Задайте питання юристу

1002 юристів готові відповісти зараз

Відповідь за ~15 хвилин

Задати питання на сайті

ІТ, телекомунікації, 14 червня 2026, питання №149264

Політика конфіденційності в сайті

В мене є власний особистий проєкт внутрішнього керування, через безпеку сайта я зберігаю IP адерси користувачів які переглядають будь-яку сторінку, що автоматично підпадає під зберігання конфіденційної інформації, чи обов'язково робити політику конфіденційності, якщо я є фізичною особою, в мене немає ФОП або самозанятості та я неповнолітній.
Примітка: Сайт є внутрішній, але він опублікований в інтернет, їм користується моя команда яка в тому ж числі закордоном, в сайті є жорстка авторизація, не можливо ввійти в сайт (В головну панель) без акаунту який створюю я та ще декілька учасників команди.

Відповіді юристів (4)

    Корнійчук Євген
    Корнійчук Євген 20 днів тому

    Юрист, м. Київ, 11 років досвіду

    Спілкуватися у чаті

    Доброго дня. Так, політику конфіденційності або хоча б коротке повідомлення про обробку персональних даних на сайті краще обов’язково зробити.

    Те, що Ви не є ФОП, не маєте самозайнятості та є неповнолітнім, саме по собі не скасовує вимоги щодо захисту персональних даних. Якщо сайт опублікований в інтернеті, користувачі заходять через акаунти, а Ви автоматично зберігаєте IP-адреси, час входу, переглянуті сторінки або інші технічні логи, це вже є обробкою інформації, яка може стосуватися конкретної фізичної особи.

    IP-адреса сама по собі не завжди однозначно ідентифікує людину, але якщо вона зберігається разом з акаунтом, логіном, діями користувача, часом входу та переглянутими сторінками, такі дані вже можуть дозволяти ідентифікувати конкретного користувача. Тому їх варто розглядати як персональні дані в розумінні Закону України «Про захист персональних даних».

    Внутрішній характер сайту також не звільняє від цього обов’язку, оскільки сайт не є повністю приватним “для себе”, а ним користується команда, у тому числі користувачі за кордоном. Наявність жорсткої авторизації — це плюс для безпеки, але вона не замінює повідомлення користувачів про те, які саме дані збираються і для чого.

    У Вашому випадку достатньо зробити просту політику конфіденційності або повідомлення на сторінці входу, де зазначити:

    1. хто адмініструє сайт;
    2. які дані збираються: IP-адреса, дата і час входу, переглянуті сторінки, технічна інформація про браузер/пристрій, логін або ідентифікатор акаунту;
    3. мета збору: безпека сайту, контроль доступу, запобігання несанкціонованому входу, фіксація технічних помилок;
    4. строк зберігання логів;
    5. хто має доступ до цих даних;
    6. чи передаються дані хостингу, серверам, хмарним сервісам або іншим технічним провайдерам;
    7. як користувач може звернутися щодо своїх даних;
    8. що користувач, входячи на сайт, ознайомлений із таким порядком обробки даних.

    За статтею 12 Закону України «Про захист персональних даних», суб’єкта персональних даних потрібно повідомити про володільця персональних даних, склад і зміст зібраних даних, його права, мету збору та осіб, яким передаються персональні дані. Тому найкраще розмістити таке повідомлення саме до або під час авторизації.

    Окремо бажано не писати загальну фразу “ми збираємо дані для безпеки”, а конкретно вказати, що зберігаються IP-адреси та технічні логи відвідування сторінок. Це зменшить ризики, оскільки користувачі будуть прямо повідомлені про таку обробку.

    Писати заяву або реєструвати ФОП лише через наявність політики конфіденційності не потрібно. Але якщо проєкт стане комерційним, відкритим для широкого кола користувачів або буде обробляти більше персональних даних, тоді документи краще буде допрацювати: умови користування, політику конфіденційності, правила доступу, порядок видалення акаунтів і строк зберігання логів.

    Якщо користувачі знаходяться за кордоном, особливо в країнах ЄС, окремо варто врахувати вимоги країни їх перебування щодо захисту персональних даних. Але навіть за українським законодавством мінімальне повідомлення про обробку IP-адрес і технічних логів на такому сайті зробити потрібно.

    Юрист в кишені Корнійчук Євген — правова допомога у зрозумілому форматі.

    Айвазян Юрій Климентійович

    Доброго дня, Ілля!

    Якщо Ви визначаєте, які дані збираються, для чого зберігаються IP-адреси, хто має доступ до логів і коли вони видаляються, фактично Ви виконуєте роль особи, яка організовує обробку цих даних. За українським законом мета обробки має бути конкретною і законною, обробка має бути відкритою та прозорою, а склад даних — адекватним і ненадмірним щодо мети.

    Щодо GDPR: якщо частина команди перебуває в ЄС/ЄЕЗ, краще одразу зробити політику в логіці GDPR. Формально GDPR може застосовуватися до контролера поза ЄС, якщо обробка стосується осіб у ЄС і пов’язана з наданням їм послуг або моніторингом їхньої поведінки; сам факт доступності сайту з ЄС ще не завжди достатній, але якщо Ви свідомо створюєте акаунти людям, які перебувають у ЄС, і фіксуєте їхні дії/IP для безпеки, ризик застосування GDPR уже є.

    Отже:

    1. На сторінці входу додати посилання: “Використовуючи сайт, Ви ознайомлюєтесь із повідомленням про обробку персональних даних”.
    2. У самій політиці коротко вказати, що збирається: ім’я/нік або email акаунта, IP-адреса, user-agent, дата й час входу, сторінки/дії в системі, невдалі спроби входу, технічні журнали безпеки.
    3. Мета: авторизація, контроль доступу, захист від несанкціонованого входу, розслідування інцидентів безпеки, підтримка роботи внутрішньої панелі.
    4. Правова підстава: для логів безпеки - законний інтерес у захисті системи та акаунтів. В українському законі серед підстав є захист законних інтересів володільця або третьої особи, якщо права користувача не переважають такі інтереси.
    5. Строк зберігання: наприклад, IP-логи зберігаються 30/60/90 днів, а довше — тільки якщо є інцидент безпеки. Закон вимагає не зберігати персональні дані довше, ніж це необхідно для законної мети.
    6. Доступ: вказати, хто бачить логи — Ви, адміністратори, технічні учасники команди; не давати доступ усім учасникам без потреби.
    7. Передача третім особам: хостинг, CDN, провайдер захисту, поштовий сервіс, якщо вони є. Якщо сервер або сервіс за кордоном, це бажано прямо зазначити, бо український закон окремо регулює передачу персональних даних іноземним суб’єктам.
    8. Права користувача: доступ до своїх даних, запит про те, які дані обробляються, виправлення, видалення у випадках, коли дані більше не потрібні або обробляються незаконно, заперечення проти обробки. Такі права прямо передбачені ст. 8 Закону України “Про захист персональних даних”.

    З повагою, адвокат Айвазян.

    • Ілля Клієнт 20 днів тому

      Дякую! ще 2 запитання:1. Чи потрібно робити договір про нерозголошення, або на кшталт цього з особами, які мають доступ до конфіденційної інформації інших користувачів?2. Чи вірно сформовано політику?

      Політика конфіденційності від 14 червня 2026 року

      Ця Політика конфіденційності пояснює, як ми збираємо, використовуємо, зберігаємо та захищаємо ваші персональні дані під час використання сайтом (Панелью керування). Ми дотримуємося вимог Закону України «Про захист персональних даних».

      1. Збір та обробка персональних даних

      Під час перегляду та авторизації в панелі керування ми можемо обробляти такі дані:

      • Час та дата дій на сайті (За Києвським часом)
      • Ім'я користувача (логін);
      • Пароль від облікового акаунту;
      • Telegram ID вказаний для проходження 2FA;
      • IP-адреса, дані про браузер та пристрій;
      • Дані, що надаються сервісом Cloudflare Turnstile (для перевірки, що ви не робот).
      • Дії які виконуються на сайті

      Ми не збираємо спеціальні категорії даних (про расове походження, політичні погляди, стан здоров'я, тощо).

      2. Правові підстави обробки

      Обробка ваших персональних даних здійснюється на підставі статті 11 Закону України «Про захист персональних даних» — захист законних інтересів володільця, а саме забезпечення безпеки системи та запобігання несанкціонованому доступу.

      3. Файли cookies та подібні технології

      Наш вебсайт використовує необхідні cookies для підтримки сесій авторизації. Сторонні сервіси (Cloudflare Turnstile) можуть встановлювати власні cookies для функціонування капчі. Ви можете керувати cookies через налаштування браузера, однак відключення необхідних cookies може вплинути на працездатність панелі.

      4. Cloudflare Turnstile (захист від ботів)

      Ми використовуємо сервіс Cloudflare Turnstile для підтвердження, що дія виконується людиною, а не автоматизованою системою. Turnstile може збирати інформацію про ваш пристрій, браузер, IP-адресу та поведінку на сторінці. Ці дані обробляються відповідно до Політики конфіденційності Cloudflare.

      5. Передача даних третім особам

      Ми не продаємо, не орендуємо та не обмінюємо ваші персональні дані з третіми сторонами для маркетингових цілей. Дані можуть бути передані:

      • Компетентним державним органам на законних підставах (в межах вимог українського законодавства);
      • Постачальникам технічних послуг (хостинг, хмарні сервери) – виключно для функціонування панелі, із зобов'язанням забезпечити конфіденційність.
      6. Зберігання та захист даних

      Ваші персональні дані зберігаються на захищених серверах із застосуванням сучасних криптографічних методів. IP-адреси, час та дата дій, дані про браузер, пристрій, дії які виконувались в вебсайті зберігаються не довше 30 днів, після чого автоматично видаляються. Логін, пароль, остання IP-адреса облікового запису, дата створення, дата останнього входу до облікового запису зберігаються протягом усього часу існування облікового запису.

      7. Ваші права згідно із Законом України

      Ви маєте наступні права щодо ваших персональних даних:

      • Право на доступ – отримати інформацію про те, які ваші дані обробляються;
      • Право на виправлення – вимагати виправлення неточних або неповних даних;
      • Право на видалення – вимагати видалення ваших даних;
      • Право на відкликання згоди – відкликати згоду на обробку.

      Для реалізації прав звертайтесь за контактами, вказаними нижче. Ми зобов'язані відповісти у строки, передбачені Законом України.

      8. Відповідальний за обробку даних та контакти

      Володілець персональних даних: Адміністрація вебсайту (діє як фізична особа)Контактна адреса для всіх питань, пов'язаних з персональними даними: lvluovr@gmail.com

      Відповідно до статті 32 Цивільного кодексу України, за зобов'язаннями неповнолітньої особи додаткову відповідальність несуть законні представники. Запити, що потребують юридичного представництва, будуть перенаправлені батькам.

      Якщо ви вважаєте, що ваші права порушено, ви маєте право звернутися до Уповноваженого Верховної Ради України з прав людини.

      9. Зміни до Політики конфіденційності

      Зміни які будуть внесені до політики конфіденційності повідомляються на сторінках вебсайту.

      10. Строк зберігання даних

      - IP-адреси в логах безпеки зберігаються до 30 днів у формі, що дозволяє ідентифікацію.- Після 30 днів записи будуть видалені.- Доступ до даних мають лише уповноважені особи.

      • Айвазян Юрій Климентійович

        Прошу, Ілля!

        У цілому напрям правильний, але є кілька моментів, які, на мою думку, краще виправити.

        Щодо NDA / зобов’язання про нерозголошення

        Бажано зробити не обов’язково класичний великий NDA, а коротке письмове “Зобов’язання про конфіденційність та правила доступу до персональних даних” для всіх, хто має доступ до логів, IP-адрес, Telegram ID, дій користувачів, адмін-панелі або бази.

        Закон України “Про захист персональних даних” покладає на володільців, розпорядників і третіх осіб обов’язок забезпечити захист персональних даних від випадкової втрати, незаконної обробки, знищення та незаконного доступу. Також доступ третій особі до персональних даних не надається, якщо така особа відмовляється взяти на себе зобов’язання щодо забезпечення вимог закону або неспроможна їх забезпечити.

        Тому для учасників команди, які мають доступ до конфіденційної інформації, краще зробити короткий документ, де буде зазначено:

        1. які саме дані вони можуть бачити;
        2. що ці дані можна використовувати тільки для роботи з проєктом;
        3. заборона копіювати, передавати, публікувати, показувати скриншоти, пересилати логи третім особам;
        4. обов’язок не передавати свій акаунт, пароль, токени, сесії;
        5. обов’язок повідомити Вас, якщо стався витік, підозрілий вхід або випадкове розкриття даних;
        6. обов’язок зберігати конфіденційність навіть після виходу з команди;
        7. право адміністратора відкликати доступ у разі порушення.

        Якщо серед осіб, які підписують таке зобов’язання, теж є неповнолітні, то треба враховувати, що особа від 14 до 18 років має неповну цивільну дієздатність: частину правочинів вона може вчиняти самостійно, але інші — за згодою батьків або піклувальників. За порушення договору неповнолітня особа несе відповідальність особисто, а якщо майна недостатньо — додаткову відповідальність можуть нести батьки або піклувальник.

        Тому для внутрішньої команди достатньо короткого електронного зобов’язання/підтвердження перед наданням ролі адміністратора. Однак, якщо Ваш проект серйозний, є реальні персональні дані або доступ до великої кількості користувачів — краще, щоб неповнолітні адміністратори мали письмову згоду батьків або взагалі не мали доступу до чутливих логів без потреби.

        Щодо Вашої політики конфіденційності

        Перше. Не пишіть, що Ви обробляєте “пароль від облікового акаунту”. У політиці краще зазначити: “хеш пароля” або “дані, необхідні для автентифікації”. Пароль у відкритому вигляді зберігати не можна. Якщо Ви реально зберігаєте пароль як текст — це треба терміново виправити технічно, а не просто в політиці.

        Друге. “Право на відкликання згоди” у Вас виглядає не зовсім правильно, бо Ви самі пишете, що правова підстава — законний інтерес, а не згода. За ст. 11 Закону України “Про захист персональних даних” підставами можуть бути і згода, і необхідність захисту законних інтересів володільця або третьої особи. Якщо Ви не берете саме згоду, не треба робити акцент на її відкликанні.

        Краще так:

        “Якщо обробка здійснюється на підставі згоди, користувач має право відкликати таку згоду. Якщо обробка здійснюється на підставі законного інтересу, користувач має право подати вмотивоване заперечення проти обробки своїх персональних даних”.

        Це точніше, бо право на заперечення, доступ, зміну/знищення незаконних або недостовірних даних і скаргу до Уповноваженого прямо передбачені ст. 8 Закону.

        Третє. Розділ 10 дублює розділ 6. Краще або прибрати розділ 10 повністю, або об’єднати його з розділом 6.

        Четверте. Формулювання про Cloudflare Turnstile треба зробити обережнішим. Ви написали, що Turnstile “може збирати інформацію про поведінку на сторінці”, але це формулювання ширше, ніж потрібно. Cloudflare описує Turnstile як інструмент для відрізнення людей від ботів і блокування бот-трафіку; також самі документи Cloudflare зазначають, що Turnstile працює без показу класичної CAPTCHA.

        Краще так:

        “Cloudflare Turnstile може обробляти технічні дані, необхідні для перевірки запиту та захисту від автоматизованих дій, зокрема IP-адресу, дані браузера, пристрою та інші технічні сигнали”.

        П’яте. Фраза “сучасні криптографічні методи” занадто загальна.

        Краще так:

        “Ми застосовуємо технічні та організаційні заходи безпеки, зокрема обмеження доступу, авторизацію, двофакторну перевірку та хешування паролів”.

        Шосте. У розділі 8 не варто писати “Адміністрація вебсайту”, якщо фактично володільцем є конкретна фізична особа. Закон вимагає повідомляти суб’єкта персональних даних про володільця, склад даних, права, мету збору та осіб, яким передаються дані в момент збору даних. Якщо Ви не хочете публікувати ПІБ через безпеку, можна написати більш обережно, але контакт має бути реальний.

        Наприклад:

        “Володілець персональних даних: адміністратор проєкту, фізична особа, яка організовує роботу панелі керування. Контакт для звернень щодо персональних даних: …”

        Сьоме. Стаття 32 ЦК України стосується неповної цивільної дієздатності неповнолітньої особи, а відповідальність неповнолітньої особи — це вже ст. 33 ЦК України. Тобто краще не писати “відповідно до статті 32… додаткову відповідальність несуть законні представники”, бо це неточно.

        Краще так:

        “Оскільки адміністратор проєкту є неповнолітньою особою, звернення, які потребують вчинення юридично значущих дій або представництва, можуть розглядатися за участю законних представників відповідно до вимог цивільного законодавства України”.

        Восьме. У політиці є мовні й технічні помилки:

        “під час використання сайтом” - “під час використання сайту”;

        “Панелью керування” - “панеллю керування”;

        “Києвським часом” - “київським часом”;

        “Дії які виконуються” - “дії, які виконуються”;

        “в вебсайті” - “на вебсайті”;

        “облікового акаунту” краще замінити на “облікового запису”;

        Отже, політика загалом побудована правильно, але її треба виправити в частині паролів, правової підстави, дублювання строків, статусу неповнолітнього адміністратора і формулювань про Cloudflare.


Схожі питання


Кодекси Україна

Кодекс України з процедур банкрутства Кодекс цивільного захисту України Кримінальний процесуальний кодекс України Митний кодекс України Повітряний кодекс України Податковий кодекс України Кодекс адміністративного судочинства України Цивільний процесуальний кодекс України Кримінально-виконавчий кодекс України Господарський кодекс України Цивільний кодекс України Сімейний кодекс України Земельний кодекс України Кримінальний кодекс України Водний кодекс України Кодекс торговельного мореплавства України Про надра Лісовий кодекс України Господарський процесуальний кодекс України Кодекс України про адміністративні правопорушення (статті 213 - 330) Кодекс України про адміністративні правопорушення (статті 1 - 212-21) Житловий Кодекс Української РСР Європейський кодекс соціального забезпечення Бюджетний кодекс України