ДіяльністьМенеджмент

Документи по персональним даним – Україна 2025. Розбір закону № 2297-VI

документы по персональным данным Украина

З 2025 року нагляд за дотриманням закону України «Про захист персональних даних» № 2297-VI посилюється. Порушення – це не тільки штрафи, а й репутаційні ризики. Якщо у компанії є сайт, CRM або вона обробляє дані співробітників – вам точно потрібно розібратися, які документи щодо персональних даних обов’язкові та як їх правильно оформити.

Навіщо взагалі потрібні документи за персональними даними?

Будь-яка компанія в Україні – від інтернет-магазину до будівельної фірми – стикається з обробкою персональних даних: клієнтів, працівників, підрядників. Навіть проста анкета з e-mail уже потрапляє під дію Закону України про персональні дані 2297.

Без формального оформлення процесів компанія порушує закон. Це ризики:

  • Перевірки з боку Уповноваженого з прав людини;
  • Адміністративні штрафи (у 2025 році до 100 000 грн);
  • Претензії від суб’єктів даних;
  • Втрата лояльності клієнтів і партнерів.

Усі ці ризики можна мінімізувати, якщо мати чіткий пакет документів і дотримуватися прозорості під час обробки даних.

Обов’язкові документи для сайту: політика, повідомлення, згода

Політика конфіденційності (Privacy Policy)

Це публічний документ, який має бути доступний на сайті. У 2025 році в Україні він має містити:

  • Перелік даних, що збираються (e-mail, cookies, IP, поведінкові метрики);
  • Цілі обробки (аналітика, маркетинг, зворотний зв’язок тощо);
  • Правову підставу (найчастіше – згода користувача);
  • Хто має доступ до даних (включно зі сторонніми сервісами: Google Analytics, CRM);
  • Термін зберігання даних;
  • Права суб’єкта даних (доступ, видалення, обмеження);
  • Контакти для звернень.

📌 Важливо: просто скопіювати політику з чужого сайту не можна. Вона має відображати реальні процеси вашої компанії.

  1. Повідомлення про обробку персональних даних

Це окремий документ або блок у формі, де користувач погоджується на обробку. Наприклад:

«Натискаючи на кнопку, ви погоджуєтеся з [Політикою конфіденційності] і даєте згоду на обробку ваших персональних даних».

Повідомлення має бути:

  • чітким і читабельним;
  • розміщеним до відправлення форми;
  • з можливістю прочитати повну політику.
  1. Форма згоди на обробку даних (якщо застосовно)

У деяких випадках, особливо під час розсилки реклами, участі в конкурсах або реєстрації в сервісах, потрібна окрема згода. Її фіксують:

  • у формі на сайті (чекбокс);
  • письмово (в офлайн-анкетах);
  • в угоді користувача.

Згода має бути добровільною, конкретною та інформованою.

політика конфіденційності Україна

Документи за персональними даними всередині компанії

Не менш важлива внутрішня документація, яка підтверджує, що ви не просто збираєте дані, а захищаєте їх.

  1. Наказ про призначення відповідального за захист персональних даних

У компанії має бути призначений співробітник (або зовнішній фахівець), який відповідає за організацію обробки та захист даних. Наказ потрібен навіть у невеликій команді.

  1. Реєстр баз персональних даних

Оновлений закон 2297-VI вимагає вести реєстр: які бази ви зберігаєте, хто має до них доступ, на якій підставі. Приклади:

  • База клієнтів інтернет-магазину;
  • База резюме шукачів роботи;
  • База співробітників.

Кожен запис має містити:

  • найменування бази;
  • мета обробки;
  • категорії суб’єктів;
  • місце зберігання;
  • строки зберігання.
  1. Положення про захист персональних даних (внутрішній регламент)

У цьому документі описуються:

  • хто і як має доступ до даних;
  • які заходи захисту застосовуються;
  • як ведеться контроль за обробкою;
  • алгоритм дій у разі інцидентів (витоку, порушення доступу).

Це ваш головний документ для перевірки.

  1. Згоди співробітників і контрагентів

З кожним, хто надає вам свої персональні дані, потрібно мати:

  • підписану згоду на обробку (наприклад, у трудовому договорі);
  • повідомлення про права згідно зі статтею 8 закону 2297-VI;
  • дозвіл на передачу даних третім особам (якщо потрібно).

📌 Важливо: просто включити формулювання в договір недостатньо. Згода має бути виділена окремо.

Які дані не є персональними в Україні?

Згідно із законом, персональні дані – це будь-яка інформація, за якою можна ідентифікувати людину. Але є винятки:

НЕ є персональними:

  • Узагальнені або знеособлені дані (наприклад, статистика за віковими групами без імен);
  • Виробничі дані без прив’язки до особистості;
  • Дані про юросіб (назва, код ЄДРПОУ).

Але будьте уважні: IP-адреса, якщо вона прив’язана до конкретного користувача, вже вважається персональними даними. Те саме – з геолокацією, фото, ідентифікаторами пристрою.

Поради: як уникнути проблем із законом 2297-VI

  • Не відкладайте: оформлення документів заднім числом при перевірці – це вже порушення.
  • Не копіюйте шаблони: пишіть документи під ваш бізнес-процес.
  • Проводьте аудит раз на рік: перевірте, чи актуальні бази та цілі обробки.
  • Навчайте співробітників: особливо тих, хто працює з клієнтськими або кадровими даними.
  • Підготуйте алгоритм у разі витоку даних: за це у 2025 році окремі штрафи.

Захист персональних даних – це не просто папірці, а довіра ваших клієнтів і партнерів. А правильне оформлення документів – це інвестиція в безпеку та стабільність бізнесу.