м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co

Обговорити деталі

У 2025 році Google оштрафували на суму 325 млн євро, а Shein – 150 млн євро за порушення правил використання cookie-файлів та непрозорі механізми отримання згоди користувачів. Регулятори встановили, що компанії недостатньо зрозуміло пояснили відвідувачам, як саме збираються та використовуються їх персональні дані, а відмовитися від трекінгу було складніше, ніж погодитися. 

Ці кейси демонструють: сьогодні політика конфіденційності – це не формальний документ, а інструмент комплаєнсу для IT-продуктів, електронної комерції та мобільних додатків. 

У цій статті IT-юристи розповідають, як уникнути штрафів, блокування IT-продуктів та скласти політику конфіденційності для сайту відповідно до вимог GDPR, CCPA та інших актів.  

 

Що таке політика конфіденційності та угода користувача?

Політика конфіденційності (Privacy Policy) – це юридична угода, яка пояснює, яку особисту інформацію ви збираєте про відвідувачів вебсайту або додатка, як її використовуєте та захищаєте. 

Також на сайтах та у мобільних додатках публікують Угоду користувача, яка описує правила взаємодії користувачів та програмного продукту.  

Ці два документи допоможуть знизити ризик претензій, виконати вимоги законів та підвищити довіру користувачів.  

Політика конфіденційності для сайту

Для чого потрібна політика конфіденційності?

Виділимо 4 причини розробити та опублікувати документ. 

 

1. Виконати вимоги GDPR, CCPA та локальних законів про обробку персональних даних. 

Розробка політики конфіденційності – це вимога закону. Якщо IT-продукт охоплює аудиторії різних країн, то політика конфіденційності повинна виконувати вимоги законів таких регіонів. 

  • У Каліфорнії діють Каліфорнійські закон про захист конфіденційності в Інтернеті (CalOPPA) та закон про конфіденційність споживачів (CCPA). Акти поширюються на компанії, які збирають особисті дані жителів Каліфорнії, а отже їх дія виходить з межі одного штату. Ваша компанія може знаходитися у Сіетлі або Бостоні, але обробляти персональні дані користувачів з Каліфорнії. У такому разі компанія з Сіетлу або Бостона повинна виконувати вимоги  CalOPPA та CCPA.
  • У США –  Закон про захист конфіденційності дітей в Інтернеті (COPPA) .
  • У Канаді – Закон про захист особистої інформації та електронних документів (PIPEDA).
  • В ЄС – Загальний регламент із захисту даних (GDPR).

 

2. Паблішити мобільні додатки у AppStore та Google Play

Паблішери додатків для iOS повинні опублікувати документ, перш ніж продукт буде надіслано на перевірку до AppStore.

В Угоді про розповсюдження програмних продуктів Google Play, з якою ви повинні погодитися, вказано, що політика конфіденційності вимагається для всіх додатків для Android. Протягом 2025 року Google заблокував більше 1,75 млн мобільних додатків, що порушували правила Google Play, а також обмежив доступ більше 255 000 додатків до чутливих даних користувачів через порушення вимог та правил обробки персональних даних. 

 

3. Підключити Google Analytics, Google Ads, збирати дані за допомогою файлів Cookie, використовувати інструменти ремаркетингу 

Google Analytics, Google Ads, Meta Pixel та інші рекламні інструменти вимагають, щоб сайт публікував політику конфіденційності та повідомляв відвідувачам, які дані збираються за допомогою Cookie-файлів, аналітики та ремаркетингу. 

Якщо сайт використовує Google Analytics або рекламні інструменти Google Ads, користувач повинен мати можливість дізнатися:

  • які дані збирає ресурс;
  • для яких цілей використовується tracking;
  • чи передаються дані третім особам;
  • як відмовитися від Cookie-файлів та персоналізованої реклами. 

Аналогічні вимоги діють для Meta Pixel, TikTok Pixel та інших маркетингових сервісів, які обробляють персональні дані відвідувачів сайту. 

 

4. Підключити платіжну систему для інтернет-платежів

Системи еквайрингу вимагають, щоб сайт або додаток повідомляли користувачів про передачу персональних даних платіжним системам. Тому для підключення PayPal, Stripe, Apple Pay, Google Pay та інших платіжних систем доведеться розробляти політику конфіденційності. Для здійснення оплати в додатках, інтернет-магазинах та інших IT-продуктах слід сповістити користувачів, яку фінансову інформацію ви збираєте та куди йдуть платіжні дані.

 

Тепер ви знаєте для чого потрібна політика конфіденційності на сайті та в мобільному додатку. Далі розкажемо як власникам IT-продуктів скласти документ. 

 

Як створити політику конфіденційності: чек-лист 

Політика конфіденційності повинна пояснювати, які дані збирає сайт, для чого вони використовуються, кому передаються і як користувач може керувати своєю інформацією. 

 

Які дані ви збираєте та обробляєте? 

Перш за все дайте визначення персональним даним. Наприклад, це будь-яка інформація, яка прямо чи опосередковано стосується конкретного користувача. А далі фіксуйте окремі категорії даних залежно від типу продукту. 

 

IT-юристи Stalirov&Co створили політику для InsuranceHunter, платформи пошуку страхових компаній у США та ЄС. Документ складено відповідно до вимог і CCPA, і GDPR. Ось список особистої інформації, яку збирає InsuranceHunter про відвідувачів сайту платформи: 

  • дані для ідентифікації: ім’я, дату народження, вік та будь-які відомості про сім’ю; 
  • біографічні дані: сімейний стан, стать та статус зайнятості; 
  • контактні дані: домашня або інша фізична адреса, адреса електронної пошти та номер телефону;
  • дані про водія: відомості про автомобільні аварії та інформацію про транспортний засіб; 
  • фінансові дані: кредитна інформація та річний дохід;
  • дані про стан здоров’я: біометричні параметри (зріст, вага) та відомості про стан здоров’я; 
  • технічна інформація, така як IP-адреса або ідентифікатор.  

 

Які цілі та підстави збору та обробки даних? 

Цілі повинні бути конкретними, законними та виразними. 

Для мобільної гри Island 211 IT-юристи прописали такі цілі:  

  • реєстрація у грі;
  • демонстрація рекламного контенту; 
  • проведення взаєморозрахунків між гравцями; 
  • виведення грошових коштів; 
  • надання клієнтської підтримки та інші цілі. 

 

Забороняється використовувати дані для цілей, не вказаних в політиці. Компанія Twitter порушила це правило і їй доведеться виплатити 150 млн доларів відповідно до рішення Федеральної торгової комісії США. Все тому, що Twitter отримали номери телефонів користувачів під приводом використання в цілях безпеки, але використовували їх для таргетованої реклами. 

 

Кому можна передавати зібрані дані? 

IT-продукт може ділитися інформацією з постачальниками додаткових послуг: платіжними системами, службами доставки, соціальними мережами, а також з партнерами, судами, правоохоронними та державними органами. Головна вимога - розкриття інформації третім особам в об’ємі, необхідному для виконання запиту, але не більше. Такі особи повинні дотримуватися правил політики конфіденційності при взаємодії з даними користувачів. В політиці слід вказати, кому передаються дані та для яких цілей.  

 

Наша команда писала політику для рекламної мережі ConvertADV. В документі вказано, що інформація може передаватися платіжним сервісам для виставлення рахунків та запобігання шахрайству, а також постачальникам послуг та підрядникам, які забезпечують роботу ресурсу.

 

Які сторонні сервіси використовує IT-продукт?

Попередьте користувачів про те, що до їх персональних даних отримують доступ сторонні сервіси. Наприклад, додаток SmartWatch використовує систему Flurry –  платформу аналітики мобільних додатків. Всі дії і кліки користувача всередині продукту записуються та обробляються. Крім цього, SmartWatch використовує AdMob для спрощення отримання доходу завдяки рекламі, та Firebase для аналітики.

Додатково додаткам слід отримувати згоду на доступ до системних налаштувань телефона: геолокація та вібрація, фонова робота, відкриття мережевих посилань, функції покупок, зберігання даних у зовнішніх сховищах. Крім переліку, потрібно описати ціль доступу. Наприклад, додатку SmartWatch потрібен доступ до геолокації для пошуку пристроїв  Bluetooth в радіусі дії.

 

Ще один кейс IT-юристів – Hypelitix. Це вебсервіс, який надає загальнодоступні дані профілів Instagram: метадані постів, IGTV та історій профілю. Для розпізнавання тексту на зображеннях та відео в Instagram сервіс використовує Google Cloud Vision.

Задача політики конфіденційності поінформувати користувача про сторонні сервіси та, за можливості, закріпити посилання на їх публічні документи. Це правило поширюється і на платіжні системи. 

 

Файли Cookie

Cookie-файли використовуються для аналітики, реклами та персоналізації контенту. Політика конфіденційності повинна пояснювати, які Cookie використовує сайт і як користувач може відмовитися від їх обробки. 

Сookie – це фрагмент даних, який сервер надсилає в веббраузер користувача. Щоб виконати вимоги GDPR слід:

  • Отримати очевидну згоду користувачів перед активацією будь-яких файлів Cookie.
  • Пояснити, які дані збирає кожен Cookie і з якою метою, використовуючи зрозумілу та доступну мову.
  • Фіксувати та зберігати підтверджену згоду користувачів. 
  • Забезпечити користувачам доступ до функціоналу сайту навіть при відмові від Cookie.
  • Надати можливість відкликати згоду так само легко, як і надати її. 

 

Порушення правил GDPR про Cookie-файли призводить до штрафів. В січні 2022 року французький орган із захисту даних (CNIL) наклав на Google LLC 90 млн EUR штрафу. Все тому, що на YouTube легко прийняти файли cookie, а відмовитися від них складніше. CNIL зазначив, що для відмови від файлів cookie YouTube вимагається, щоб користувач зробив кілька кліків, а для прийняття - всього один клік. Але відмова від використання Cookie повинна бути такою ж простою, як надання згоди, а Google порушили таку вимогу GDPR.

Важливо отримати очевидну згоду від користувача на використання Cookie-файлів та надати можливість відкликати таке рішення. 

 

Щоб уникнути штрафів, додайте у політику таку інформацію: 

  • Які види файлів Cookie застосовуються на сайті?  
  • Які персональні дані збираються та обробляються з їх допомогою? 
  • Де саме будуть оброблятися дані та в які країни або організації можуть передаватися? 
  • Які цілі використання файлів Cookie?
  • Протягом якого періоду вони будуть відслідковувати активність користувачів? 
  • Як користувачі можуть надати згоду на використання Cookie або відмовитися від них? 
  • Які кроки слід зробити, щоб відкликати свою згоду? 

 

Розсилка реклами 

Окремий пункт політики конфіденційності варто присвятити розсилці маркетингових матеріалів. Вкажіть, що можете використовувати дані для внутрішнього маркетингу. 

 

Якщо ресурс використовує email-розсилки, SMS, push-сповіщення або рекламні повідомлення через месенджери, політика конфіденційності повинна містити: 

  • цілі розсилки;
  • правову підставу обробки даних;
  • порядок відмови від реклами;
  • інформацію про сторонні сервіси розсилки.

 

Можливість відмовитися від маркетингових сповіщень – обов’язкова вимога GDPR та CCPA. Відписка повинна бути простою та доступною для користувачів.

Порушення цих правил призводить до великих штрафів. У 2025 році Європейська комісія оштрафувала Meta на 200 млн євро за модель “Consent or Pay” – механізм, при якому користувач повинен або погодитися на використання персональних даних для персоналізованої реклами, або оформити платну підписку без реклами. Регулятори зробили висновок, що таку згоду не можна вважати повністю добровільною, оскільки у користувачів фактично не було рівнозначної безкоштовної альтернативи. 

 

Яких заходів безпеки вживає вебсайт або додаток? 

Сайти та додатки запроваджують фізичні, електронні та процедурні заходи безпеки для захисту персональних даних. Стаття 32 GDPR пропонує такі заходи безпеки: 

  • анонімізація;
  • шифрування;
  • цілісність та постійна конфіденційність;
  • стійкість систем та сервісів обробки;
  • здатність вчасно відновити доступ;
  • тестування ефективності.

 

Наприклад, некастодіальний гаманець Hasher Wallet, для якого IT-юристи Stalirov&Co писали політику конфіденційності, забезпечує шифрування даних з використанням AES-192-CBC, хешування md5 та анонімізацію. Доступ до додатка зашифрований за допомогою технології безпеки транспортного рівня (TLS). Також Hasher Wallet застосовує сувору транспортну безпеку HTTPS.

 

Як довго зберігаються персональні дані? 

Дані повинні зберігатися не довше, ніж це необхідно для досягнення цілей, для яких вони зібрані. Наприклад, месенджер Dober зберігає персональні дані користувачів до моменту видалення облікового запису. 

 

Як отримати доступ, оновити або видалити дані? 

Щоб політика конфіденційності відповідала GDPR та CCPA, опишіть як користувач може отримати доступ, переглянути, оновити та видалити будь-які особисті дані. Алгоритм дій повинен бути простим. Наприклад, надіслати запит на адресу електронної пошти. 

 

Ось як це зробили розробники Youwex. Користувач може увійти у свій профіль та змінити інформацію про себе настільки, наскільки дозволяє система. Також він має право подати запит на зміну інформації про себе на електронну пошту: support@youwex.com.

Якщо він хоче подати запит на видалення персональних даних відповідно до вимог GDPR, йому слід надіслати повідомлення на ел. пошту support@youwex.com. При подачі запиту через електронну пошту користувача попросять надати інформацію для ідентифікації та перевірки. 

 

Пишіть політику конфіденційності зрозумілою для користувачів мовою. Журналіст Kevin Litman-Navarro вивчив 150 політик конфіденційності. За допомогою сервісу Lexile він перевірив наскільки легко розуміти документи. Згідно зі стандартами сервісу лікарі та юристи повинні розуміти матеріал з оцінкою 1440. На подив журналіста, багато політик виявилися надто складними та перевищили цей стандарт. 

Контролюючі органи звертають увагу на критерій доступності та простоти. DPA Ірландії у справі WhatsApp заявило, що месенджер не виконав вимоги про легкодоступність політики. Це та інші порушення вартували WhatsApp 225 млн EUR. 

 

Пропонуємо не повторювати помилок світових гігантів: робити текст політики зрозумілим, обирати зручне форматування та запроваджувати функціональну навігацію. Правильно складена політика конфіденційності захищає як користувачів, так і бізнес, гарантуючи відповідність законам та підвищуючи довіру до продукту.

Меню статті

Відповіді на поширені питання

  • Як повідомити користувачам про оновлення політики конфіденційності?

    Користувачі повинні дати явну згоду з оновленими правилами політики. Використовуйте спливаюче вікно, щоб поінформувати про зміни та отримати згоду.

  • Як часто слід оновлювати політику конфіденційності?

    Документ потрібно оновлювати кожного разу, коли виникають зміни в процесі збирання, обробки та зберігання даних. Наприклад, розширюється перелік персональних даних, які обробляє компанія, нові сторони отримують доступ до даних або змінюється місце зберігання. Політика конфіденційності – це інструкція для користувача, яка завжди має бути актуальною.

     

    Також варто вносити зміни, коли оновлюється законодавство. Наприклад, у липні 2023 року набули чинності зміни CCPA. Це означає, що програмним продуктам, які опрацьовують персональні дані мешканців Каліфорнії, потрібно оновити політики.

  • Чи потрібно складати окремі політики конфіденційності для різних юрисдикцій?

    Не потрібно складати окремі політики конфіденційності для різних юрисдикцій. Достатньо написати один документ з урахуванням вимог законів, які діють у країнах користувачів вашого програмного продукту. Наприклад, політика конфіденційності на сайті, доступному в Європі та США, повинна одночасно враховувати вимоги GDPR та CCPA.

Останні статті

Комплаєнс в афіліат-маркетингу: практичний гайд для афіліатів та перформанс-агенцій
Комплаєнс в афіліат-маркетингу: практичний гайд для афіліатів та перформанс-агенцій
13.05.26
Практичний розбір того, як рекламні платформи, мережі та рекламодавці перевіряють трафік: що запускає аудити, як відхиляють ліди і як захистити виплати.
Читати статтю
Affiliate-маркетинг: юридичні ризики, вимоги та Privacy Policy
Affiliate-маркетинг: юридичні ризики, вимоги та Privacy Policy
13.05.26
Практичний юридичний огляд для афіліатів: ризики у воронці, вимоги до Privacy Policy та захист виплат.
Читати статтю
Юридичний комплаєнс в iGaming: як уникнути штрафів і втрати ліцензії
Юридичний комплаєнс в iGaming: як уникнути штрафів і втрати ліцензії
11.02.26
IT-юристи розібрали конкретні операційні помилки, що призводять до санкцій, і запропонували дорожню карту для побудови стійкої системи комплаєнсу
Читати статтю
Як отримати iGaming-ліцензію у 2026 році: покрокова інструкція
Як отримати iGaming-ліцензію у 2026 році: покрокова інструкція
12.12.25
Реальні витрати, вимоги регуляторів і помилки, які коштують дорого. Все, що потрібно знати перед стартом ліцензування.
Читати статтю
Онлайн-гемблінг 2025: карта легальних ринків, податків і вимог
Онлайн-гемблінг 2025: карта легальних ринків, податків і вимог
05.11.25
У яких країнах дозволені онлайн-казино та інші азартні ігри, скільки коштує ліцензія та які податки діють. Читайте у статті від IT-юристів.
Читати статтю

Кейси на тему статті

Всі кейси
Зв’язатися IT-юрист зв'яжеться з вами
для обговорення деталей
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Запит на розрахунок послуги IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK