефону координатор проводить безкоштовно — на ній ви чуєте чесну оцінку: чи діє на вас GDPR і який обсяг роботи потрібен. Подальші умови — у договорі, без сюрпризів.
Якщо маєте право на безоплатну правничу допомогу за ст. 14 Закону № 3460-VI — допомагаємо подати заяву.
Зателефонувати +380 73 051 50 77GDPR — це не «галочка», а система. Почніть з того, щоб дізнатися, чи він на вас діє
Адвокат фонду перевірив · оновлено 06.07.2026. Опишіть бізнес-модель — за 15 хвилин на телефоні адвокат скаже, чи діє на вас GDPR, що закривати першим і як поєднати це з Законом № 2297-VI.
або заповніть форму нижче — передзвонимо за 15 хв
Перша консультація по телефону — безкоштовна. Не передаємо ваші дані третім особам.
ЄДРПОУ 45079342 · Київ