Почніть консультацію з юристом онлайн
Задайте питання юристу
1002 юристів готові відповісти зараз
Відповідь за ~15 хвилин
В мене є власний особистий проєкт внутрішнього керування, через безпеку сайта я зберігаю IP адерси користувачів які переглядають будь-яку сторінку, що автоматично підпадає під зберігання конфіденційної інформації, чи обов'язково робити політику конфіденційності, якщо я є фізичною особою, в мене немає ФОП або самозанятості та я неповнолітній.
Примітка: Сайт є внутрішній, але він опублікований в інтернет, їм користується моя команда яка в тому ж числі закордоном, в сайті є жорстка авторизація, не можливо ввійти в сайт (В головну панель) без акаунту який створюю я та ще декілька учасників команди.
Схожі питання
Кодекси Україна
Кодекс України з процедур банкрутства Кодекс цивільного захисту України Кримінальний процесуальний кодекс України Митний кодекс України Повітряний кодекс України Податковий кодекс України Кодекс адміністративного судочинства України Цивільний процесуальний кодекс України Кримінально-виконавчий кодекс України Господарський кодекс України Цивільний кодекс України Сімейний кодекс України Земельний кодекс України Кримінальний кодекс України Водний кодекс України Кодекс торговельного мореплавства України Про надра Лісовий кодекс України Господарський процесуальний кодекс України Кодекс України про адміністративні правопорушення (статті 213 - 330) Кодекс України про адміністративні правопорушення (статті 1 - 212-21) Житловий Кодекс Української РСР Європейський кодекс соціального забезпечення Бюджетний кодекс УкраїниНове у блогах Юристи.UA
Відповіді юристів (4)
Юрист, м. Київ, 11 років досвіду
Спілкуватися у чатіДоброго дня. Так, політику конфіденційності або хоча б коротке повідомлення про обробку персональних даних на сайті краще обов’язково зробити.
Те, що Ви не є ФОП, не маєте самозайнятості та є неповнолітнім, саме по собі не скасовує вимоги щодо захисту персональних даних. Якщо сайт опублікований в інтернеті, користувачі заходять через акаунти, а Ви автоматично зберігаєте IP-адреси, час входу, переглянуті сторінки або інші технічні логи, це вже є обробкою інформації, яка може стосуватися конкретної фізичної особи.
IP-адреса сама по собі не завжди однозначно ідентифікує людину, але якщо вона зберігається разом з акаунтом, логіном, діями користувача, часом входу та переглянутими сторінками, такі дані вже можуть дозволяти ідентифікувати конкретного користувача. Тому їх варто розглядати як персональні дані в розумінні Закону України «Про захист персональних даних».
Внутрішній характер сайту також не звільняє від цього обов’язку, оскільки сайт не є повністю приватним “для себе”, а ним користується команда, у тому числі користувачі за кордоном. Наявність жорсткої авторизації — це плюс для безпеки, але вона не замінює повідомлення користувачів про те, які саме дані збираються і для чого.
У Вашому випадку достатньо зробити просту політику конфіденційності або повідомлення на сторінці входу, де зазначити:
За статтею 12 Закону України «Про захист персональних даних», суб’єкта персональних даних потрібно повідомити про володільця персональних даних, склад і зміст зібраних даних, його права, мету збору та осіб, яким передаються персональні дані. Тому найкраще розмістити таке повідомлення саме до або під час авторизації.
Окремо бажано не писати загальну фразу “ми збираємо дані для безпеки”, а конкретно вказати, що зберігаються IP-адреси та технічні логи відвідування сторінок. Це зменшить ризики, оскільки користувачі будуть прямо повідомлені про таку обробку.
Писати заяву або реєструвати ФОП лише через наявність політики конфіденційності не потрібно. Але якщо проєкт стане комерційним, відкритим для широкого кола користувачів або буде обробляти більше персональних даних, тоді документи краще буде допрацювати: умови користування, політику конфіденційності, правила доступу, порядок видалення акаунтів і строк зберігання логів.
Якщо користувачі знаходяться за кордоном, особливо в країнах ЄС, окремо варто врахувати вимоги країни їх перебування щодо захисту персональних даних. Але навіть за українським законодавством мінімальне повідомлення про обробку IP-адрес і технічних логів на такому сайті зробити потрібно.
Юрист в кишені Корнійчук Євген — правова допомога у зрозумілому форматі.
Адвокат, м. Миколаїв, 35 років досвіду
Спілкуватися у чатіДоброго дня, Ілля!
Якщо Ви визначаєте, які дані збираються, для чого зберігаються IP-адреси, хто має доступ до логів і коли вони видаляються, фактично Ви виконуєте роль особи, яка організовує обробку цих даних. За українським законом мета обробки має бути конкретною і законною, обробка має бути відкритою та прозорою, а склад даних — адекватним і ненадмірним щодо мети.
Щодо GDPR: якщо частина команди перебуває в ЄС/ЄЕЗ, краще одразу зробити політику в логіці GDPR. Формально GDPR може застосовуватися до контролера поза ЄС, якщо обробка стосується осіб у ЄС і пов’язана з наданням їм послуг або моніторингом їхньої поведінки; сам факт доступності сайту з ЄС ще не завжди достатній, але якщо Ви свідомо створюєте акаунти людям, які перебувають у ЄС, і фіксуєте їхні дії/IP для безпеки, ризик застосування GDPR уже є.
Отже:
З повагою, адвокат Айвазян.
Дякую! ще 2 запитання:1. Чи потрібно робити договір про нерозголошення, або на кшталт цього з особами, які мають доступ до конфіденційної інформації інших користувачів?2. Чи вірно сформовано політику?
Політика конфіденційності від 14 червня 2026 рокуЦя Політика конфіденційності пояснює, як ми збираємо, використовуємо, зберігаємо та захищаємо ваші персональні дані під час використання сайтом (Панелью керування). Ми дотримуємося вимог Закону України «Про захист персональних даних».
1. Збір та обробка персональних данихПід час перегляду та авторизації в панелі керування ми можемо обробляти такі дані:
Ми не збираємо спеціальні категорії даних (про расове походження, політичні погляди, стан здоров'я, тощо).
2. Правові підстави обробкиОбробка ваших персональних даних здійснюється на підставі статті 11 Закону України «Про захист персональних даних» — захист законних інтересів володільця, а саме забезпечення безпеки системи та запобігання несанкціонованому доступу.
3. Файли cookies та подібні технологіїНаш вебсайт використовує необхідні cookies для підтримки сесій авторизації. Сторонні сервіси (Cloudflare Turnstile) можуть встановлювати власні cookies для функціонування капчі. Ви можете керувати cookies через налаштування браузера, однак відключення необхідних cookies може вплинути на працездатність панелі.
4. Cloudflare Turnstile (захист від ботів)Ми використовуємо сервіс Cloudflare Turnstile для підтвердження, що дія виконується людиною, а не автоматизованою системою. Turnstile може збирати інформацію про ваш пристрій, браузер, IP-адресу та поведінку на сторінці. Ці дані обробляються відповідно до Політики конфіденційності Cloudflare.
5. Передача даних третім особамМи не продаємо, не орендуємо та не обмінюємо ваші персональні дані з третіми сторонами для маркетингових цілей. Дані можуть бути передані:
- Компетентним державним органам на законних підставах (в межах вимог українського законодавства);
- Постачальникам технічних послуг (хостинг, хмарні сервери) – виключно для функціонування панелі, із зобов'язанням забезпечити конфіденційність.
6. Зберігання та захист данихВаші персональні дані зберігаються на захищених серверах із застосуванням сучасних криптографічних методів. IP-адреси, час та дата дій, дані про браузер, пристрій, дії які виконувались в вебсайті зберігаються не довше 30 днів, після чого автоматично видаляються. Логін, пароль, остання IP-адреса облікового запису, дата створення, дата останнього входу до облікового запису зберігаються протягом усього часу існування облікового запису.
7. Ваші права згідно із Законом УкраїниВи маєте наступні права щодо ваших персональних даних:
Для реалізації прав звертайтесь за контактами, вказаними нижче. Ми зобов'язані відповісти у строки, передбачені Законом України.
8. Відповідальний за обробку даних та контактиВолоділець персональних даних: Адміністрація вебсайту (діє як фізична особа)Контактна адреса для всіх питань, пов'язаних з персональними даними: lvluovr@gmail.com
Відповідно до статті 32 Цивільного кодексу України, за зобов'язаннями неповнолітньої особи додаткову відповідальність несуть законні представники. Запити, що потребують юридичного представництва, будуть перенаправлені батькам.
Якщо ви вважаєте, що ваші права порушено, ви маєте право звернутися до Уповноваженого Верховної Ради України з прав людини.
9. Зміни до Політики конфіденційностіЗміни які будуть внесені до політики конфіденційності повідомляються на сторінках вебсайту.
10. Строк зберігання даних- IP-адреси в логах безпеки зберігаються до 30 днів у формі, що дозволяє ідентифікацію.- Після 30 днів записи будуть видалені.- Доступ до даних мають лише уповноважені особи.
Адвокат, м. Миколаїв, 35 років досвіду
Спілкуватися у чатіПрошу, Ілля!
У цілому напрям правильний, але є кілька моментів, які, на мою думку, краще виправити.
Бажано зробити не обов’язково класичний великий NDA, а коротке письмове “Зобов’язання про конфіденційність та правила доступу до персональних даних” для всіх, хто має доступ до логів, IP-адрес, Telegram ID, дій користувачів, адмін-панелі або бази.
Закон України “Про захист персональних даних” покладає на володільців, розпорядників і третіх осіб обов’язок забезпечити захист персональних даних від випадкової втрати, незаконної обробки, знищення та незаконного доступу. Також доступ третій особі до персональних даних не надається, якщо така особа відмовляється взяти на себе зобов’язання щодо забезпечення вимог закону або неспроможна їх забезпечити.
Тому для учасників команди, які мають доступ до конфіденційної інформації, краще зробити короткий документ, де буде зазначено:
Якщо серед осіб, які підписують таке зобов’язання, теж є неповнолітні, то треба враховувати, що особа від 14 до 18 років має неповну цивільну дієздатність: частину правочинів вона може вчиняти самостійно, але інші — за згодою батьків або піклувальників. За порушення договору неповнолітня особа несе відповідальність особисто, а якщо майна недостатньо — додаткову відповідальність можуть нести батьки або піклувальник.
Тому для внутрішньої команди достатньо короткого електронного зобов’язання/підтвердження перед наданням ролі адміністратора. Однак, якщо Ваш проект серйозний, є реальні персональні дані або доступ до великої кількості користувачів — краще, щоб неповнолітні адміністратори мали письмову згоду батьків або взагалі не мали доступу до чутливих логів без потреби.
Перше. Не пишіть, що Ви обробляєте “пароль від облікового акаунту”. У політиці краще зазначити: “хеш пароля” або “дані, необхідні для автентифікації”. Пароль у відкритому вигляді зберігати не можна. Якщо Ви реально зберігаєте пароль як текст — це треба терміново виправити технічно, а не просто в політиці.
Друге. “Право на відкликання згоди” у Вас виглядає не зовсім правильно, бо Ви самі пишете, що правова підстава — законний інтерес, а не згода. За ст. 11 Закону України “Про захист персональних даних” підставами можуть бути і згода, і необхідність захисту законних інтересів володільця або третьої особи. Якщо Ви не берете саме згоду, не треба робити акцент на її відкликанні.
Краще так:
“Якщо обробка здійснюється на підставі згоди, користувач має право відкликати таку згоду. Якщо обробка здійснюється на підставі законного інтересу, користувач має право подати вмотивоване заперечення проти обробки своїх персональних даних”.
Це точніше, бо право на заперечення, доступ, зміну/знищення незаконних або недостовірних даних і скаргу до Уповноваженого прямо передбачені ст. 8 Закону.
Третє. Розділ 10 дублює розділ 6. Краще або прибрати розділ 10 повністю, або об’єднати його з розділом 6.
Четверте. Формулювання про Cloudflare Turnstile треба зробити обережнішим. Ви написали, що Turnstile “може збирати інформацію про поведінку на сторінці”, але це формулювання ширше, ніж потрібно. Cloudflare описує Turnstile як інструмент для відрізнення людей від ботів і блокування бот-трафіку; також самі документи Cloudflare зазначають, що Turnstile працює без показу класичної CAPTCHA.
Краще так:
“Cloudflare Turnstile може обробляти технічні дані, необхідні для перевірки запиту та захисту від автоматизованих дій, зокрема IP-адресу, дані браузера, пристрою та інші технічні сигнали”.
П’яте. Фраза “сучасні криптографічні методи” занадто загальна.
Краще так:
“Ми застосовуємо технічні та організаційні заходи безпеки, зокрема обмеження доступу, авторизацію, двофакторну перевірку та хешування паролів”.
Шосте. У розділі 8 не варто писати “Адміністрація вебсайту”, якщо фактично володільцем є конкретна фізична особа. Закон вимагає повідомляти суб’єкта персональних даних про володільця, склад даних, права, мету збору та осіб, яким передаються дані в момент збору даних. Якщо Ви не хочете публікувати ПІБ через безпеку, можна написати більш обережно, але контакт має бути реальний.
Наприклад:
“Володілець персональних даних: адміністратор проєкту, фізична особа, яка організовує роботу панелі керування. Контакт для звернень щодо персональних даних: …”
Сьоме. Стаття 32 ЦК України стосується неповної цивільної дієздатності неповнолітньої особи, а відповідальність неповнолітньої особи — це вже ст. 33 ЦК України. Тобто краще не писати “відповідно до статті 32… додаткову відповідальність несуть законні представники”, бо це неточно.
Краще так:
“Оскільки адміністратор проєкту є неповнолітньою особою, звернення, які потребують вчинення юридично значущих дій або представництва, можуть розглядатися за участю законних представників відповідно до вимог цивільного законодавства України”.
Восьме. У політиці є мовні й технічні помилки:
“під час використання сайтом” - “під час використання сайту”;
“Панелью керування” - “панеллю керування”;
“Києвським часом” - “київським часом”;
“Дії які виконуються” - “дії, які виконуються”;
“в вебсайті” - “на вебсайті”;
“облікового акаунту” краще замінити на “облікового запису”;
Отже, політика загалом побудована правильно, але її треба виправити в частині паролів, правової підстави, дублювання строків, статусу неповнолітнього адміністратора і формулювань про Cloudflare.