Захист даних · GDPR

GDPR для українського бізнесу
— коли він діє

GDPR не діє в Україні як прямий закон.

  • Екстериторіальна дія — якщо у вас клієнти в ЄС або ви моніторите їх поведінку (ст. 3(2) GDPR).
  • Всередині України діє Закон № 2297-VI, наглядовий орган — Уповноважений ВРУ.
  • Штрафи до 20 млн € / 4% обороту — це санкція органу ЄС, не українського (ст. 83 GDPR).

Адвокат фонду каже, чи GDPR узагалі на вас діє — і вибудовує сумісність під вашу модель.

Перша консультація по телефону — безкоштовна, конфіденційна.

4%
% світового обороту — максимальний штраф GDPR (санкція ЄС)
або до 20 млн €, більша сума — накладає орган держави ЄС
72
години на повідомлення регулятора ЄС про витік даних
норма ЄС; в Україні жорсткого дедлайну немає
2297
чинний Закон про захист даних в Україні — не GDPR
№ 8153 під GDPR — лише 1-ше читання, ще не діє
182
українська стаття за незаконне поводження з приватними даними
плюс адмінштраф за ст. 188-39 КУпАП
Як діємо

Чотири кроки до GDPR-сумісності

Кожен крок вибудовуємо під вашу модель: які дані, звідки клієнти, чи є ЄС-фактор. Адвокат спершу каже, чи GDPR узагалі на вас діє — щоб ви не платили за зайвий комплаєнс.

Перевіряємо, чи діє GDPR на вас

Аналізуємо, чи є ЄС-фактор: клієнти-резиденти ЄС, продаж товарів/послуг у ЄС, моніторинг поведінки. Це визначає екстериторіальну дію (ст. 3(2) GDPR).

  • Нормаст. 3(2) GDPR
  • Критерійклієнти в ЄС

Аудит даних і правова підстава

Складаємо реєстр: що збираєте, навіщо, де зберігаєте, кому передаєте. Для кожної мети — правова підстава (ст. 6 GDPR) і дотримання принципів обробки (ст. 5).

  • Підставаст. 6 GDPR
  • Принципист. 5 GDPR

Документи і права суб'єктів

Політика приватності (ст. 13-14), реалізація прав: доступ, «право бути забутим» (ст. 17), переносимість (ст. 20), заперечення. За потреби — DPO (ст. 37 GDPR).

  • Праваст. 15-20 GDPR
  • DPOст. 37 GDPR

Процедури і український комплаєнс

План реагування на витік — 72 години для регулятора ЄС (ст. 33), DPA з підрядниками (ст. 28). Паралельно — вимоги Закону № 2297-VI і Уповноваженого ВРУ.

  • Витік ЄС72 год, ст. 33
  • УкраїнаЗакон № 2297-VI

Не знаєте, чи GDPR узагалі на вас поширюється? Перша консультація по телефону безкоштовна. За 15 хвилин розберемо вашу модель і назвемо, що робити.

Зателефонувати
Хронологія

Анатомія проєкту — від скринінгу до підтримки

Реальна послідовність GDPR-сумісності: п'ять контрольних точок, де адвокат фонду включається або страхує вас від зайвих витрат і помилок.

  1. 01

    Скринінг: чи діє на вас GDPR

    День 1

    Ви описуєте бізнес-модель: звідки клієнти, які дані, чи є продаж у ЄС. Адвокат визначає, чи спрацьовує екстериторіальна дія (ст. 3(2) GDPR). Якщо ЄС-фактора немає — скажемо чесно, що повний GDPR-комплаєнс вам не потрібен. Передзвонюємо того ж дня.

    Скринінг
  2. 02

    Аудит даних і правові підстави

    Дні 1–14

    Складаємо реєстр операцій з обробки: що збираєте, навіщо, де зберігаєте, кому передаєте, скільки тримаєте. Для кожної мети підбираємо правову підставу (ст. 6 GDPR) і звіряємо з принципами обробки — законність, мінімізація, обмеження зберігання (ст. 5).

    Аудит
  3. 03

    Політика, згоди, права суб'єктів

    Дні 14–30

    Готуємо політику приватності і повідомлення (ст. 13-14), механізми згоди, процедури реалізації прав: доступ (ст. 15), видалення / «право бути забутим» (ст. 17), переносимість (ст. 20). Тут — розвилка: визначаємо, чи потрібен DPO (ст. 37 GDPR).

    Розвилка
  4. 04

    DPA з підрядниками і план на витік

    1–3 міс.

    Укладаємо договори обробки даних (DPA) з хостингом, CRM, маркетингом (ст. 28 GDPR), налаштовуємо трансфер даних за межі ЄС (ст. 46). Пишемо процедуру реагування на витік — 72 години на повідомлення наглядового органу ЄС (ст. 33) і суб'єктів (ст. 34).

    Впровадження
  5. 05

    Український комплаєнс і підтримка

    Постійно

    Паралельно закриваємо українську частину: вимоги Закону № 2297-VI, повідомлення Уповноваженого ВРУ, відповідальна особа з захисту даних (ст. 24). Далі — супровід запитів суб'єктів, оновлення документів під зміни в діяльності і в праві.

    Супровід
Порівняння

Самостійно або з адвокатом — GDPR-комплаєнс

Що ви отримаєте у кожному з варіантів — на старті проєкту і в момент запиту суб'єкта чи перевірки.

Порівняння двох сценаріїв побудови GDPR-сумісності українського бізнесу
Що буде Самостійно / шаблони з інтернетуБез адвоката Альтернатива: З адвокатом фондуКоординатор + профільний адвокат
Чи діє на вас GDPRГадаєте навмання — або платите за зайвий комплаєнс, або ігноруєте реальний ризикЮридичний висновок за ст. 3(2): є ЄС-фактор чи ні, що саме потрібно
Правова підстава«Погоджуюсь з усім» без вибору — типове порушення принципів обробкиПідстава під кожну мету обробки (ст. 6 GDPR), звірка з принципами ст. 5
Права суб'єктівНа словах — а на запит про видалення чи доступ реагувати нічимПроцедури доступу, забуття і переносимості (ст. 15-20) з реальним механізмом
Витік данихБез плану — у критичний момент втрачаєте 72 години і збільшуєте штрафГотовий план: 72 год для органу ЄС (ст. 33) і крок для Уповноваженого ВРУ
Українська частинаДумаєте, що Закон № 2297-VI = GDPR, і не закриваєте жодногоПаралельний комплаєнс за № 2297-VI: відповідальна особа, повідомлення органу
Ризик і відповідальністьШтраф ЄС до 4% обороту плюс українська відповідальність (ст. 188-39 КУпАП, ст. 182 КК)Прораховуємо реальні ризики під вашу модель і закриваємо їх по пріоритету
Закон

Хто контролює захист даних в Україні

Ключова відмінність від ЄС: в Україні немає окремого «дата-регулятора». Контроль за захистом персональних даних покладено на Уповноваженого ВРУ і суди — саме сюди йдуть скарги, а не до вигаданої «інспекції з даних».

Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи: 1) Уповноважений; 2) суди.
Закон України «Про захист персональних даних» № 2297-VI ч. 1 ст. 22
  1. Не DPA, а омбудсмен

    На відміну від країн ЄС, де діють національні органи із захисту даних (DPA), в Україні наглядову функцію виконує Уповноважений Верховної Ради України з прав людини.

  2. GDPR — окрема система

    Уповноважений ВРУ застосовує український Закон № 2297-VI, а не GDPR. За GDPR ваш бізнес відповідає перед наглядовим органом тієї держави ЄС, чиїх резидентів обробляє.

  3. Скарга — Уповноваженому або в суд

    Суб'єкт даних скаржиться Уповноваженому ВРУ (наслідок — адмінштраф за ст. 188-39 КУпАП) або звертається до суду. Окремого «дата-регулятора» в Україні не існує.

Виходите на ринок ЄС

Не впевнені, чи GDPR на вас діє і що закривати першим? Розберемо вашу модель за 15 хвилин на телефоні.

Зателефонувати
Документи

Базові документи GDPR-комплаєнсу

Усі шаблони — для розуміння обсягу роботи. Адвокат фонду адаптує кожен документ під вашу модель обробки даних — не використовуйте їх самостійно без правки.

  • Реєстр операцій з обробки персональних даних (ROPA)

    ст. 30 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Документ: Реєстр операцій з обробки персональних даних (Records of Processing Activities) — ТОВ «[найменування]», код ЄДРПОУ [номер].

    Реєстр ведеться відповідно до ст. 30 Регламенту ЄС 2016/679 (GDPR) як внутрішній документ обліку діяльності з обробки. Для кожної операції зазначається:

    • Мета обробки: [напр. виконання договору, email-маркетинг, аналітика сайту];
    • Категорії суб'єктів і даних: [клієнти, працівники; ПІБ, email, платіжні дані];
    • Правова підстава: [ст. 6 GDPR — згода, договір, легітимний інтерес];
    • Отримувачі: [хостинг, CRM, платіжний провайдер, підрядники];
    • Трансфер за межі ЄС: [країна, механізм — ст. 46 GDPR];
    • Строк зберігання: [період або критерій визначення];
    • Технічні та організаційні заходи захисту: [шифрування, розмежування доступу].

    Реєстр оновлюється при кожній зміні процесів обробки. Паралельно враховуються вимоги Закону України № 2297-VI щодо повідомлення Уповноваженого ВРУ.

  • Політика приватності (Privacy Policy) для сайту / застосунку

    ст. 13-14 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Політика приватності — ТОВ «[найменування]» (далі — Компанія), контакти: [email, адреса].

    Документ інформує суб'єктів даних відповідно до ст. 13-14 GDPR та Закону України № 2297-VI. Обов'язкові розділи:

    • Хто обробляє дані: найменування Компанії, контакти, за потреби — DPO;
    • Які дані і навіщо: перелік категорій, цілі обробки та правова підстава (ст. 6 GDPR);
    • Кому передаються: категорії отримувачів, трансфер за межі ЄС і його механізм;
    • Скільки зберігаються: строки або критерії їх визначення;
    • Права суб'єкта: доступ, виправлення, видалення, обмеження, переносимість, заперечення (ст. 15-21);
    • Право на скаргу: до наглядового органу ЄС або до Уповноваженого ВРУ в Україні.

    Текст пишеться простою, зрозумілою мовою. Окремо оформлюються cookie-повідомлення і механізм згоди.

  • Форма згоди на обробку персональних даних

    ст. 7 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Згода на обробку персональних даних — форма для сайту / реєстрації / розсилки.

    Згода відповідає вимогам ст. 6-7 GDPR і визначенню згоди у ст. 2 Закону України № 2297-VI: має бути добровільною, конкретною, поінформованою та однозначною.

    • окрема відмітка (checkbox) для кожної мети — без попередньо проставлених «галочок»;
    • чітке формулювання: хто обробляє, які дані, з якою метою, кому передаються;
    • посилання на політику приватності;
    • можливість відкликати згоду так само легко, як її надати (ст. 7(3) GDPR);
    • фіксація факту, дати і обсягу наданої згоди (доказ на випадок перевірки).

    Для email-маркетингу враховуються також вимоги ePrivacy (окрема директива ЄS про електронні комунікації). Одна «згода на все» — недійсна.

  • Договір обробки даних (DPA) з підрядником

    ст. 28 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Договір про обробку персональних даних (Data Processing Agreement) між [Контролер — ТОВ «[найменування]»] та [Обробник — постачальник послуги].

    Укладається відповідно до ст. 28 GDPR, коли ви (контролер) передаєте дані підряднику (обробнику): хостинг, CRM, email-сервіс, аналітика. Обов'язкові умови:

    • обробник діє лише за задокументованими інструкціями контролера;
    • предмет, тривалість, характер і мета обробки, категорії даних і суб'єктів;
    • зобов'язання конфіденційності персоналу обробника;
    • технічні та організаційні заходи безпеки (ст. 32 GDPR);
    • умови залучення суб-обробників — лише з дозволу контролера;
    • сприяння у відповідях на запити суб'єктів і в реагуванні на витік;
    • видалення або повернення даних після завершення співпраці.

    Для трансферу даних за межі ЄС додатково використовуються стандартні договірні положення (SCC) — ст. 46 GDPR.

  • Процедура відповіді на запит суб'єкта (DSAR)

    ст. 15-20 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Внутрішня процедура опрацювання запитів суб'єктів даних (Data Subject Access Request) — ТОВ «[найменування]».

    Регламентує реалізацію прав суб'єктів за ст. 15-20 GDPR (в Україні — ст. 8 Закону № 2297-VI). Алгоритм:

    • Прийом запиту: канали (email, форма), реєстрація дати надходження;
    • Ідентифікація заявника: перевірка, що запит подала саме особа-суб'єкт;
    • Тип права: доступ (ст. 15), виправлення (ст. 16), видалення / забуття (ст. 17), обмеження (ст. 18), переносимість (ст. 20), заперечення (ст. 21);
    • Строк відповіді: 1 місяць за GDPR (30 календарних днів — за ст. 8 Закону № 2297-VI);
    • Форма відповіді: шаблони для кожного типу запиту, у тому числі обґрунтована відмова;
    • Фіксація: облік запитів і відповідей як доказ реагування.

    Прострочення або ігнорування запиту — підстава для скарги і штрафу.

  • План реагування на витік даних (Data Breach Response)

    ст. 33-34 GDPR

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    План реагування на порушення захисту персональних даних — ТОВ «[найменування]».

    Визначає дії при витоку відповідно до ст. 33-34 GDPR. Ключові кроки:

    • Виявлення і фіксація: хто, коли, які дані, обсяг, канал витоку;
    • Оцінка ризику: чи загрожує витік правам і свободам суб'єктів;
    • Повідомлення наглядового органу ЄС: протягом 72 годин з моменту виявлення, якщо ризик імовірний (ст. 33);
    • Повідомлення суб'єктів: без зайвої затримки, якщо ризик високий (ст. 34);
    • Мінімізація наслідків: технічні заходи, обмеження шкоди, документування;
    • Українська частина: взаємодія з Уповноваженим ВРУ і реагування за Законом № 2297-VI (жорсткого 72-годинного дедлайну український закон не встановлює).

    Задокументований план знижує розмір штрафу навіть за факту витоку.

Який пакет документів потрібен саме вам — підкаже адвокат після скринінгу бізнес-моделі.

Зателефонувати
Кому це підходить

Три ситуації, коли потрібна GDPR-консультація

Якщо ваш кейс схожий — телефонуйте. Координатор знайде профільного адвоката за 15 хвилин.

Команда

Хто веде ваш проєкт

Усі — члени Національної асоціації адвокатів України (НААУ) з чинним свідоцтвом і записом у Єдиному реєстрі. Координатор фонду підбирає адвоката під вашу модель: чи є ЄС-фактор, які дані, хто контролер, а хто обробник.

GDPR-комплаєнс

Адвокат фонду

свідоцтво НААУ (за запитом)

Оцінюємо екстериторіальну дію GDPR, проводимо аудит обробки, підбираємо правові підстави і принципи обробки під вашу модель.

ст. 3(2) GDPR · ст. 5 GDPR · ст. 6 GDPR

Договори і трансфер

Адвокат фонду

свідоцтво НААУ (за запитом)

Готуємо DPA з підрядниками, стандартні договірні положення для трансферу даних за межі ЄС, регламенти прав суб'єктів.

ст. 28 GDPR · ст. 46 GDPR · ст. 15-20 GDPR

Український захист даних

Адвокат фонду

свідоцтво НААУ (за запитом)

Закриваємо українську частину: Закон № 2297-VI, повідомлення Уповноваженого ВРУ, відповідальна особа, захист від адмінвідповідальності.

ст. 8 ЗУ № 2297-VI · ст. 24 · ст. 188-39 КУпАП

Перша консультація

Адвокат фонду

свідоцтво НААУ (за запитом)

Приймає перший дзвінок, робить скринінг бізнес-моделі, визначає, чи діє на вас GDPR, і з'єднує з профільним адвокатом у межах 1–2 робочих днів.

скринінг моделі · маршрутизація · строки

Питання

Часті запитання про GDPR для українського бізнесу

Так — якщо ви пропонуєте товари чи послуги резидентам ЄС або моніторите їхню поведінку (наприклад, через аналітику й таргетинг). Це екстериторіальна дія GDPR за ст. 3(2) Регламенту ЄС 2016/679 — місце реєстрації компанії значення не має.

Якщо ЄС-фактора немає, GDPR на вас не діє, а всередині України ви керуєтеся Законом № 2297-VI.

Перевірити мою модель — +380 73 051 50 77

Ні. Штрафи до 20 млн € або 4% світового обороту (ст. 83 GDPR) накладають наглядові органи держав ЄС, а не український орган.

В Україні за порушення у сфері обробки персональних даних передбачено адмінвідповідальність за ст. 188-39 КУпАП і кримінальну за ст. 182 КК — це інші, значно менші санкції. «GDPR-штраф від українського органу» — міф.

Оцінити мій ризик — +380 73 051 50 77

За GDPR DPO обов'язковий, якщо ядро вашої діяльності — систематичний масштабний моніторинг суб'єктів або обробка чутливих категорій даних (ст. 37 GDPR).

Український Закон № 2297-VI не вимагає DPO у GDPR-форматі, але зобов'язує визначити структурний підрозділ або відповідальну особу з захисту даних і повідомити Уповноваженого ВРУ (ст. 24). Потребу оцінює адвокат під вашу модель.

З'ясувати потребу — +380 73 051 50 77

За GDPR суб'єкт має право на доступ (ст. 15), виправлення (ст. 16), видалення / «право бути забутим» (ст. 17), переносимість (ст. 20) і заперечення (ст. 21). Строк відповіді — 1 місяць.

В Україні аналогічні права суб'єкта закріплені у ст. 8 Закону № 2297-VI, а відповідь володілець дає протягом 30 календарних днів. Потрібні готові процедури для обох режимів.

Налаштувати процедури — +380 73 051 50 77

Для GDPR — так: контролер повідомляє наглядовий орган ЄС про витік протягом 72 годин з моменту виявлення, якщо є ризик для прав суб'єктів (ст. 33 GDPR).

Чинний в Україні Закон № 2297-VI такого жорсткого 72-годинного дедлайну не встановлює. Наглядовий орган в Україні — Уповноважений ВРУ, а не окремий «дата-регулятор» (ст. 22).

Скласти план на витік — +380 73 051 50 77

Три рівні відповідальності: адміністративна — за ст. 188-39 КУпАП (штраф за порушення порядку захисту даних); кримінальна — за ст. 182 КК за незаконне збирання, зберігання, використання чи поширення конфіденційної інформації про особу; цивільна — відшкодування моральної і майнової шкоди за ЦК.

GDPR-штрафи (до 20 млн €/4%) в Україні не застосовуються — це санкції органів ЄС.

Оцінити відповідальність — +380 73 051 50 77

Ні. В Україні чинний Закон № 2297-VI; він не звільняє вас від GDPR, якщо ви підпадаєте під ст. 3(2). Це два окремі режими, які закривають паралельно.

Законопроєкт № 8153 про гармонізацію з GDPR прийнято лише в першому читанні — він ще не чинний, покладатися на його норми не можна. Відповідальність за порушення 2297 настає за законом (ст. 28).

Розібратися в режимах — +380 73 051 50 77

Першу консультацію по телефону координатор проводить безкоштовно — на ній ви чуєте чесну оцінку: чи діє на вас GDPR і який обсяг роботи потрібен. Подальші умови — у договорі, без сюрпризів.

Якщо маєте право на безоплатну правничу допомогу за ст. 14 Закону № 3460-VI — допомагаємо подати заяву.

Зателефонувати +380 73 051 50 77
Перший крок

GDPR — це не «галочка», а система. Почніть з того, щоб дізнатися, чи він на вас діє

Адвокат фонду перевірив · оновлено 06.07.2026. Опишіть бізнес-модель — за 15 хвилин на телефоні адвокат скаже, чи діє на вас GDPR, що закривати першим і як поєднати це з Законом № 2297-VI.

або заповніть форму нижче — передзвонимо за 15 хв

Перша консультація по телефону — безкоштовна. Не передаємо ваші дані третім особам.

Заявка на консультацію — Не словом, а дією
БО «Не словом, а дією»
ЄДРПОУ 45079342 · Київ