TURBOCRM
GDPR і закон України про персональні дані: що повинен знати SMB
CRM-практики

GDPR і закон України про персональні дані: що повинен знати SMB

TurboCRM Team 20 May 2025 1 хв читання

Персональні дані — не абстракція для юристів, а конкретне питання, яке у 2026 році постає перед кожним SMB в Україні: база клієнтів у Excel, заявки з Facebook, номери телефонів у Telegram-чатах, email-розсилки. Порушення вимог закону «Про захист персональних даних» — штрафи від 1 700 до 34 000 грн. А якщо ви працюєте з клієнтами з ЄС — додатково GDPR і штрафи до 4% річного обороту. Розкажемо, що повинен знати власник SMB у 2026, і як TurboCRM допомагає відповідати вимогам — без обіцянок автогенерації DPO-звітів, яких ми не робимо.

Що регулює захист персональних даних в Україні

Український закон 2297-VI «Про захист персональних даних»

Діє з 2011 року, неодноразово редагувався. Регулює обробку персональних даних громадян України будь-яким суб'єктом (компанією, ФОП, державним органом). Ключові вимоги:

  • Згода суб'єкта даних на обробку (явна, задокументована).
  • Зрозуміла мета обробки — ви не можете збирати дані «на всяк випадок».
  • Мінімізація — збирайте тільки те, що реально потрібно.
  • Захист від витоку — технічні і організаційні заходи.
  • Право на доступ, виправлення, видалення — клієнт може в будь-який момент запросити.
  • Реєстрація у Уповноваженого Верховної Ради з прав людини — для тих, хто обробляє особливі категорії (здоров'я, релігія, судимості).

GDPR — коли стосується вас

GDPR (Regulation EU 2016/679) регулює обробку даних громадян ЄС. Якщо ви:

  • Продаєте товари/послуги клієнтам у країнах ЄС (навіть один клієнт);
  • Моніторите поведінку користувачів ЄС на вашому сайті (Google Analytics, Facebook Pixel);
  • Працюєте з європейськими партнерами і оброблюєте їхні співробітникові дані;

— вам треба відповідати GDPR. Максимальний штраф за GDPR — €20 млн або 4% річного обороту, більше з двох. Для SMB це може означати знищення бізнесу.

Штрафи в Україні (стаття 188-39 КУпАП)

  • Відмова у наданні інформації суб'єкту даних: 1 700-3 400 грн.
  • Повторне порушення: 3 400-6 800 грн.
  • Порушення терміну повідомлення про зміни: 5 100-8 500 грн.
  • Невиконання вимоги Уповноваженого: 10 200-34 000 грн.

Суми невеликі, але часті. І головне — Уповноважений рідко зупиняється на одному штрафі: якщо він знайшов порушення, йде повна перевірка всього процесу.

Що конкретно повинен зробити SMB

1. Документувати процеси обробки

Ви повинні мати письмовий документ — «Політика обробки персональних даних», у якому:

  • Вказано, хто (компанія, ФОП) є контролером даних.
  • Описано, які саме дані ви збираєте (ПІБ, телефон, email, IP-адреса, історія покупок).
  • Пояснено мета обробки (оформлення замовлень, комунікація, розсилка).
  • Зазначені терміни зберігання (наприклад, «3 роки після останнього замовлення»).
  • Вказано, з ким ви ділитесь даними (SMS-сервіс, платіжна система, email-провайдер).
  • Описано права клієнта і як ними скористатися.

Шаблон такої політики можна скласти самостійно або замовити у юриста (10-15 тис грн одноразово). Розмістити на сайті у footer як посилання «Політика конфіденційності».

2. Отримати згоду клієнта

Кожен клієнт повинен явно погодитися на обробку. Формат:

  • Checkbox на формі реєстрації (не pre-checked!) з текстом «Погоджуюсь з Політикою конфіденційності».
  • Окремий checkbox для маркетингових розсилок (не можна одним галочкою погодити на обробку + розсилку).
  • Документування моменту згоди — дата, час, IP.

3. Забезпечити право на видалення

Клієнт написав «видаліть мої дані» — ви повинні зробити це впродовж 30 днів. Обробляти такий запит має призначена особа (DPO або власник), зберігаючи запис про виконання.

4. Повідомляти про витоки

Якщо стався витік даних (вкрали базу, хакерська атака) — ви зобов'язані повідомити Уповноваженого впродовж 72 годин і клієнтів, чиї дані витекли, впродовж розумного терміну.

5. Призначити відповідальну особу (DPO)

Для компаній, які обробляють чутливі дані (здоров'я, фінанси) — обов'язково. Для SMB у ніші послуг — рекомендовано. Це може бути власник, якщо він пройшов базовий тренінг по захисту даних.

Як TurboCRM допомагає відповідати вимогам

Чесно: TurboCRM — не юридичний продукт. Ми не генеруємо DPO-звіти, не замінюємо юриста, не проводимо compliance-аудит. Але ми надаємо технічну інфраструктуру для виконання ключових вимог:

1. Ролі і права доступу

Принцип GDPR: дані бачать тільки ті співробітники, кому вони потрібні. У TurboCRM 4 системні ролі (owner, admin, manager, viewer) + 81 granular permission. Менеджер відділу продажів не бачить бухгалтерські дані, бухгалтер не бачить нотатки з переговорів. Це виконання принципу «need-to-know basis».

2. Аудит-лог

Кожна дія з даними клієнта (перегляд картки, редагування, експорт) записується у audit_log з timestamp, user_id, IP. Якщо Уповноважений запитає «хто і коли бачив дані клієнта Іваненка» — ви можете відповісти.

3. Експорт даних клієнта

GDPR-вимога: клієнт має право отримати свої дані у структурованому форматі (Data Portability). У TurboCRM у картці клієнта є кнопка «Експорт» — отримуєте JSON або CSV з усією історією. Віддаєте клієнту.

4. Видалення клієнта (Right to Erasure)

У TurboCRM реалізовано як soft delete (клієнт переміщається у кошик, дані залишаються для відновлення 30 днів) так і hard delete (остаточне видалення з бази). Перше — на випадок помилки, друге — на виконання GDPR Right to Erasure.

5. HTTPS з коробки

Передача даних між користувачем і сервером TurboCRM — тільки через HTTPS (TLS 1.3). Це базова технічна вимога для обробки персональних даних.

6. Standalone mode — дані на сервері клієнта

Для чутливих галузей (медицина, юристи, фінанси) у TurboCRM є standalone режим: ви отримуєте виділений сервер на своїй інфраструктурі, де знаходяться ВСІ дані. Не у нашому хмарі, а у вашому data-center або on-premise. Це повний контроль і просте пояснення Уповноваженому: «дані не виїжджають за межі організації».

7. Шифрування полів (Pro/Enterprise плани)

Чутливі поля (паролі, платіжні картки) шифруються на рівні БД. Навіть якщо хтось отримає доступ до дамп файлу — прочитати не зможе без ключа.

Найбільший ризик для SMB — не штрафи Уповноваженого, а клієнтські позови. У 2025 з'явилось 40% більше скарг до Уповноваженого, ніж у 2024. Люди почали знати свої права і активніше ними користуватись. CRM з повним аудит-логом і експортом даних — це ваш захист, коли приходить такий запит. Ви не сваритеся, ви просто натискаєте кнопку. — Андрій Кравчук, юрист LegalTech.

Чого НЕ робить TurboCRM

Щоб ви не розраховували на нас у тих сферах, де ми не допомагаємо:

  • Не генеруємо DPO-звіти і compliance-документи. Це робота юриста / DPO, а не технічного продукту.
  • Не визначаємо, які дані ви можете зберігати. Ви самі (через юриста) вирішуєте класифікацію і легальність обробки.
  • Не автоматично ставимо cookie consent banner на вашому сайті. Сайт — поза CRM, banner треба ставити окремо (Cookiebot, OneTrust, or self-hosted solution).
  • Не даємо юридичну консультацію. Наші умови використання — стандартні, не індивідуальні.
  • Не анонімізуємо автоматично старі дані. Якщо ваша політика зберігання — 3 роки, ви самі через звіти вибираєте старі картки і архівуєте/видаляєте.

Типові помилки українських SMB

  1. Не мають Політики конфіденційності на сайті. Перша річ, яку перевіряють при скарзі до Уповноваженого.
  2. Збирають «на всяк випадок». «Вкажіть дату народження дружини» на формі запису на масаж — це порушення принципу мінімізації.
  3. Pre-checked checkbox. Згода повинна бути явною — галочка за замовчуванням знята.
  4. Не документують згоду. Галочка поставлена, але ні часу, ні IP, ні версії політики — не зберігається. Довести неможливо.
  5. Ігнорують запити клієнтів. Клієнт написав «видаліть мене» — менеджер забув. Через місяць скарга в Уповноваженого.
  6. Зберігають чутливі дані (паспорт, ІНН) у Google Drive або звичайному Excel. Витік дзеркальний, доводити не треба.
  7. Забувають про 3rd parties. Використовуєте TurboSMS, WayForPay, Meta Lead Ads — у політиці треба вказати, з ким ви ділитесь даними.

Чек-ліст мінімальної готовності до перевірки

  1. Політика конфіденційності розміщена на сайті.
  2. На формах реєстрації — checkbox згоди (не pre-checked), з посиланням на політику.
  3. Окремий checkbox для маркетингових розсилок.
  4. CRM з ролями/правами доступу налаштована так, що співробітники бачать тільки свої дані.
  5. Аудит-лог увімкнений і зберігає історію дій.
  6. Процес видалення клієнта документований (не менеджер «один знає»).
  7. Призначена відповідальна особа за обробку персональних даних (DPO або власник).
  8. Договір з підрядниками (TurboSMS, WayForPay) містить пункт про обробку персональних даних.
  9. Плановий бекап + відновлення працює і перевіряється щоквартально.
  10. Базовий тренінг персоналу раз на рік.

Коли використовувати standalone режим

Standalone TurboCRM (виділений сервер) вибирають клієнти з:

  • Медичних клінік (відповідність медичній регуляторній базі);
  • Юридичних фірм (конфіденційність клієнт-юрист);
  • Фінансових сервісів (вимоги НБУ);
  • B2B-клієнтів у ЄС з особливими договорами по data residency.

Для звичайного SMB (салон краси, СТО, онлайн-школа) стандартного SaaS TurboCRM цілком достатньо. Наші сервери знаходяться в Україні, дані не передаються за кордон без явної потреби (крім випадків типу Telegram Bot API, де дані проходять через їхні сервери).

FAQ

Чи можу я експортувати дані клієнта «для себе», не для нього?

Так — це частина вашої адміністративної роботи. Але якщо ви експортуєте на флешку і несете куди-небудь ще — це вже «передача даних», повинна бути документована.

Чи можу я використовувати дані неактивних клієнтів?

Тільки у рамках мети, на яку вони дали згоду. Якщо клієнт погодився на «оформлення замовлень», а ви 2 роки по тому шлете йому рекламу — порушення.

Як довести згоду, якщо клієнт каже «я не погоджувався»?

Технічний лог з timestamp + IP + версія політики у момент згоди. TurboCRM зберігає цю інформацію у audit-logs.

Чи потрібна згода для обробки даних співробітників?

Ні — співробітників ви обробляєте на підставі трудового договору (законний інтерес). Але у політиці треба це зафіксувати.

Читайте також

Ваш SMB хоче бути готовим до перевірки Уповноваженого? TurboCRM — 14 днів безкоштовно, ролі/права доступу, аудит-лог, експорт/видалення клієнта, стандарт HTTPS, опціонально standalone режим для чутливих галузей. Калькулятор і опис safety-функцій — на сторінці тарифів TurboCRM.

Прямо зараз онлайн

Готові припинити губити клієнтів?

Ви дочитали до кінця — значить серйозно. Виберіть зручний шлях: запустіться самі за 5 хвилин або замовте безкоштовний дзвінок.

Швидкий шлях

Я можу сам — за 5 хвилин

Створіть робочий кабінет прямо зараз. Воронки, контакти, інтеграції — все вже налаштовано.

  • 14 днів безкоштовно
  • Без прив'язки карти
  • Дані не пропадуть
Створити кабінет

Вже використовують 200+ компаній

З нашою допомогою

Хочу, щоб допомогли

Залишіть номер — перетелефонуємо, проконсультуємо, перенесемо базу. Без обов'язків.

Надсилаючи, ви погоджуєтесь з Політикою конфіденційності.

Без спаму
Відповідь за 2 год
Українською

Схожі статті

Як підключити Meta Lead Ads до CRM без Zapier

Як підключити Meta Lead Ads до CRM без Zapier

Покроковий гайд: як налаштувати нативну інтеграцію Facebook та Instagram Lead Ads з TurboCRM. OAuth, webhook, маппінг полів. Лід за 2 секунди після submit форми.

16 April 2026 · 2 хв

CRM система у Харкові 2026: огляд для малого бізнесу

CRM система у Харкові 2026: огляд для малого бізнесу

Як обрати та впровадити CRM систему у Харкові у 2026: тарифи, інтеграції, особливості локального ринку, кейси Харкові компаній.

18 April 2026 · 1 хв

5 технік утримання клієнтів: +40% до повторних продажів

5 технік утримання клієнтів: +40% до повторних продажів

5 технік retention, які підвищують повторні продажі: онбординг, birthday, win-back, NPS follow-up, лояльність у балах. Як зробити у TurboCRM.

02 January 2026 · 2 хв