Політика конфіденційності — що має бути на кожному сайті
Кожен сайт, який збирає хоча б ім'я і телефон через форму зворотного зв'язку, зобов'язаний мати політику конфіденційності. Це не рекомендація і не «бажано» — це вимога закону. В Україні це Закон «Про захист персональних даних» (2565-IX), в ЄС — GDPR. Штрафи за порушення GDPR — до 20 мільйонів євро або 4% річного обороту. В Україні штрафи менші, але репутаційні ризики — ті самі.
При цьому на 80% українських бізнес-сайтів або немає політики конфіденційності взагалі, або там стоїть скопійований текст, який не відповідає реальності. У цій статті — що конкретно має бути в документі, коли вам потрібен GDPR, і як зробити це правильно без юриста за тисячі гривень.
Коротко
- → Політика конфіденційності обов'язкова для будь-якого сайту, який збирає персональні дані — навіть просто ім'я і телефон
- → В Україні діє Закон 2565-IX, а GDPR стосується вас, якщо хоча б один відвідувач з ЄС
- → Cookie consent банер — обов'язковий для Google Analytics, Meta Pixel, рекламних скриптів
- → Генератор Privacy Policy — нормальний старт, але перевірте і адаптуйте під реальні дані, які збираєте
Чи обов'язкова політика конфіденційності
Так, якщо ваш сайт збирає будь-які персональні дані. А він збирає — навіть якщо вам здається, що ні. Контактна форма з ім'ям і телефоном — персональні дані. Google Analytics — збирає IP-адреси, дані про пристрій і поведінку. Meta Pixel — відстежує відвідувачів для таргетованої реклами. Cookies — зберігають ідентифікатори сесії.
В Україні це регулюється Законом «Про захист персональних даних» (2565-IX). Він вимагає: інформувати людей, які дані ви збираєте і навіщо; отримати згоду на обробку; забезпечити захист цих даних; дати можливість відкликати згоду і видалити дані.
Google і Facebook теж вимагають наявність Privacy Policy як умову використання їхніх інструментів. Без неї можуть заблокувати ваш рекламний акаунт або відключити Analytics. А для інтернет-магазинів і платіжних систем — це обов'язкова умова підключення. Детальніше про всі юридичні вимоги — у статті юридичні вимоги до сайту в Україні.
Що має містити документ
Хто збирає дані
Повна назва компанії або ФОП, юридична адреса, контактний email для питань щодо персональних даних. Не «Наша компанія» — а конкретна юридична особа. Якщо ви фрілансер-ФОП — вкажіть себе.
Які дані збираються
Перерахуйте все: ім'я, email, телефон, IP-адреса, дані cookies, інформація з форм, платіжні дані (якщо інтернет-магазин), геолокація (якщо використовуєте). Не пишіть розмито «різну інформацію» — будьте конкретними.
Навіщо збираються
Для кожного типу даних — своя мета. Ім'я і телефон — для зв'язку щодо замовлення. Email — для надсилання рахунку. IP-адреса — для аналітики відвідуваності. Cookies — для роботи сайту і рекламних платформ. Мета має бути зрозумілою звичайній людині, не юристу.
Кому передаються
Google (Analytics, Ads), Facebook (Pixel), платіжна система (LiqPay, WayForPay), поштовий оператор (Нова Пошта), CRM-система, хостинг-провайдер. Кожен сервіс, якому ви технічно передаєте дані — має бути в списку.
Права користувача
Право знати, які дані зібрані. Право вимагати виправлення. Право вимагати видалення. Право відкликати згоду. Право подати скаргу до Уповноваженого Верховної Ради з прав людини (для України) або наглядового органу (для GDPR). Це не побажання — це вимога закону.
Строки зберігання і захист
Скільки зберігаєте дані (наприклад, «протягом дії договору і 3 роки після»), як захищаєте (SSL-шифрування, обмежений доступ, бекапи), як повідомите про витік даних.
Потрібна консультація?
Безкоштовно розберу ваш проєкт і дам рекомендації
GDPR і український бізнес
GDPR (General Data Protection Regulation) — це європейський закон, але він стосується будь-якого бізнесу, який обробляє дані громадян ЄС. Якщо хоча б один відвідувач вашого сайту з Польщі, Німеччини чи будь-якої іншої країни ЄС — формально GDPR поширюється на вас.
| Вимога | Закон України (2565-IX) | GDPR (ЄС) |
|---|---|---|
| Privacy Policy | Обов'язкова | Обов'язкова |
| Згода на збір даних | Потрібна | Явна opt-in згода |
| Cookie consent | Рекомендовано | Обов'язковий (до збору) |
| Право на видалення | Так | Так (право на «забуття») |
| Штрафи | До 17 000 грн | До €20 млн або 4% обороту |
| DPO (відповідальна особа) | Не обов'язковий | Для великих обсягів даних |
На практиці: якщо ви працюєте виключно на український ринок і не рекламуєтесь в ЄС — ризик мінімальний. Але якщо у вас є англомовна версія сайту, ви приймаєте оплати в євро або маєте клієнтів з ЄС — GDPR для вас реальність. І його вимоги суворіші за українські: потрібна чітка згода перед збором даних (opt-in, а не opt-out), право на «забуття» (повне видалення всіх даних на запит), обов'язковий DPO (Data Protection Officer) для великих обсягів даних.
Мій підхід: навіть для суто українського сайту я роблю Privacy Policy з урахуванням базових вимог GDPR. Це не набагато складніше, але дає запас на випадок, якщо бізнес вийде на міжнародний ринок. Плюс — це просто хороша практика захисту даних.
Де і як розмістити
Окрема сторінка з URL типу /privacy-policy або /polityka-konfidentsiynosti. Посилання на неї — у footer сайту на кожній сторінці. Також обов'язково — поруч з кожною формою, яка збирає дані: «Натискаючи "Відправити", ви погоджуєтесь з політикою конфіденційності» з посиланням.
Мова документа — та ж, що і мова сайту. Якщо сайт українською — Privacy Policy українською. Якщо є англомовна версія — окрема англомовна Privacy Policy. Не ховайте документ — він має бути доступний в 1-2 кліки з будь-якої сторінки сайту.
Типові помилки
Копіпаст чужої політики
Найпоширеніша помилка. Берете Privacy Policy з іншого сайту, міняєте назву компанії, публікуєте. Проблема: там описані сервіси, які ви не використовуєте, і не описані ті, які використовуєте. Юридично такий документ нічого не захищає.
Генератор без перевірки
Онлайн-генератори Privacy Policy (Termly, PrivacyPolicies.com, Iubenda) — непоганий старт. Вони задають правильні питання і створюють структуру. Але після генерації обов'язково перевірте: чи всі сервіси вказані, чи правильна юрисдикція, чи відповідають строки зберігання реальності. Генератор не знає вашу специфіку.
Немає cookie consent банеру
Політика є, а банер згоди — ні. Google Analytics працює без згоди відвідувача. З точки зору GDPR і Consent Mode v2 — це порушення. Google може обмежити дані у вашому Analytics, а за GDPR — це підстава для штрафу.
Документ англійською на українському сайті
Закон вимагає, щоб інформація про обробку персональних даних була доступною і зрозумілою. Privacy Policy англійською на сайті, де 100% аудиторії — україномовна, формально не виконує цю вимогу.
Часті запитання
Якщо на сайті є Google Analytics, лічильники відвідувань, cookies або вбудований Facebook-віджет — дані все одно збираються. Тому так, потрібна. Єдиний виняток — повністю статичний сайт без жодних скриптів, аналітики і форм, що на практиці майже не зустрічається.
Так, як стартову точку. Termly, Iubenda, PrivacyPolicies.com — адекватні генератори. Але після генерації адаптуйте під свою реальність: перевірте список сервісів, додайте конкретні дані про свою компанію, прибережіть пункти про сервіси, які не використовуєте.
Від 3 000 до 15 000 грн залежно від складності сайту і кількості інтеграцій. Для інтернет-магазину з платіжними системами і CRM — ближче до верхньої межі. Для простого сайту-візитки — можна обійтися генератором і самостійною адаптацією.
Якщо ви продаєте або надаєте послуги жителям ЄС, маєте англомовну версію сайту або рекламуєтесь в європейських країнах — так, GDPR стосується вас. Якщо працюєте виключно на внутрішній український ринок — формально ні, але дотримуватись базових принципів GDPR все одно корисно.
В Україні: теоретично штраф від Уповноваженого з прав людини, на практиці — рідко. Реальніший ризик: Google може обмежити рекламний акаунт, платіжні системи — відмовити в підключенні, а клієнти — втратити довіру. В ЄС (GDPR): штрафи до 20 млн євро.
Щоразу, коли змінюються дані, які ви збираєте, або сервіси, яким їх передаєте. Підключили нову CRM, змінили платіжну систему, додали чат-бот — оновіть документ. Мінімум — раз на рік переглянути на актуальність. Вказуйте дату останнього оновлення на сторінці.
Для інтернет-магазинів Privacy Policy має додатково описувати: обробку платіжних даних (номер картки, CVV — зазвичай обробляє платіжний провайдер, а не ви), передачу даних поштовим операторам (Нова Пошта, Укрпошта) для доставки, зберігання історії замовлень і як довго. Також обов'язкова публічна оферта — окремий документ з умовами купівлі-продажу, оплати, повернення і доставки.
Не знайшли відповідь?
Висновок
Політика конфіденційності — не бюрократичний формалізм, а реальний захист для вас і ваших клієнтів. Мінімум, який має бути на кожному сайті: сторінка Privacy Policy з конкретним описом даних, cookie consent банер, посилання на документ біля кожної форми. На це потрібно 2-3 години один раз — і ви закриваєте юридичний ризик назавжди.
Якщо не впевнені, чи ваш сайт відповідає вимогам — подивіться повний список юридичних вимог до сайту або замовте аудит — я перевірю не тільки SEO і код, а й юридичну відповідність.
