Кому потрібен GDPR — навіть якщо ви не в EU
Поширена помилка: «У мене сайт в Україні, GDPR — це для Європи, я не підпадаю». Це невірно.
GDPR застосовується до будь-якого сайту, який:
• Збирає дані європейських клієнтів (форма заявки, реєстрація, підписка)
• Використовує Google Analytics, Facebook Pixel або інші сервіси, що передають дані в EU/USA
• Приймає платежі від європейських користувачів
• Використовує cookies для tracking
Якщо ви в Україні і працюєте з румунськими, німецькими або французькими клієнтами — GDPR застосовується. Якщо ви розвиваєте бізнес на європейський ринок — тим паче.
Плюс — національні закони. В Україні діє Закон «Про захист персональних даних» (з 2010, оновлений у 2023). У Молдові — Legea privind protecția datelor cu caracter personal. В обох випадках штрафи реальні.
7 обов'язкових елементів на сайті
1. Cookie consent banner
Спливне вікно з явною згодою на використання cookies. Не «продовжуючи перегляд, ви погоджуєтесь» (це не працює за GDPR), а окремі кнопки «Прийняти всі» / «Тільки необхідні» / «Налаштувати». Без нього Google Analytics і будь-які інші tracking-cookies використовувати не можна.
2. Privacy Policy (політика конфіденційності)
Сторінка з описом:
• Які дані збираємо (ім'я, email, телефон, IP, cookies)
• Навіщо (обробка заявок, маркетинг, аналітика)
• Кому передаємо (Google, Resend, хостинг-провайдер, CRM)
• Скільки зберігаємо
• Як користувач може запитати видалення, доступ, перенесення своїх даних
• Контакти відповідального за персональні дані
Шаблони є на e-recht24.de та iubenda.com, але фінальну версію має затвердити юрист.
3. Згода у формах (checkbox)
Будь-яка форма, що збирає дані — повинна мати обов'язковий чекбокс із явним текстом: «Я згоден з обробкою персональних даних відповідно до політики конфіденційності» з посиланням на Privacy Policy. Чекбокс має бути НЕ відмічений за замовчуванням.
4. Impressum (для німецького ринку)
Якщо працюєте на DE/AT/CH — обов'язкова сторінка з реквізитами: назва компанії, юрадреса, телефон, email, реєстраційний номер, відповідальна особа. В Україні обов'язкового аналогу немає, але рекомендується сторінка «Контакти» з реквізитами.
5. Захист від спаму і атак
reCAPTCHA або аналог у формах. Без цього 70% листів із сайту будуть спам-ботами. Це ще і вимога GDPR — компанія повинна забезпечувати безпеку даних від несанкціонованого доступу.
6. HTTPS обов'язково
SSL-сертифікат має бути увімкнений. У 2026 це навіть не обговорюється — без HTTPS Google позначає сайт як «небезпечний», і користувачі йдуть. Безкоштовний сертифікат Let's Encrypt вмикається в будь-якому сучасному хостингу.
7. Право на видалення, доступ, перенесення даних
Користувач повинен мати можливість написати вам на email і запитати:
• Які його дані у вас є
• Видалення даних
• Перенесення (вивантаження у форматі CSV/JSON)
• Виправлення
На сайті має бути видиме посилання на «політику конфіденційності» (часто у футері) з описом, як це зробити.
Реальні штрафи — це не лякалка
У 2024-2025 роках європейські регулятори виписали штрафів на €5+ мільярдів. Кілька прикладів:
• Meta — €1.2 млрд за передачу даних у США
• Amazon — €746 млн за порушення в обробці cookies
• Marriott — €18.4 млн за витік даних
• Carrefour — €2.25 млн за маркетинговий спам
Малий бізнес теж штрафують. Кав'ярня в Австрії — €4 800 за камеру спостереження без таблички. Перукар у Німеччині — €2 500 за розсилку без згоди.
В Україні штрафи поки менші — від 1 700 до 850 000 грн за разове порушення (за оновленим законом 2023). Але з гармонізацією законодавства під євростандарти вони будуть рости.
Головна проблема — не штраф, а репутація. Один скандал з витоком даних або скаргою клієнта в регулятор — і про вашу компанію знають як про «тих, хто злив клієнтську базу». Відновлювати довіру набагато дорожче, ніж одразу налаштувати GDPR.
Міфи — що НЕ потрібно робити
Міф 1: «Відмовився від cookies — значить, не працюють аналітика і реклама».
Це правда тільки якщо не використовувати Google Consent Mode v2. З Consent Mode аналітика збирає анонімізовані дані навіть при відмові — цього достатньо для базових метрик.
Міф 2: «Потрібно зареєструватися в EU як обробник даних».
Тільки якщо ваш бізнес базується в EU або оборот перевищує певні пороги. Для типового агентства з України — не потрібно.
Міф 3: «Приватність важлива тільки для великих проєктів».
GDPR застосовується однаково до лендінгу з однією формою і до Amazon. Розмір не звільняє від обов'язків.
Міф 4: «У мене немає європейських клієнтів, GDPR не для мене».
Якщо на сайт може зайти європейський користувач і залишити заявку (а це відбувається автоматично — сайт відкритий світу), GDPR застосовується до цієї заявки. Локально перевірити геолокацію відвідувача — ще більше ризику (це вже обробка даних без згоди).
Міф 5: «GDPR — це просто cookie banner».
Cookie banner — це видима частина. Під ним — політика конфіденційності, згода у формах, безпечне зберігання, право на видалення. Без цього banner — фасад без будівлі.
Швидкий чек-ліст «GDPR-готовність»
Відкрийте свій сайт і перевірте:
✓ При першому заході з'являється cookie banner з можливістю відмовитися
✓ У футері є видиме посилання «Політика конфіденційності»
✓ У кожній формі є обов'язковий чекбокс згоди (НЕ відмічений за замовчуванням)
✓ Privacy Policy описує всі використовувані сервіси (Google, аналітика, форми)
✓ Сайт працює по HTTPS (зелений замок в адресному рядку)
✓ У формах є reCAPTCHA або аналог
✓ Є email або форма для запиту видалення даних
✓ Якщо працюєте з DE — є Impressum
✓ Аналітика підключена через Consent Mode v2 (для Google)
Якщо хоча б 1-2 пункти відсутні — це юридичний ризик, який рано чи пізно стрельне. Краще витратити день на налаштування, ніж місяць на розгляд штрафу.