Що змінилося у зборі персональних даних і чому це важливо для бізнесу
З вересня 2025 року звичні форми на сайтах стали зоною ризику: те, що роками працювало «без питань», тепер може призвести до штрафів і претензій з боку регуляторів. Сьогодні контролюючі органи все частіше звертають увагу на те, чи розумів користувач, на що саме він погоджується. Розповідаємо, що змінилося і як привести сайт у порядок без повної переробки.
Нові вимоги до форми і способу отримання згоди
Відповідно до Закону України «Про захист персональних даних» згода на обробку персональних даних має бути конкретною, інформованою та усвідомленою. Саме за такими критеріями сьогодні все частіше перевіряються сайти.
Інформованість — політика конфіденційності та текст згоди мають бути доступні користувачу в момент збору даних, без складного пошуку або прихованих переходів.
Щоб краще розібратися в темі, також перегляньте Як оформити текст, щоб його було зручно читати?, Швидкість завантаження сайту: навіщо і як вимірювати та Чому не варто робити сайт «як у конкурента».
Усвідомленість — згода повинна підтверджуватись окремою явною дією користувача.
Конкретність — формулювання мають бути зрозумілими і розміщеними так, щоб їх неможливо було не помітити.
Якщо користувач міг не побачити умови або відправити форму без усвідомленого підтвердження, така згода може вважатися недійсною.
Чому звична схема «галочка біля кнопки + посилання дрібним шрифтом» більше не вважається коректною
Схема, яка багато років використовувалась на сайтах малого та середнього бізнесу, сьогодні вважається юридично слабкою. Йдеться про конструкцію, коли чекбокс стоїть поруч із кнопкою «Відправити», «Зареєструватися» або «Записатися», а текст згоди написаний загальними фразами. При цьому посилання на Політику конфіденційності було винесене дрібним шрифтом або візуально губилося. Часто згода фактично «спрацьовувала» у момент натискання кнопки.
Тепер це проблема, тому що немає доказу, що користувач бачив Політику конфіденційності і розумів, на що саме погоджується.
Контролюючі органи прямо вказують, що згода не повинна зливатися з іншими діями користувача, маскуватися або виглядати так, ніби її можна не помітити.
Якщо посилання на Політику конфіденційності виглядає як другорядний елемент інтерфейсу, а галочка сприймається як технічна частина форми, регулятор може вважати, що згода була отримана неусвідомлено.
Під час перевірок дивляться, чи бачив користувач Політику і чи дав згоду усвідомлено
Контролюючі органи надають офіційні роз’яснення щодо необхідності усвідомленого волевиявлення суб’єкта персональних даних. Виходячи з цих підходів, під час перевірок сайтів оцінюються не лише тексти, а й логіка користувацького сценарію. Фактично ставиться одне ключове питання: чи міг користувач не помітити Політику конфіденційності та згоду — і все одно відправити дані?
Звертають увагу на те, де розміщене посилання на Політику конфіденційності. Чи видно його до відправки форми, чи читається воно без додаткового пошуку, чи не приховане у футері або спливаючому вікні.
Також перевіряється, як сформульований текст згоди. Чи розуміє користувач, що погоджується саме на обробку персональних даних, а не просто «підтверджує відправку форми». Важливо і те, як виглядає чекбокс: чи є він окремою усвідомленою дією, чи сприймається як частина кнопки.
Якщо форму можна відправити без згоди — це майже гарантоване порушення. Крім того, факт згоди має фіксуватися, щоб бізнес міг довести, що користувач погодився саме у такій формі і на цих умовах.
Чому важливо привести сайт у відповідність
Форми, які роками працювали без претензій, сьогодні можуть стати підставою для приписів або штрафів, вимог терміново переробляти сайт, проблем із рекламою та передачею даних у CRM.
Наприклад, профільні медіа вже розбирають реальні кейси перевірок, де претензії виникали до типових речей: механіки отримання згоди у формі, коли користувач фактично не виконує окремої усвідомленої дії — аж до попередньо встановленої галочки — і не отримує зрозумілого сценарію ознайомлення з умовами обробки даних.
Як правильно оформити згоду на обробку персональних даних
З точки зору законодавства про захист персональних даних згода вважається інформованою лише тоді, коли суб’єкт персональних даних ознайомлений з умовами обробки. Це означає, що користувач побачив і підтвердив Політику обробки даних до передачі самих даних. Текст політики не повинен бути технічно прихованим — без примусових завантажень, редиректів або вікон, які не відкриваються.
Якщо людина залишає телефон, e-mail або реєструється, вона повинна мати можливість ще до відправки форми зрозуміти, хто і на яких умовах буде обробляти її дані.
Посилання має бути помітним і логічно вбудованим у форму
Якщо посилання візуально губиться, написане дрібним шрифтом або винесене у футер сторінки, регулятор виходить з того, що користувач міг його не помітити.
Коректною вважається ситуація, коли посилання на Політику конфіденційності знаходиться безпосередньо у блоці форми; воно логічно пов’язане з текстом згоди, і користувач розуміє, з яким документом погоджується.
Наприклад, формулювання на кшталт «Я погоджуюся з Політикою конфіденційності» з активним посиланням усередині тексту сприймається інакше, ніж абстрактне «Натискаючи кнопку, ви погоджуєтесь…» з окремим посиланням десь нижче.
Така логіка випливає з вимог до «однозначного волевиявлення» суб’єкта персональних даних і підтверджується офіційними роз’ясненнями регуляторів та практикою застосування законодавства.
Як фіксується згода
Коректна згода сьогодні складається з:
— зрозумілого тексту згоди;
— активної дії користувача, наприклад встановлення чекбокса;
— неможливості відправити форму без цієї дії;
— технічної фіксації факту згоди.
Фіксація означає, що бізнес у разі перевірки може показати дату і час отримання згоди; форму, у якій вона була отримана, та редакцію Політики конфіденційності, що діяла на той момент.
Саме на це звертають увагу під час перевірок: чи може оператор персональних даних довести, що згода була отримана коректно, а не просто заявити про це.
Що таке «усвідомлена згода»
Усвідомлена згода — це опис користувацького сценарію. Перевіряючий фактично хоче зрозуміти: чи міг користувач передати дані, не розуміючи, що саме і навіщо з ними будуть робити? Якщо відповідь «так», така згода вважається проблемною.
Тобто при усвідомленій згоді користувач розуміє, що передає персональні дані. Він знає, хто є оператором даних, і усвідомлює цілі обробки — наприклад, зворотний зв’язок, реєстрація або розсилка.
Також користувач виконує окрему дію, яка підтверджує згоду. І що важливо — у нього є вибір: погодитися або не передавати дані.
Де на сайті варто перевірити збір персональних даних у першу чергу
Проблеми з персональними даними найчастіше виникають у найбільш типових елементах сайту. Саме на ці точки контролюючі органи звертають увагу в першу чергу, тому що саме там користувач напряму залишає свої дані.
Форми реєстрації та заявки
Найчастіша зона порушень — форми «Залишити заявку», «Отримати консультацію», «Замовити дзвінок». Їх зазвичай роблять за старими шаблонами, тому вимоги до усвідомленої згоди там не дотримуються.
Згоду часто зводять до формули «Відправляючи форму, ви погоджуєтесь…» без окремого підтвердження, ставлять посилання на політику, але не фіксують факт ознайомлення, використовують один чекбокс одразу для всіх цілей, включаючи маркетинг, або взагалі залишають можливість відправити форму без згоди.
Для перевіряючих це виглядає так: явного волевиявлення немає, доказів отримання згоди немає — отже, згода оформлена некоректно.
Онлайн-запис і особисті кабінети
Онлайн-запис на послуги та створення особистого кабінету бізнес часто сприймає як «технічну реєстрацію». Через це згода або взагалі відсутня, або оформлена формально.
Часто зустрічаються:
— автоматичні згоди при створенні акаунта;
— об’єднані згоди на обслуговування, зберігання даних і маркетинг в один пункт;
— відсутність явного підтвердження ознайомлення з Політикою конфіденційності;
— неможливість відмовитися від додаткових цілей обробки.
Під час перевірок такі сценарії трактуються як надмірний збір даних і порушення принципу конкретності згоди.
Підписки, лід-магніти, квізи
Підписки на розсилки, завантаження чек-листів, участь у квізах і тестах — одна з найпроблемніших зон для малого та середнього бізнесу, тому що саме тут збираються e-mail-адреси і телефони, які потім використовуються у маркетингу.
Часта ситуація: людина залишає контакт, щоб отримати матеріал, а далі автоматично починає отримувати розсилки без окремої згоди. Нерідко згоду на маркетинг «ховають» у тексті під формою, не розділяють отримання бонусу і подальшу комунікацію та не дають можливості отримати матеріал без автоматичної підписки.
З точки зору закону це означає використання даних для цілей, на які користувач прямо не погоджувався.
Збір даних «в один крок» без можливості вибору
Багато сайтів досі збирають дані за принципом «або все, або нічого». Користувач не може окремо погодитися на зворотний зв’язок, відмовитися від реклами або вибрати, які саме дані і для чого передаються.
Такий підхід суперечить вимозі конкретної згоди. Якщо користувач не може висловити волю щодо кожної цілі окремо, згода вважається недостатньо визначеною.
Особливо часто це зустрічається на лендингах, сайтах послуг та сайтах, створених на конструкторах і шаблонах.
Cookies і аналітика як окрема зона ризику
Cookies, пікселі, системи аналітики та трекінгу тривалий час залишалися «сірою зоною» для малого бізнесу. Зараз це один із пріоритетних об’єктів уваги регуляторів.
Часті проблеми: cookies встановлюються до отримання згоди; банер є, але не дає реального вибору; відсутня можливість відмови від аналітики; користувач не розуміє, які саме дані збираються.
Контролюючі органи можуть розглядати ідентифікатори, IP-адреси та поведінкові дані як персональні. Їх збір допускається лише за умови інформування користувача та належно оформленої згоди.
Чим це загрожує бізнесу вже зараз
Нові вимоги до отримання згоди мають для бізнесу цілком практичні наслідки і вже виникають на практиці: від штрафів і приписів до зупинки реклами та проблем із сервісами, через які проходять продажі.
Штрафи за некоректну згоду
Некоректна або недоведена згода на обробку персональних даних розглядається як порушення порядку обробки персональних даних. В Україні відповідальність за такі порушення передбачена законодавством про захист персональних даних та суміжними нормами.
Для бізнесу це може означати:
— штрафи за обробку персональних даних без належної згоди користувача;
— санкції за повторні порушення;
— окрему відповідальність за відсутність коректної політики конфіденційності, неналежне інформування користувача або порушення порядку збору даних.
Важливо, що відповідальність може наставати вже за сам факт порушення, навіть якщо витоку даних не було і користувачу фактично не завдано шкоди.
Приписи та повторні перевірки
На практиці регулятори часто починають із припису про усунення порушень: бізнесу дають короткий термін, щоб переробити форми, тексти згод і cookies-банер, а потім проводять повторну перевірку. Якщо виправлення зроблені формально або не повністю, відповідальність посилюється.
Сам факт припису означає, що порушення вже зафіксоване. Якщо його проігнорувати, ризик штрафів і повторних перевірок різко зростає.
Проблеми з рекламою і ретаргетингом
Окрема зона ризику — маркетинг: для рекламних платформ походження даних і коректність отриманих згод стають критично важливими. Якщо згоди зібрані неправильно, компанії можуть обмежити доступ до ретаргетингу, заблокувати рекламні кабінети, вимагати видалити аудиторії та збирати бази заново — разом із втратою накопичених сегментів і статистики.
Йдеться не лише про передачу даних у рекламні системи, а й про підключену аналітику, пікселі та трекери. Формально відповідальність усе одно залишається на бізнесі як на операторі персональних даних, навіть якщо рекламу налаштовує підрядник.
Ризики при роботі з CRM, розсилками та платіжними сервісами
Телефони та e-mail-адреси, зібрані через сайт, майже завжди автоматично передаються далі по ланцюгу — у CRM, сервіси розсилок, call-tracking, платіжні та SaaS-системи. Якщо згода отримана некоректно, під сумнів ставиться законність усієї цієї обробки та передачі даних.
У результаті виникають ризики під час перевірок і скарг користувачів, складнощі при розслідуванні інцидентів і витоків даних, а також проблеми з підтвердженням законності передачі інформації третім сторонам. Додатково можуть виникати претензії і з боку самих сервісів, які часто вимагають підтвердити, що база зібрана легально та з коректними згодами.
Чому малий і середній бізнес найчастіше потрапляє під перевірки через скарги
Малий і середній бізнес рідко потрапляє під планові перевірки — найчастіше приводом стає скарга користувача. Достатньо одного звернення на кшталт «я не давав згоди», щоб сайт потрапив у поле зору регулятора.
МСП особливо вразливі, тому що зазвичай працюють на типових шаблонних сайтах із застарілими формами і текстами згод, не ведуть логування і не можуть швидко показати докази отримання згоди. Окремого спеціаліста з персональних даних або юриста в таких компаніях найчастіше немає.
Що потрібно змінити на сайті, щоб відповідати вимогам
Хороша новина для малого та середнього бізнесу в тому, що в більшості випадків основні ризики можна зняти за рахунок точкових змін у формах і логіці отримання згоди. Нижче — що важливо перевірити та доопрацювати.
Як має виглядати форма з точки зору згоди
Форма збору персональних даних повинна бути побудована так, щоб користувач ще до відправки даних розумів:
— що саме він передає персональні дані;
— кому він їх передає;
— на яких умовах і з якою метою вони будуть використовуватися.
Це означає, що згода не «вшита» у кнопку відправки; користувач виконує окрему дію, яка підтверджує згоду; без цієї згоди форму неможливо відправити.
Форма повинна чітко показувати: згода — це окремий крок, а не побічний ефект натискання кнопки.
Як коректно показати Політику конфіденційності
Політика конфіденційності повинна бути логічно пов’язана з моментом збору даних.
Коректний варіант:
— посилання на Політику знаходиться безпосередньо у формі;
— користувач може відкрити документ ще до відправки даних;
— посилання візуально читається і не губиться серед інших елементів;
— текст Політики відкривається без технічних перешкод.
Важливо, щоб перевіряючий міг зрозуміти: користувач мав реальну можливість ознайомитися з Політикою саме в той момент, коли залишав свої дані.
Де і як розміщувати чекбокс
Чекбокс залишається допустимим способом отримання згоди, якщо він оформлений так, щоб користувач дійсно підтверджував її усвідомлено.
Галочка не повинна бути встановлена за замовчуванням. Сам чекбокс потрібно розміщувати безпосередньо перед кнопкою відправки, а текст згоди писати простою і зрозумілою мовою, із вбудованим посиланням на Політику конфіденційності.
Як фіксувати факт згоди
Отримати згоду недостатньо — її потрібно вміти довести. Фіксація згоди означає, що бізнес може підтвердити:
— дату і час отримання згоди;
— форму, через яку вона була отримана;
— текст згоди;
— версію Політики конфіденційності, що діяла на той момент.
Це реалізується через CRM, серверні логи, системи обліку заявок або форми зі збереженням параметрів згоди.
У разі скарги або перевірки відсутність фіксації факту згоди фактично прирівнюється до її відсутності.
Що робити з уже працюючим сайтом без повної переробки
Для більшості сайтів малого та середнього бізнесу достатньо мінімального аудиту та точкових змін:
— замінити формулювання під формами;
— додати окремий чекбокс;
— скоригувати розміщення посилання на Політику конфіденційності;
— налаштувати блокування відправки форми без згоди;
— перевірити cookies-банер і системи аналітики.
Усе це можна зробити без редизайну, зміни CMS або зупинки сайту. Важливо змінити користувацький сценарій так, щоб згода стала окремою та усвідомленою дією.
Бонус: короткий чек-лист для малого та середнього бізнесу
Цей чек-лист можна зберегти або використовувати як швидкий аудит сайту. Якщо за якимось пунктом відповідь «ні» або «не впевнений», це привід повернутися до форми і доопрацювати її.
Чек-лист зі збору персональних даних на сайті
— Політика конфіденційності видима у момент збору даних. Посилання розміщене безпосередньо у формі, а не лише у футері сайту. Користувач може відкрити Політику до відправки даних.
— Користувач підтверджує згоду окремою дією. Є чекбокс або інший механізм, який вимагає активного підтвердження, а не автоматичної згоди при натисканні кнопки.
— Чекбокс не відмічений за замовчуванням. Користувач сам приймає рішення, а не погоджується автоматично.
— Без згоди форму неможливо відправити. Кнопка відправки заблокована, доки згода не підтверджена.
— Текст згоди написаний зрозумілою мовою. У формулюванні прямо сказано про обробку персональних даних і є посилання на Політику, без загальних та розмитих фраз.
— Цілі обробки не змішані в один пункт. Зворотний зв’язок, реєстрація, розсилки та маркетинг не об’єднані в одну згоду «на все».
— Факт згоди фіксується технічно. Зберігаються дата, час, форма та версія Політики конфіденційності.
— Cookies і аналітика не вмикаються до отримання згоди користувача. Є коректний cookies-банер із можливістю вибору або відмови.
— Дані не передаються у CRM та рекламні системи без коректної згоди. Передача даних у розсилки, аналітику та рекламні сервіси відбувається лише за наявності відповідної згоди.
Як використовувати чек-лист
Пройдіться по всіх формах на сайті, включаючи квізи, підписки та онлайн-запис. Перевірте не лише тексти, а й сам користувацький сценарій. Зафіксуйте, що саме потрібно виправити.
Навіть часткове приведення сайту у відповідність за цим списком суттєво знижує ризики і допомагає уникнути термінових переробок після скарг або перевірок.
Головне про збір персональних даних
З 2025 року в практиці контролю за персональними даними посилилися вимоги до того, як сайт отримує згоду на обробку персональних даних. Перевіряють, чи бачить користувач умови в момент введення даних і чи може бізнес довести, що згода була усвідомленою.
Головне, що потрібно врахувати
— Фраза «відправляючи форму, ви погоджуєтесь…» більше не вирішує проблему. Потрібне окреме підтвердження згоди.
— Політика конфіденційності повинна бути поруч із формою та помітною. Користувач має мати можливість відкрити її до відправки даних.
— Згода не повинна зливатися з реєстрацією або заявкою. Це окремий крок.
— Факт згоди потрібно фіксувати: дата і час, текст згоди, версія політики, джерело або форма.
— Різні цілі — різні згоди. Зворотний зв’язок, маркетинг, аналітика та реклама не повинні бути «в одному чекбоксі».
— Cookies і аналітика — окрема зона ризику. Збір трекінгу без вибору та можливості відмови може стати проблемою.
— Відповідає бізнес, а не підрядник. Навіть якщо сайт, CRM і реклама налаштовані сторонньою компанією.
У більшості випадків достатньо точкових змін у формах і користувацьких сценаріях, щоб зняти основні ризики і не втратити конверсію.
