GDPR и закон Украины о персональных данных: что должен знать SMB

Персональные данные — не абстракция для юристов, а конкретный вопрос, который в 2026 году встаёт перед каждым SMB в Украине: база клиентов в Excel, заявки из Facebook, номера телефонов в Telegram-чатах, email-рассылки. Нарушение требований закона «О защите персональных данных» — штрафы от 1 700 до 34 000 грн. А если вы работаете с клиентами из ЕС — дополнительно GDPR и штрафы до 4% годового оборота. Расскажем, что должен знать владелец SMB в 2026, и как TurboCRM помогает соответствовать требованиям — без обещаний автогенерации DPO-отчётов, которых мы не делаем.

Что регулирует защиту персональных данных в Украине

Украинский закон 2297-VI «О защите персональных данных»

Действует с 2011 года, неоднократно редактировался. Регулирует обработку персональных данных граждан Украины любым субъектом (компанией, ФОП, государственным органом). Ключевые требования:

• Согласие субъекта данных на обработку (явное, задокументированное).
• Понятная цель обработки — вы не можете собирать данные «на всякий случай».
• Минимизация — собирайте только то, что реально нужно.
• Защита от утечки — технические и организационные меры.
• Право на доступ, исправление, удаление — клиент может в любой момент запросить.
• Регистрация у Уполномоченного Верховной Рады по правам человека — для тех, кто обрабатывает особые категории (здоровье, религия, судимости).

GDPR — когда касается вас

GDPR (Regulation EU 2016/679) регулирует обработку данных граждан ЕС. Если вы:

• Продаёте товары/услуги клиентам в странах ЕС (даже один клиент);
• Мониторите поведение пользователей ЕС на вашем сайте (Google Analytics, Facebook Pixel);
• Работаете с европейскими партнёрами и обрабатываете данные их сотрудников;

— вам надо соответствовать GDPR. Максимальный штраф по GDPR — €20 млн или 4% годового оборота, больше из двух. Для SMB это может означать уничтожение бизнеса.

Штрафы в Украине (статья 188-39 КУоАП)

• Отказ в предоставлении информации субъекту данных: 1 700-3 400 грн.
• Повторное нарушение: 3 400-6 800 грн.
• Нарушение срока уведомления об изменениях: 5 100-8 500 грн.
• Невыполнение требования Уполномоченного: 10 200-34 000 грн.

Суммы небольшие, но частые. И главное — Уполномоченный редко останавливается на одном штрафе: если нашёл нарушение, идёт полная проверка всего процесса.

Что конкретно должен сделать SMB

1. Документировать процессы обработки

Вы должны иметь письменный документ — «Политика обработки персональных данных», в которой:

• Указано, кто (компания, ФОП) является контроллером данных.
• Описано, какие именно данные вы собираете (ФИО, телефон, email, IP-адрес, история покупок).
• Объяснена цель обработки (оформление заказов, коммуникация, рассылка).
• Указаны сроки хранения (например, «3 года после последнего заказа»).
• Указано, с кем вы делитесь данными (SMS-сервис, платёжная система, email-провайдер).
• Описаны права клиента и как ими воспользоваться.

Шаблон такой политики можно составить самостоятельно или заказать у юриста (10-15 тыс грн одноразово). Разместить на сайте в footer как ссылку «Политика конфиденциальности».

2. Получить согласие клиента

Каждый клиент должен явно согласиться на обработку. Формат:

• Checkbox на форме регистрации (не pre-checked!) с текстом «Соглашаюсь с Политикой конфиденциальности».
• Отдельный checkbox для маркетинговых рассылок (нельзя одной галочкой согласить на обработку + рассылку).
• Документирование момента согласия — дата, время, IP.

3. Обеспечить право на удаление

Клиент написал «удалите мои данные» — вы должны сделать это в течение 30 дней. Обрабатывать такой запрос должно назначенное лицо (DPO или владелец), сохраняя запись о выполнении.

4. Уведомлять об утечках

Если произошла утечка данных (украли базу, хакерская атака) — вы обязаны уведомить Уполномоченного в течение 72 часов и клиентов, чьи данные утекли, в течение разумного срока.

5. Назначить ответственное лицо (DPO)

Для компаний, которые обрабатывают чувствительные данные (здоровье, финансы) — обязательно. Для SMB в нише услуг — рекомендовано. Это может быть владелец, если он прошёл базовый тренинг по защите данных.

Как TurboCRM помогает соответствовать требованиям

Честно: TurboCRM — не юридический продукт. Мы не генерируем DPO-отчёты, не заменяем юриста, не проводим compliance-аудит. Но мы предоставляем техническую инфраструктуру для выполнения ключевых требований:

1. Роли и права доступа

Принцип GDPR: данные видят только те сотрудники, кому они нужны. В TurboCRM 4 системные роли (owner, admin, manager, viewer) + 81 granular permission. Менеджер отдела продаж не видит бухгалтерские данные, бухгалтер не видит заметки из переговоров. Это выполнение принципа «need-to-know basis».

2. Аудит-лог

Каждое действие с данными клиента (просмотр карточки, редактирование, экспорт) записывается в audit_log с timestamp, user_id, IP. Если Уполномоченный спросит «кто и когда видел данные клиента Иваненко» — вы можете ответить.

3. Экспорт данных клиента

GDPR-требование: клиент имеет право получить свои данные в структурированном формате (Data Portability). В TurboCRM в карточке клиента есть кнопка «Экспорт» — получаете JSON или CSV со всей историей. Отдаёте клиенту.

4. Удаление клиента (Right to Erasure)

В TurboCRM реализовано как soft delete (клиент перемещается в корзину, данные остаются для восстановления 30 дней) так и hard delete (окончательное удаление из базы). Первое — на случай ошибки, второе — на выполнение GDPR Right to Erasure.

5. HTTPS из коробки

Передача данных между пользователем и сервером TurboCRM — только через HTTPS (TLS 1.3). Это базовое техническое требование для обработки персональных данных.

6. Standalone mode — данные на сервере клиента

Для чувствительных отраслей (медицина, юристы, финансы) в TurboCRM есть standalone режим: вы получаете выделенный сервер на своей инфраструктуре, где находятся ВСЕ данные. Не в нашем облаке, а в вашем data-center или on-premise. Это полный контроль и простое объяснение Уполномоченному: «данные не выезжают за пределы организации».

7. Шифрование полей (Pro/Enterprise планы)

Чувствительные поля (пароли, платёжные карты) шифруются на уровне БД. Даже если кто-то получит доступ к дамп файлу — прочитать не сможет без ключа.

Главный риск для SMB — не штрафы Уполномоченного, а клиентские иски. В 2025 появилось 40% больше жалоб Уполномоченному, чем в 2024. Люди начали знать свои права и активнее ими пользоваться. CRM с полным аудит-логом и экспортом данных — это ваша защита, когда приходит такой запрос. Вы не спорите, вы просто нажимаете кнопку. — Андрей Кравчук, юрист LegalTech.

Чего НЕ делает TurboCRM

Чтобы вы не рассчитывали на нас в тех сферах, где мы не помогаем:

• Не генерируем DPO-отчёты и compliance-документы. Это работа юриста / DPO, а не технического продукта.
• Не определяем, какие данные вы можете хранить. Вы сами (через юриста) решаете классификацию и легальность обработки.
• Не автоматически ставим cookie consent banner на вашем сайте. Сайт — вне CRM, banner надо ставить отдельно (Cookiebot, OneTrust, or self-hosted solution).
• Не даём юридическую консультацию. Наши условия использования — стандартные, не индивидуальные.
• Не анонимизируем автоматически старые данные. Если ваша политика хранения — 3 года, вы сами через отчёты выбираете старые карточки и архивируете/удаляете.

Типовые ошибки украинских SMB

1. Нет Политики конфиденциальности на сайте. Первое, что проверяют при жалобе Уполномоченному.
2. Собирают «на всякий случай». «Укажите дату рождения жены» на форме записи на массаж — это нарушение принципа минимизации.
3. Pre-checked checkbox. Согласие должно быть явным — галочка по умолчанию снята.
4. Не документируют согласие. Галочка поставлена, но ни времени, ни IP, ни версии политики — не сохраняется. Доказать невозможно.
5. Игнорируют запросы клиентов. Клиент написал «удалите меня» — менеджер забыл. Через месяц жалоба Уполномоченному.
6. Хранят чувствительные данные (паспорт, ИНН) в Google Drive или обычном Excel. Утечка зеркальная, доказывать не надо.
7. Забывают о 3rd parties. Используете TurboSMS, WayForPay, Meta Lead Ads — в политике надо указать, с кем вы делитесь данными.

Чек-лист минимальной готовности к проверке

1. Политика конфиденциальности размещена на сайте.
2. На формах регистрации — checkbox согласия (не pre-checked), со ссылкой на политику.
3. Отдельный checkbox для маркетинговых рассылок.
4. CRM с ролями/правами доступа настроена так, что сотрудники видят только свои данные.
5. Аудит-лог включен и хранит историю действий.
6. Процесс удаления клиента документирован (не менеджер «один знает»).
7. Назначено ответственное лицо за обработку персональных данных (DPO или владелец).
8. Договор с подрядчиками (TurboSMS, WayForPay) содержит пункт об обработке персональных данных.
9. Плановый бэкап + восстановление работает и проверяется ежеквартально.
10. Базовый тренинг персонала раз в год.

Когда использовать standalone режим

Standalone TurboCRM (выделенный сервер) выбирают клиенты из:

• Медицинских клиник (соответствие медицинской регуляторной базе);
• Юридических фирм (конфиденциальность клиент-юрист);
• Финансовых сервисов (требования НБУ);
• B2B-клиентов в ЕС с особыми договорами по data residency.

Для обычного SMB (салон красоты, СТО, онлайн-школа) стандартного SaaS TurboCRM вполне достаточно. Наши серверы находятся в Украине, данные не передаются за границу без явной необходимости (кроме случаев типа Telegram Bot API, где данные проходят через их серверы).

FAQ

Могу ли я экспортировать данные клиента «для себя», не для него?

Да — это часть вашей административной работы. Но если вы экспортируете на флешку и несёте куда-то ещё — это уже «передача данных», должна быть документирована.

Могу ли я использовать данные неактивных клиентов?

Только в рамках цели, на которую они дали согласие. Если клиент согласился на «оформление заказов», а вы 2 года спустя шлёте ему рекламу — нарушение.

Как доказать согласие, если клиент говорит «я не соглашался»?

Технический лог с timestamp + IP + версия политики в момент согласия. TurboCRM хранит эту информацию в audit-logs.

Нужно ли согласие для обработки данных сотрудников?

Нет — сотрудников вы обрабатываете на основании трудового договора (законный интерес). Но в политике надо это зафиксировать.

Читайте также

• Автоматизация CRM — роли и права в TurboCRM.
• Миграция с Excel в CRM — безопасный перенос данных.
• CRM для стоматологии — чувствительные медицинские данные.
• Удержание клиентов — маркетинговые рассылки с согласия.
• Kanban-воронка — структура работы с данными.
• Кейс: стоматология «Зубна казка» — GDPR-контекст в клинике.

Ваш SMB хочет быть готовым к проверке Уполномоченного? TurboCRM — 14 дней бесплатно, роли/права доступа, аудит-лог, экспорт/удаление клиента, стандарт HTTPS, опционально standalone режим для чувствительных отраслей. Калькулятор и описание safety-функций — на странице тарифов TurboCRM.