...
Головна » Blog » CCPA, CPRA, GDPR та закон України “Про захист персональних даних”: що потрібно знати власнику сайту

CCPA, CPRA, GDPR та закон України “Про захист персональних даних”: що потрібно знати власнику сайту

CCPA і GDPR та закон України «Про захист персональних даних»

Оновлено станом на липень 2026 року.

Коли бізнес запускає сайт, більшість уваги зазвичай йде на дизайн, структуру, швидкість, SEO, рекламу та заявки. Але сучасний сайт майже завжди працює з персональними даними: приймає звернення через форми, підключає аналітику, використовує cookies, передає заявки в CRM, запускає ремаркетинг, збирає email-адреси для розсилок або приймає онлайн-оплати.

Саме тому питання захисту персональних даних уже давно не стосується тільки юристів. Воно напряму стосується власників сайтів, маркетологів, розробників, інтернет-магазинів, сервісних компаній, клінік, освітніх платформ і всіх бізнесів, які працюють з клієнтами онлайн.

Якщо ви створюєте новий сайт або оновлюєте вже наявний, юридичну частину краще враховувати ще на етапі структури, дизайну та технічної реалізації. У theDC.studio це можна поєднати з розробкою сайту на WordPress під ключ або окремо замовити юридичний супровід сайту, якщо сайт уже працює, але документи, cookies, форми й аналітика потребують перевірки.

У цій статті розглянемо три важливі напрями регулювання:

  • CCPA та CPRA — правила захисту персональних даних у Каліфорнії;
  • GDPR — європейський регламент про захист персональних даних;
  • Закон України “Про захист персональних даних” та майбутні зміни українського законодавства.

Також пояснимо, що це означає не в теорії, а для звичайного сайту: політики конфіденційності, cookie-банера, форм заявки, аналітики, рекламних пікселів і роботи з даними користувачів.

Цей матеріал має інформаційний характер і не є юридичною консультацією. Для конкретного бізнесу вимоги потрібно перевіряти окремо, з урахуванням країни, ринку, типу сайту, аудиторії, способу збору даних та підключених сервісів.

Чому власнику сайту варто знати про CCPA, CPRA, GDPR і український закон

Якщо сайт працює тільки для української аудиторії, здається, що достатньо орієнтуватися лише на українське законодавство. Але на практиці все часто складніше.

GDPR може бути важливим для українського бізнесу, якщо сайт орієнтується на користувачів з ЄС, пропонує їм товари або послуги, приймає заявки з європейських країн чи відстежує поведінку користувачів з ЄС за допомогою аналітики та маркетингових інструментів.

CCPA та CPRA можуть бути актуальними, якщо бізнес працює з ринком США, має клієнтів із Каліфорнії або масштабується на американську аудиторію. Каліфорнія стала одним із перших штатів США, де комплексно врегулювали права споживачів щодо персональної інформації. Після цього подібні закони почали з’являтися і в інших штатах.

Українське законодавство також поступово рухається в напрямку гармонізації з європейськими правилами. Детальніше про це ми окремо писали в статті “Новий закон про захист персональних даних в Україні: що має знати бізнес, який має сайт”. Тому навіть якщо сьогодні сайт працює лише в Україні, власнику бізнесу варто закладати правильну логіку обробки персональних даних уже зараз.

Що таке CCPA

CCPA — це California Consumer Privacy Act, закон штату Каліфорнія про захист приватності споживачів. Він надав жителям Каліфорнії більше контролю над персональною інформацією, яку збирають, використовують, передають або продають бізнеси.

CCPA не є повним аналогом GDPR. Його логіка більше зосереджена на правах споживача, прозорості збору даних, можливості дізнатися, які дані зібрані, видалити їх або відмовитися від продажу чи передачі персональної інформації для певних цілей.

Для сайту це означає, що користувач має розуміти:

  • які персональні дані збираються;
  • для чого вони збираються;
  • кому вони можуть передаватися;
  • як можна подати запит щодо своїх даних;
  • як відмовитися від продажу або “sharing” персональної інформації, якщо така передача відбувається.

Для бізнесу, який виходить на міжнародний ринок, ці питання варто враховувати ще до запуску реклами, CRM, аналітики й форм збору заявок. Саме тому при розробці WordPress-сайту важливо не просто зробити сторінки красивими, а одразу продумати, як сайт буде працювати з персональними даними.

Що змінила CPRA

CPRA — це California Privacy Rights Act. Вона не створила повністю окремий закон, а змінила та розширила CCPA. Тому зараз часто говорять про CCPA as amended by CPRA, тобто CCPA з урахуванням змін, внесених CPRA.

З 1 січня 2023 року для жителів Каліфорнії з’явилися додаткові права, зокрема:

  • право вимагати виправлення неточної персональної інформації;
  • право обмежити використання та розкриття чутливої персональної інформації;
  • посилений контроль за продажем і передачею персональної інформації;
  • більша увага до прозорості privacy-практик бізнесу;
  • окремі вимоги до того, як бізнес має відповідати на запити користувачів.

Для власника сайту це важливо тому, що мова йде не лише про “продаж даних” у прямому сенсі. У багатьох випадках під регулювання можуть потрапляти рекламні та аналітичні сценарії: ремаркетинг, поведінкова реклама, передача даних рекламним платформам, використання сторонніх скриптів і трекерів.

Які права має користувач за CCPA/CPRA

У спрощеному вигляді користувач із Каліфорнії має такі права:

  • право знати, які персональні дані про нього збирає бізнес;
  • право дізнатися, з яких джерел ці дані отримані;
  • право знати, з якою метою дані використовуються;
  • право дізнатися, яким категоріям третіх осіб дані розкриваються;
  • право вимагати видалення персональних даних, за певними винятками;
  • право відмовитися від продажу або передачі персональної інформації;
  • право виправити неточні персональні дані;
  • право обмежити використання чутливої персональної інформації;
  • право не зазнавати дискримінації через використання своїх privacy-прав.

Для сайту це означає, що privacy-документи мають бути не просто формальністю. Вони повинні пояснювати реальну роботу сайту: форми, cookies, аналітику, рекламу, CRM, email-маркетинг, платіжні системи та інші інтеграції.

Якщо сайт уже працює, але ви не впевнені, які саме дані він збирає і куди вони передаються, варто почати з аудиту. Це може бути частиною юридичного супроводу сайту або ширшої технічної підтримки WordPress.

До яких бізнесів може застосовуватися CCPA

CCPA застосовується не до всіх сайтів у світі. Загалом він стосується комерційних бізнесів, які ведуть діяльність у Каліфорнії та відповідають певним критеріям, наприклад мають значний річний дохід, обробляють персональну інформацію великої кількості жителів Каліфорнії або отримують значну частину доходу від продажу персональної інформації.

Для малого українського бізнесу без американської аудиторії CCPA може не бути практичним обов’язком. Але якщо сайт орієнтується на США, приймає заявки від американських клієнтів, запускає рекламу на американський ринок або працює з користувачами з Каліфорнії, це питання вже варто перевіряти окремо.

Особливо це актуально для:

  • SaaS-сервісів;
  • онлайн-платформ;
  • інтернет-магазинів;
  • освітніх продуктів;
  • маркетингових сервісів;
  • медичних або wellness-проєктів;
  • B2B-компаній, які працюють з американськими клієнтами;
  • сайтів, що активно використовують рекламні пікселі та аналітику.

Для таких проєктів важлива не тільки юридична частина, а й технічна реалізація: як працюють форми, де зберігаються заявки, які сервіси отримують дані, як налаштований cookie-банер і чи немає зайвих скриптів. Це вже зона, де юридична логіка перетинається з технічним обслуговуванням WordPress.

Що таке GDPR

GDPR — це General Data Protection Regulation, Загальний регламент захисту даних Європейського Союзу. Він застосовується з 25 травня 2018 року та встановлює єдині правила обробки персональних даних у ЄС.

GDPR вважається одним із найвпливовіших privacy-регулювань у світі. Його важливість у тому, що він може стосуватися не лише компаній, зареєстрованих у ЄС. Якщо бізнес поза ЄС пропонує товари або послуги людям у Європейському Союзі чи відстежує їхню поведінку, GDPR також може бути актуальним.

Для сайту це означає, що українська компанія може потрапити в зону дії GDPR, якщо вона:

  • має європейську аудиторію;
  • продає товари або послуги клієнтам із ЄС;
  • має англомовну, німецькомовну, польськомовну чи іншу локалізовану версію для ринку ЄС;
  • приймає заявки від користувачів з ЄС;
  • використовує аналітику, рекламу або трекінг для користувачів із ЄС;
  • працює з європейськими партнерами або клієнтськими базами.

Якщо сайт створюється для кількох ринків, GDPR-логіку краще враховувати ще на етапі структури, мовних версій, форм, cookie-банера та сторінок з юридичною інформацією. Це особливо важливо для бізнесів, які замовляють розробку сайту на WordPress під ключ і планують просування не лише в Україні.

Персональні дані на сайті: що саме може збиратися

Багато власників сайтів думають, що персональні дані — це тільки паспорт, ідентифікаційний код або адреса проживання. Насправді для сайту персональними даними можуть бути й значно простіші речі.

Наприклад:

  • ім’я користувача;
  • номер телефону;
  • email;
  • місто або країна;
  • IP-адреса;
  • дані з форми заявки;
  • історія замовлень;
  • дані особистого кабінету;
  • інформація про запис на консультацію;
  • дані онлайн-оплати;
  • cookie-ідентифікатори;
  • рекламні ідентифікатори;
  • поведінкові дані в аналітиці;
  • повідомлення, які користувач надсилає через форму або чат.

Якщо сайт має форму “Залишити заявку”, “Отримати консультацію”, “Замовити дзвінок”, “Записатися на прийом”, “Завантажити файл”, “Підписатися на розсилку” або “Купити онлайн”, він уже працює з персональними даними.

Це також важливо для SEO. Пошукова оптимізація не зводиться тільки до ключових слів: структура сторінок, технічний стан, швидкість, коректні форми, індексація і довіра до сайту впливають на загальну якість проєкту. Саме тому SEO-оптимізація WordPress-сайту має враховувати не лише мета-теги, а й технічну та контентну логіку сайту.

Основні принципи GDPR

GDPR побудований не лише на формальних документах. Його суть — у принципах обробки персональних даних. Для власника сайту найважливіші такі принципи:

Законність, прозорість і справедливість

Користувач має розуміти, хто збирає його дані, які саме дані збираються, з якою метою і що з ними буде далі. Це пояснюється у політиці конфіденційності, cookie policy, текстах біля форм і механізмах згоди.

Обмеження мети

Дані потрібно збирати для конкретної мети. Наприклад, якщо людина залишила телефон для консультації, не варто автоматично використовувати цей номер для інших цілей, які не були зрозуміло пояснені.

Мінімізація даних

Сайт не повинен збирати більше даних, ніж потрібно для конкретної дії. Якщо для заявки достатньо імені та телефону, не завжди потрібно просити дату народження, адресу, компанію, посаду чи інші деталі.

Точність даних

Дані мають бути актуальними та коректними. Якщо користувач просить виправити інформацію, бізнес має мати зрозумілий процес для таких звернень.

Обмеження строку зберігання

Персональні дані не варто зберігати довше, ніж потрібно для мети, з якою вони були зібрані. Це особливо важливо для заявок, старих клієнтських баз, CRM, email-розсилок і резервних копій.

Безпека

Сайт має бути технічно захищений: SSL-сертифікат, оновлення WordPress, захист форм, контроль доступів, резервне копіювання, обмеження ролей користувачів, захист адмінпанелі та обережна робота з плагінами.

Якщо ви хочете окремо перевірити саме технічну сторону, корисною буде стаття “Аудит безпеки WordPress сайту: 10 критичних перевірок” або послуга технічного обслуговування та підтримки WordPress.

Згода — не єдина підстава для обробки за GDPR

Одна з частих помилок — вважати, що GDPR завжди вимагає саме згоду. Насправді згода є лише однією з правових підстав для обробки персональних даних.

За GDPR обробка може бути законною, якщо є хоча б одна правова підстава:

  • користувач дав згоду;
  • обробка потрібна для виконання договору;
  • обробка потрібна для виконання юридичного обов’язку;
  • обробка потрібна для захисту життєво важливих інтересів;
  • обробка потрібна для виконання завдання в суспільних інтересах;
  • обробка потрібна для legitimate interests, тобто законних інтересів контролера або третьої сторони, якщо вони не переважають права та свободи людини.

Для сайту це означає, що не кожен чекбокс має бути “згодою на все”. Наприклад, обробка заявки може бути потрібна для відповіді на запит користувача або підготовки до укладення договору. А ось маркетингова розсилка, рекламні cookies або передача даних у рекламні системи можуть вимагати окремого підходу.

Саме тому важливо не просто поставити шаблонний cookie-банер, а зрозуміти, які дані реально збирає сайт і на якій підставі вони обробляються. Практичний список дій можна подивитися в нашому матеріалі “Чекліст для відповідності сайту вимогам GDPR”.

Основні права користувача за GDPR

GDPR надає користувачам широкий набір прав щодо персональних даних. Серед них:

  • право отримати інформацію про обробку своїх даних;
  • право доступу до персональних даних;
  • право виправити неточні дані;
  • право вимагати видалення даних;
  • право обмежити обробку;
  • право на переносимість даних;
  • право заперечити проти обробки;
  • право не бути об’єктом рішень, які базуються лише на автоматизованій обробці, якщо такі рішення мають суттєвий вплив;
  • право відкликати згоду, якщо обробка базувалася саме на згоді.

На практиці це означає, що на сайті має бути зрозумілий канал зв’язку для таких звернень. Зазвичай це email у політиці конфіденційності або окрема форма для privacy-запитів.

Штрафи за GDPR

GDPR має значно жорсткіший підхід до відповідальності, ніж чинне українське законодавство про персональні дані. Для серйозних порушень штрафи можуть сягати до 20 млн євро або до 4% загального річного світового обороту компанії — залежно від того, яка сума більша.

Але для власника сайту головне не тільки штрафи. Є ще репутаційні ризики, скарги користувачів, блокування рекламних інструментів, проблеми з партнерами, недовіра клієнтів і складність роботи на міжнародних ринках.

Тому privacy-вимоги краще сприймати не як формальність, а як частину нормальної цифрової інфраструктури бізнесу.

Закон України “Про захист персональних даних”

В Україні основним актом у цій сфері є Закон України “Про захист персональних даних”. Він регулює відносини, пов’язані із захистом і обробкою персональних даних, та спрямований на захист прав і свобод людини, зокрема права на невтручання в особисте життя.

За українським законом персональні дані — це відомості або сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Обробка персональних даних — це не тільки їх збір. Це також зберігання, використання, поширення, передача, зміна, оновлення, знеособлення або знищення даних.

Для сайту це означає, що будь-яка форма заявки, база клієнтів, CRM, email-розсилка або особистий кабінет — це не просто технічна функція, а процес обробки персональних даних.

Що український закон означає для сайту

Власнику сайту потрібно розуміти кілька базових речей.

По-перше, користувач має знати, хто збирає його дані та з якою метою.

По-друге, дані потрібно збирати для конкретної і законної мети.

По-третє, склад даних має бути адекватним і ненадмірним щодо мети обробки.

По-четверте, якщо сайт збирає чутливі дані, наприклад інформацію про здоров’я, біометричні дані або інші спеціальні категорії, до цього потрібно ставитися особливо уважно.

По-п’яте, тексти згод, політика конфіденційності, cookie-повідомлення і формулювання біля форм мають відповідати реальній роботі сайту, а не бути скопійованими з випадкового шаблону.

Саме на цьому часто виникають проблеми: сайт технічно збирає одні дані, а в документах написано зовсім інше. У таких випадках допомагає не просто “переписати політику”, а провести повний юридичний аудит сайту разом із перевіркою форм, cookies, аналітики й CRM.

Українське законодавство рухається ближче до GDPR

Україна поступово оновлює підхід до захисту персональних даних. Законопроєкт №8153 “Про захист персональних даних” був прийнятий за основу у першому читанні 20 листопада 2024 року та станом на липень 2026 року готується до другого читання.

Цей законопроєкт важливий, бо він спрямований на наближення українського законодавства до європейських стандартів, зокрема GDPR. Очікується, що нове регулювання може посилити вимоги до бізнесу, розширити права суб’єктів персональних даних, деталізувати обов’язки контролерів і розпорядників, а також змінити підхід до відповідальності.

Для бізнесу це означає просту річ: privacy-логіку варто закладати в сайт уже зараз. Особливо якщо сайт має заявки, онлайн-оплати, особистий кабінет, CRM, рекламу, аналітику, медичні або фінансові дані.

Більше про українські зміни ми розібрали в окремій статті про новий закон про захист персональних даних в Україні.

CCPA/CPRA, GDPR і закон України: головні відмінності

Географія дії

CCPA/CPRA стосується насамперед жителів Каліфорнії та бізнесів, які підпадають під критерії цього законодавства.

GDPR діє в Європейському Союзі, але може застосовуватися і до бізнесів за межами ЄС, якщо вони пропонують товари чи послуги людям у ЄС або відстежують їхню поведінку.

Український закон регулює обробку персональних даних в Україні та застосовується до суб’єктів, які обробляють персональні дані відповідно до українського законодавства.

Підхід до згоди

CCPA/CPRA більше зосереджується на праві користувача знати, видаляти, виправляти дані та відмовлятися від продажу чи передачі персональної інформації для певних цілей.

GDPR має ширший підхід: згода є лише однією з правових підстав обробки, а не єдиним варіантом.

Український закон також працює з поняттям згоди, але поступово має наближатися до більш деталізованої європейської моделі.

Права користувачів

GDPR надає дуже широкий набір прав: доступ, виправлення, видалення, обмеження обробки, переносимість, заперечення, відкликання згоди та захист від певних автоматизованих рішень.

CCPA/CPRA фокусується на правах споживача щодо персональної інформації, прозорості її використання, відмові від продажу або sharing, виправленні даних і обмеженні використання чутливої інформації.

Український закон також закріплює права суб’єкта персональних даних, але чинна система поки менш деталізована, ніж GDPR.

Штрафи та контроль

GDPR має один із найжорсткіших режимів відповідальності у світі.

CCPA/CPRA також передбачає відповідальність, але працює в іншій правовій системі та має інший підхід до застосування.

В Україні чинні штрафи поки значно нижчі, але майбутня реформа може змінити ситуацію.

Що це означає для власника сайту

Для власника сайту всі ці закони зводяться до дуже практичних питань.

Політика конфіденційності

На сайті має бути політика конфіденційності, яка пояснює:

  • хто є власником сайту;
  • які персональні дані збираються;
  • для яких цілей вони використовуються;
  • через які форми або сервіси збираються дані;
  • кому можуть передаватися дані;
  • як довго вони можуть зберігатися;
  • які права має користувач;
  • як користувач може звернутися щодо своїх даних.

Політика конфіденційності має відповідати реальному сайту. Якщо на сайті є Google Analytics, Meta Pixel, CRM, email-розсилка, онлайн-оплата або чат-бот, це потрібно врахувати.

Якщо документи давно не оновлювалися або були взяті з шаблону, варто перевірити їх через юридичний супровід сайту під ключ.

Cookie-банер

Cookie-банер має бути не просто декоративним попапом. Він повинен відповідати тому, які cookie та скрипти реально працюють на сайті.

Для європейської аудиторії особливо важливо, щоб аналітичні та маркетингові cookies не запускалися некоректно до отримання відповідної згоди, якщо така згода потрібна.

Для сайту це означає, що потрібно перевірити:

  • які cookies використовуються;
  • які скрипти запускаються при першому завантаженні;
  • чи можна відмовитися від необов’язкових cookies;
  • чи зберігається вибір користувача;
  • чи можна змінити налаштування cookies;
  • чи відповідає текст банера реальному функціоналу.

Cookie-логіка часто пов’язана з технічною частиною сайту, тому її варто перевіряти разом із технічною підтримкою WordPress або під час повного аудиту сайту.

Форми заявки

Форми на сайті мають чітко пояснювати, що відбувається з даними після відправлення.

Наприклад, якщо користувач залишає ім’я і телефон, потрібно розуміти:

  • чи потрапляє заявка на email;
  • чи записується вона в адмінці WordPress;
  • чи передається вона в CRM;
  • чи йде сповіщення в Telegram;
  • чи отримує ці дані менеджер;
  • чи використовуються ці контакти для подальшого маркетингу.

Якщо дані з форми використовуються не лише для відповіді на заявку, а й для розсилки або реклами, це потрібно оформлювати окремо.

Це особливо важливо для сайтів, які створюються під рекламу або SEO. Якщо ви плануєте запускати новий сайт, краще врахувати це одразу в межах розробки сайту на WordPress, а не переробляти форми після запуску.

Google Analytics, Meta Pixel та рекламні системи

Аналітика і рекламні пікселі часто є найбільш недооціненою частиною privacy-аудиту.

На сайті можуть працювати:

  • Google Analytics;
  • Google Tag Manager;
  • Meta Pixel;
  • TikTok Pixel;
  • LinkedIn Insight Tag;
  • Hotjar або Clarity;
  • CRM-скрипти;
  • онлайн-чати;
  • сервіси колтрекінгу;
  • сервіси email-маркетингу.

Кожен із цих інструментів може збирати або передавати певні дані. Тому їх потрібно враховувати в політиці конфіденційності, cookie policy і технічній логіці згоди.

Окремо варто перевіряти, чи не запускаються рекламні події некоректно. Наприклад, якщо Meta Pixel надсилає подію Lead при звичайному перегляді сторінки, це шкодить і рекламі, і якості даних. Такі речі краще перевіряти в межах технічного обслуговування WordPress.

WordPress, плагіни і персональні дані

Для WordPress-сайтів privacy-питання часто пов’язане не лише з текстами, а й із технічною частиною.

Дані можуть зберігатися в:

  • формах Elementor або Fluent Forms;
  • WooCommerce-замовленнях;
  • акаунтах користувачів;
  • плагінах бронювання;
  • плагінах LMS;
  • CRM-інтеграціях;
  • резервних копіях;
  • логах безпеки;
  • email-повідомленнях;
  • базі даних WordPress.

Тому юридична відповідність сайту — це не тільки сторінка Privacy Policy у футері. Це ще й перевірка того, як саме сайт збирає, зберігає, передає і видаляє дані.

Якщо сайт давно не перевірявся, варто поєднати аудит юридичної частини сайту з технічною перевіркою WordPress: оновленнями, безпекою, формами, доступами, резервними копіями й інтеграціями.

Які сайти потребують особливої уваги

Найбільше уваги до персональних даних потрібно сайтам, які працюють із чутливою або комерційно важливою інформацією.

До таких сайтів належать:

  • медичні сайти;
  • сайти клінік і лікарів;
  • освітні платформи;
  • інтернет-магазини;
  • сайти з онлайн-оплатою;
  • сайти з особистими кабінетами;
  • SaaS-платформи;
  • юридичні сайти;
  • фінансові сервіси;
  • сайти з онлайн-записом;
  • сайти, які працюють з аудиторією ЄС або США.

Наприклад, сайт клініки може збирати ім’я, телефон, симптоми, бажану послугу, дату запису або іншу інформацію, пов’язану зі здоров’ям. Це вже набагато чутливіша зона, ніж звичайна форма “Залишити заявку”.

Для таких проєктів важливо не просто запустити сайт, а правильно продумати структуру, форми, тексти згод, документи, аналітику й технічну підтримку. Саме тому privacy-питання варто враховувати разом із розробкою сайту на WordPress і подальшим обслуговуванням сайту.

Що має бути на юридично підготовленому сайті

Для більшості бізнес-сайтів базовий набір виглядає так:

  • політика конфіденційності;
  • cookie policy;
  • cookie-банер із коректною логікою згоди;
  • умови користування сайтом;
  • публічна оферта, якщо сайт продає товари або послуги онлайн;
  • зрозумілі тексти біля форм збору даних;
  • окремі згоди для розсилок або маркетингу;
  • правильно оформлені сторінки checkout, якщо є WooCommerce;
  • контакт для звернень щодо персональних даних;
  • опис сторонніх сервісів, які можуть отримувати дані;
  • технічна перевірка форм, пікселів, аналітики та CRM.

Якщо сайт працює з міжнародною аудиторією, цього може бути недостатньо. Тоді потрібно окремо перевіряти вимоги GDPR, CCPA/CPRA або законів інших країн і штатів.

Базову логіку можна пройти самостійно за допомогою нашого GDPR-чекліста для сайту, а якщо потрібна комплексна перевірка — звернутися за юридичним супроводом сайту.

Типові помилки на сайтах

Найчастіше проблеми виникають не через відсутність одного документа, а через невідповідність між документами і реальною роботою сайту.

Типові помилки:

  • політика конфіденційності скопійована з іншого сайту;
  • у політиці не згадано Google Analytics, Meta Pixel або CRM;
  • cookie-банер є, але маркетингові скрипти запускаються до вибору користувача;
  • у формах немає зрозумілого пояснення, для чого збираються дані;
  • одна згода використовується одразу для заявки, розсилки і реклами;
  • сайт збирає зайві поля у формах;
  • старі заявки роками зберігаються в адмінці;
  • доступ до заявок мають зайві користувачі;
  • резервні копії з персональними даними зберігаються без контролю;
  • користувачу не пояснено, як звернутися щодо видалення або виправлення даних.

Такі речі не завжди видно з першого погляду, але вони важливі для юридичної, технічної і репутаційної надійності сайту.

Якщо сайт ще й просувається в Google, ці проблеми можуть впливати не тільки на юридичну сторону, а й на довіру користувачів, поведінкові сигнали, коректність аналітики та якість заявок. Тому для бізнесу корисно поєднувати SEO-оптимізацію WordPress-сайту з технічною і юридичною перевіркою.

Як підготувати сайт до вимог щодо персональних даних

Підхід має бути не формальним, а практичним.

1. Провести аудит збору даних

Спочатку потрібно зрозуміти, які дані збирає сайт і через які точки:

  • форми;
  • коментарі;
  • замовлення;
  • особисті кабінети;
  • підписки;
  • чати;
  • аналітика;
  • рекламні пікселі;
  • CRM;
  • email-сервіси;
  • платіжні системи.

2. Перевірити сторонні сервіси

Важливо знати, куди передаються дані після того, як користувач взаємодіє із сайтом.

Наприклад, заявка може одночасно йти на email, у CRM, в Telegram-бот, у таблицю Google Sheets і зберігатися в базі WordPress. Усе це потрібно врахувати.

3. Оновити юридичні документи

Після аудиту потрібно підготувати або оновити:

  • Privacy Policy;
  • Cookie Policy;
  • Terms of Use;
  • Public Offer;
  • тексти згод біля форм;
  • повідомлення для checkout;
  • тексти для підписок і маркетингових комунікацій.

Це можна зробити як окрему задачу в межах юридичного супроводу сайту під ключ.

4. Налаштувати cookie-логіку

Cookie-банер має працювати технічно правильно. Недостатньо просто показати повідомлення “Ми використовуємо cookies”. Потрібно перевірити, які скрипти запускаються до згоди, які після згоди, і чи може користувач змінити свій вибір.

5. Обмежити зайвий збір даних

Якщо поле у формі не потрібне для обробки заявки, його краще прибрати. Чим менше зайвих даних збирає сайт, тим простіше ним керувати і тим нижчі ризики.

6. Перевірити безпеку WordPress

Юридична відповідність неможлива без базової технічної безпеки. Якщо сайт не оновлюється, має слабкі паролі, зайві адмін-доступи або вразливі плагіни, навіть правильна політика конфіденційності не вирішить проблему.

Для цього можна почати з технічного обслуговування та підтримки WordPress або окремо переглянути чекліст з аудиту безпеки WordPress.

Як theDC.studio допомагає з юридичною підготовкою сайту

У theDC.studio ми розглядаємо юридичну частину сайту не окремо від дизайну чи розробки, а як частину повноцінного запуску проєкту.

Під час роботи із сайтом ми можемо перевірити:

  • які дані збирає сайт;
  • які форми та інтеграції працюють;
  • чи є політика конфіденційності;
  • чи відповідають документи реальному функціоналу;
  • чи правильно оформлені cookie-повідомлення;
  • чи зрозуміло користувачу, як обробляються його дані;
  • чи не збирає сайт зайві дані;
  • чи коректно працюють аналітика, пікселі та CRM;
  • які юридичні сторінки потрібні саме цьому проєкту.

Для цього у нас є окрема послуга “Юридичний супровід сайту під ключ”, у межах якої можна підготувати Privacy Policy, Cookie Policy, Terms of Use, публічну оферту та провести аудит логіки збору персональних даних на сайті.

Якщо сайт ще тільки планується, юридичну частину можна врахувати разом із розробкою сайту на WordPress. Якщо сайт уже працює, але потребує регулярного контролю, оновлень, перевірки форм і технічної стабільності, краще розглянути підтримку та обслуговування WordPress.

CCPA/CPRA, GDPR і український закон: що важливо запам’ятати

CCPA та CPRA важливі для бізнесів, які працюють із жителями Каліфорнії або орієнтуються на американський ринок.

GDPR важливий для сайтів, які працюють з аудиторією ЄС, продають послуги чи товари європейським клієнтам або відстежують поведінку користувачів із ЄС.

Український закон уже зараз вимагає уважного ставлення до персональних даних, а майбутнє оновлення законодавства, найімовірніше, наблизить Україну до європейської моделі.

Для власника сайту це означає, що юридична підготовка сайту має включати не тільки текст у футері. Потрібно дивитися на всю систему: форми, cookies, аналітику, рекламу, CRM, розсилки, платіжні сервіси, зберігання заявок і права користувачів.

Сайт, який працює з персональними даними, має бути зрозумілим, прозорим і технічно налаштованим. Це важливо для довіри користувачів, нормальної роботи реклами, виходу на міжнародні ринки і загальної якості цифрового продукту.

Якщо вам потрібно перевірити, чи відповідає сайт реальним вимогам щодо персональних даних, cookies, форм, аналітики та документів, можна замовити юридичний супровід сайту під ключ або поєднати його з технічною підтримкою WordPress.

  • GDPR: Вимагає проведення оцінки впливу на захист даних (Data Protection Impact Assessment, DPIA) у випадках, коли обробка даних може призвести до високого ризику для прав і свобод осіб.
  • Український закон: Не містить конкретних вимог щодо проведення DPIA.

Повідомлення про порушення:

  • GDPR: Вимагає повідомлення контролюючих органів і суб’єктів даних про порушення захисту персональних даних протягом 72 годин після виявлення.
  • Український закон: Не містить конкретних строків для повідомлення про порушення захисту даних, хоча передбачає обов’язок інформувати суб’єктів даних і контролюючі органи.

Як ви зрозуміли, незважаючи на те, що українське законодавство про захист персональних даних має багато спільного з європейським GDPR, воно все ж таки відрізняється у деталях і ступені суворості. Наше законодавство продовжує розвиватися і буде наближатися до стандартів GDPR, зокрема у контексті гармонізації законодавства з нормами ЄС.

А зараз повернемось до США та відмінності між CCPA і GDPR:

Основні відмінності між CCPA (Каліфорнійським законом) і GDPR (Європейським законом)

Застосовність:
  • CCPA: Застосовується до компаній, які ведуть бізнес у Каліфорнії та відповідають певним критеріям (наприклад, дохід понад $25 млн на рік).
  • GDPR: Застосовується до будь-яких компаній, які обробляють дані резидентів ЄС, незалежно від місцезнаходження компанії.
Консенсус:
  • CCPA: Основується на праві споживачів відмовитися від продажу даних.
  • GDPR: Вимагає явної згоди на обробку даних.
Штрафи:
  • CCPA: Штрафи можуть досягати $7,500 за умисні порушення.
  • GDPR: Штрафи можуть досягати €20 млн або 4% від річного світового обороту компанії, залежно від того, що більше.
Фокус:
  • CCPA: Переважно спрямований на захист споживчих даних і запобігання їх продажу.
  • GDPR: Більш всеосяжний, охоплює всі аспекти обробки даних і включає суворі вимоги до захисту даних.

Ми можемо зробити висновок, що GDPR, CCPA і Закон України «Про захист персональних даних» мають спільну мету – забезпечення захисту персональних даних, проте відрізняються масштабом, суворістю та підходами до захисту прав громадян. 

GDPR є найбільш комплексним і суворим, охоплюючи всі аспекти обробки даних в ЄС. CCPA більш зосереджений на правах споживачів і прозорості даних у Каліфорнії, тоді як український закон можна вважати більш загальний, орієнтований на адаптацію до європейських стандартів, але менш деталізований у порівнянні з GDPR. 

Бажаємо, щоб ваші дані були в безпеці, а права не порушували.

Чи потрібна політика конфіденційності звичайному сайту послуг?

Так, якщо сайт має форму заявки, кнопку “замовити дзвінок”, онлайн-запис, чат, email-підписку, аналітику або рекламні пікселі. Навіть простий сайт послуг зазвичай збирає ім’я, телефон, email або технічні дані користувача.

Чи достатньо просто скопіювати Privacy Policy з іншого сайту?

Ні. Політика конфіденційності має відповідати реальному функціоналу конкретного сайту. Якщо в документі написано одне, а сайт фактично збирає або передає інші дані, такий документ не вирішує проблему.

Чи потрібен cookie-банер українському сайту?

Залежить від аудиторії, типу cookies і підключених сервісів. Якщо сайт використовує аналітичні або маркетингові cookies, Google Analytics, Meta Pixel чи інші трекери, cookie-логіку варто оформити коректно. Для сайтів, які працюють з аудиторією ЄС, це особливо важливо.

Чи стосується GDPR українського бізнесу?

Може стосуватися. Якщо український бізнес пропонує товари або послуги користувачам із ЄС чи відстежує їхню поведінку, GDPR може бути актуальним навіть без офісу в Європі.

Чи стосується CCPA українського сайту?

Не кожного. CCPA/CPRA стосується насамперед бізнесів, які підпадають під критерії каліфорнійського законодавства і працюють з персональною інформацією жителів Каліфорнії. Якщо сайт орієнтується на американський ринок, це питання краще перевірити окремо.

Що краще зробити спочатку: документи чи технічний аудит?

Краще починати з аудиту. Спочатку потрібно зрозуміти, які дані сайт реально збирає, де вони зберігаються і куди передаються. Після цього можна готувати документи, які відповідають фактичній роботі сайту.

Чи потрібно оновлювати стару політику конфіденційності?

Так, якщо на сайті змінилися форми, аналітика, рекламні пікселі, CRM, платіжні сервіси, розсилки, cookie-банер або аудиторія сайту. Політика конфіденційності має бути живим документом, а не текстом, який один раз поставили й забули.

Чи потрібна окрема згода на email-розсилку?

У багатьох випадках так. Якщо користувач залишає контакти для заявки, це не завжди означає, що він погодився отримувати маркетингові розсилки. Для підписок, промоакцій і регулярного email-маркетингу краще мати окрему зрозумілу згоду.

Чи впливає юридична підготовка сайту на довіру?

Так. Користувачі охочіше залишають дані на сайті, де зрозуміло, хто обробляє інформацію, для чого вона потрібна і як можна звернутися щодо своїх прав. Це особливо важливо для медичних, юридичних, освітніх, фінансових і сервісних проєктів.

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Прокрутка до верху

Обговоримо ваш сайт

Залиште контакти — ми зв’яжемося з вами та підкажемо, з чого краще почати.
Перейти до вмісту