С 2025 года надзор за соблюдением закона Украины «О защите персональных данных» № 2297‑VI усиливается. Нарушения — это не только штрафы, но и репутационные риски. Если у компании есть сайт, CRM или она обрабатывает данные сотрудников — вам точно нужно разобраться, какие документы по персональным данным обязательны и как их правильно оформить.
Зачем вообще нужны документы по персональным данным?
Любая компания в Украине — от интернет-магазина до строительной фирмы — сталкивается с обработкой персональных данных: клиентов, работников, подрядчиков. Даже простая анкета с e-mail уже попадает под действие Закона Украины о персональных данных 2297.
Без формального оформления процессов компания нарушает закон. Это риски:
- Проверки со стороны Уполномоченного по правам человека;
- Административные штрафы (в 2025 году до 100 000 грн);
- Претензии от субъектов данных;
- Потеря лояльности клиентов и партнёров.
Все эти риски можно минимизировать, если иметь чёткий пакет документов и соблюдать прозрачность при обработке данных.
Обязательные документы для сайта: политика, уведомление, согласие
1. Политика конфиденциальности (Privacy Policy)
Это публичный документ, который должен быть доступен на сайте. В 2025 году в Украине он должен содержать:
- Перечень собираемых данных (e-mail, cookies, IP, поведенческие метрики);
- Цели обработки (аналитика, маркетинг, обратная связь и т.д.);
- Правовое основание (чаще всего — согласие пользователя);
- Кто имеет доступ к данным (включая сторонние сервисы: Google Analytics, CRM);
- Срок хранения данных;
- Права субъекта данных (доступ, удаление, ограничение);
- Контакты для обращений.
📌 Важно: просто скопировать политику с чужого сайта нельзя. Она должна отражать реальные процессы вашей компании.
2. Уведомление об обработке персональных данных
Это отдельный документ или блок в форме, где пользователь соглашается на обработку. Например:
«Нажимая на кнопку, вы соглашаетесь с [Политикой конфиденциальности] и даёте согласие на обработку ваших персональных данных».
Уведомление должно быть:
- чётким и читаемым;
- размещённым до отправки формы;
- с возможностью прочитать полную политику.
3. Форма согласия на обработку данных (если применимо)
В некоторых случаях, особенно при рассылке рекламы, участие в конкурсах или регистрации в сервисах, нужно отдельное согласие. Его фиксируют:
- в форме на сайте (чекбокс);
- письменно (в офлайн-анкетах);
- в пользовательском соглашении.
Согласие должно быть добровольным, конкретным и информированным.
Документы по персональным данным внутри компании
Не менее важна внутренняя документация, которая подтверждает, что вы не просто собираете данные, а защищаете их.
1. Приказ о назначении ответственного по защите персональных данных
В компании должен быть назначен сотрудник (или внешний специалист), который отвечает за организацию обработки и защиту данных. Приказ нужен даже в небольшой команде.
2. Реестр баз персональных данных
Обновлённый закон 2297‑VI требует вести реестр: какие базы вы храните, кто имеет к ним доступ, на каком основании. Примеры:
- База клиентов интернет-магазина;
- База резюме соискателей;
- База сотрудников.
Каждая запись должна включать:
- наименование базы;
- цель обработки;
- категории субъектов;
- место хранения;
- сроки хранения.
3. Положение о защите персональных данных (внутренний регламент)
В этом документе описываются:
- кто и как имеет доступ к данным;
- какие меры защиты применяются;
- как ведётся контроль за обработкой;
- алгоритм действий при инцидентах (утечке, нарушении доступа).
Это ваш главный документ для проверки.
4. Согласия сотрудников и контрагентов
С каждым, кто предоставляет вам свои персональные данные, нужно иметь:
- подписанное согласие на обработку (например, в трудовом договоре);
- уведомление о правах согласно статье 8 закона 2297‑VI;
- разрешение на передачу данных третьим лицам (если нужно).
📌 Важно: просто включить формулировку в договор недостаточно. Согласие должно быть выделено отдельно.
Какие данные не являются персональными в Украине?
Согласно закону, персональные данные — это любая информация, по которой можно идентифицировать человека. Но есть исключения:
НЕ являются персональными:
- Обобщённые или обезличенные данные (например, статистика по возрастным группам без имён);
- Производственные данные без привязки к личности;
- Данные о юрлицах (название, код ЕГРПОУ).
Но будьте внимательны: IP-адрес, если он привязан к конкретному пользователю, уже считается персональными данными. То же — с геолокацией, фото, идентификаторами устройства.
Советы: как избежать проблем с законом 2297‑VI
- Не откладывайте: оформление документов задним числом при проверке — это уже нарушение.
- Не копируйте шаблоны: пишите документы под ваш бизнес-процесс.
- Проводите аудит раз в год: проверьте, актуальны ли базы и цели обработки.
- Обучайте сотрудников: особенно тех, кто работает с клиентскими или кадровыми данными.
- Подготовьте алгоритм при утечке данных: за это в 2025 году отдельные штрафы.
Защита персональных данных — это не просто бумажки, а доверие ваших клиентов и партнёров. А правильное оформление документов — это инвестиция в безопасность и стабильность бизнеса.
