GDPR-підготовка для роботи з ЄС: карта даних, privacy-документи, договори з підрядниками, трансфери даних і процеси для проходження перевірок клієнтів.
GDPR — це не «про папірці», а про довіру, швидкість угод і готовність бізнесу до вимог клієнтів. Коли у privacy або безпеці даних є прогалини, контракт можуть зупинити, ускладнити додатковими вимогами або переглянути його умови.
Ми допомагаємо перетворити GDPR із потенційної перешкоди для угод на зрозумілу систему, що підсилює довіру до бізнесу. Ви отримуєте документи й процеси, які допомагають швидше проходити перевірки партнерів, відповідати на GDPR questionnaires, впевненіше працювати з підрядниками та зменшувати ризик затримок, додаткових вимог або перегляду умов контракту.
Супроводжуємо технологічні та міжнародні бізнеси, для яких персональні дані є частиною продукту, продажів або операційної моделі. На консультації виявимо критичні прогалини і сформуємо пріоритетний план дій — від базових документів до підготовки до due diligence, вимог банків, PSP чи інвесторів.
Включає первинну оцінку ризиків, Privacy Policy, Cookie Policy, рекомендації щодо cookie banner, DPA-шаблон і консультацію юриста. Базовий комплект для запуску сайту, MVP або простого e-commerce-проєкту.
Включає GDPR-аудит, карту даних і RoPA, Privacy Policy, Cookie Policy, DPA та vendor clauses. Також — процедури DSAR і реагування на інциденти, retention matrix, risk memo та воркшоп для команди.
Включає розширений аудит і повну карту потоків даних, внутрішні політики та документи для команди. SCC за потреби, DPIA screening і один DPIA, risk matrix, roadmap на 3–6 місяців та два воркшопи.
робочий GDPR-пакет для партнерів, інвесторів, банків і PSP
GDPR Pro / Investor Ready
від 5 000 EUR
25-35 р.д.
FinTech, HealthTech, EdTech, AI/ML, HR-tech, проєкти з due diligence
повноцінна GDPR-система з risk matrix і roadmap
Пакет 1 — GDPR Start
Ціна: від 900 EUR | Строк: 7–10 робочих днів
Для кого: малий бізнес, сайти, лендинги, прості e-commerce-проєкти, MVP, сервіси без складної обробки персональних даних і без значного обсягу користувачів з ЄС.
Детальніше про пакет
Блок
Що робимо
Результат для клієнта
Первинний чеклист
Перевірка бізнес-моделі, сайту або продукту та базових точок збору даних.
Розуміння мінімального рівня GDPR-ризику.
Privacy Policy
Підготовка базової політики конфіденційності під сайт або продукт.
Документ для публікації на сайті чи в застосунку.
Cookie Policy
Базова політика cookies і tracking technologies.
Зрозумілий опис використання cookies.
Cookie banner
Рекомендації щодо структури cookie banner без технічного налаштування.
Розуміння, як банер має виглядати юридично.
DPA template
Шаблон Data Processing Agreement для підрядників і процесорів.
Базовий договірний інструмент.
Consultation
Одна консультація до 60 хвилин.
Розбір питань клієнта і наступних кроків.
Результат: клієнт отримує мінімальний комплект документів і розуміння базових ризиків. Пакет підходить для швидкого старту, але не закриває складні процеси обробки даних.
Не входить: глибокий аудит процесів, DPIA, TIA, транскордонні передачі, переговори з контрагентами, технічне налаштування cookie banner.
Пакет 2 — GDPR Business
Ціна: від 2 500 EUR | Строк: 15–20 робочих днів
Для кого: SaaS, e-commerce, маркетплейси, IT-компанії, агентства, компанії з клієнтами або користувачами з ЄС, яким потрібен не лише набір документів, а зрозуміла compliance-структура.
Детальніше про пакет
Блок
Що робимо
Результат для клієнта
GDPR-аудит
Аналіз бізнес-моделі, потоків даних та основних точок ризику.
Робоча картина того, де і навіщо обробляються дані.
Roles mapping
Визначення ролей controller / processor / joint controller.
Розуміння договірної та regulatory відповідальності.
Data map
Карта обробки персональних даних.
Основа для внутрішніх процесів і переговорів із контрагентами.
RoPA
Record of Processing Activities.
Базовий реєстр операцій обробки.
Core documents
Privacy Policy, Cookie Policy, Data Processing Agreement.
Основний комплект зовнішніх документів.
Vendor clauses
Базові договірні положення для підрядників і процесорів.
Захист у договорах із постачальниками.
DSAR procedure
Процедура обробки запитів суб’єктів даних.
Порядок відповіді на access / deletion / portability / objection requests.
Data breach procedure
Процедура реагування на інциденти.
Алгоритм дій при витоку або порушенні безпеки.
Retention matrix
Матриця строків зберігання даних.
Контроль зберігання та видалення даних.
Risk memo
Короткий меморандум щодо ключових юридичних ризиків.
Зрозуміла карта ризиків для менеджменту.
Workshop
Один внутрішній дзвінок або воркшоп до 90 хвилин.
Передача логіки команді клієнта.
Результат: клієнт отримує робочий GDPR-пакет, який можна показувати партнерам, інвесторам, банкам, платіжним провайдерам і великим контрагентам.
Не входить: DPIA, TIA, EU representative, DPO-as-a-Service, локальний висновок юриста конкретної країни ЄС.
Пакет 3 — GDPR Pro / Investor Ready
Ціна: від 5 000 EUR | Строк: 25–35 робочих днів
Для кого: компанії з активними продажами в ЄС, FinTech, HealthTech, EdTech, AI/ML, HR-tech, маркетплейси, сервіси з великим обсягом користувацьких даних або підготовкою до due diligence.
Детальніше про пакет
Блок
Що робимо
Результат для клієнта
Extended audit
Розширений GDPR-аудит та інтерв’ю з ключовими членами команди.
Реальна картина процесів, а не «політики заради політик».
Data flows
Повна карта потоків даних і ключових систем.
Розуміння маршруту даних усередині та поза компанією.
RoPA
Record of Processing Activities.
Формалізований реєстр операцій обробки.
Core documents
Privacy Policy, Cookie Policy, Data Processing Agreement.
Зовнішній compliance-комплект.
Vendor DPA
Vendor Data Protection Addendum.
Контроль підрядників і процесорів.
Transfers
Шаблон SCC або transfer clauses за потреби.
База для non-EEA передач даних.
DPIA screening
Оцінка необхідності DPIA.
Розуміння high-risk processing.
DPIA
Один DPIA для одного ключового процесу.
Документована оцінка ризику щодо критичного процесу.
Policies
Data breach procedure, DSAR procedure, retention policy, internal data protection policy.
Внутрішній порядок роботи з даними.
Employees
Employee privacy notice.
Документ для персоналу та contractors.
Security checklist
Basic technical and organisational measures checklist.
Базова зв’язка legal + security.
Risk matrix
GDPR risk matrix.
Пріоритизація ризиків.
Roadmap
Compliance roadmap на 3–6 місяців.
Покроковий план впровадження.
Workshops
Дві консультації або воркшопи для команди.
Передача моделі клієнту.
Результат: клієнт отримує не просто документи, а повноцінну GDPR-систему, придатну для due diligence, роботи з великими партнерами, інвесторами та міжнародними контрагентами.
Не входить: офіційне призначення DPO, постійний супровід, локальні реєстрації або комунікація із supervisory authority, технічна імплементація IT-рішень.
Порівняння GDPR-пакетів
Що входить
GDPR Start
GDPR Business
GDPR Pro / Investor Ready
Вартість
від 900 €
від 2 500 €
від 5 000 €
Орієнтовний строк
7–10 робочих днів
15–20 робочих днів
25–35 робочих днів
Кому підходить
Лендинги, MVP, невеликі сайти, прості e-commerce-проєкти.
Перевіримо, яких документів і процесів бракує, та допоможемо підготуватися до запиту клієнта, GDPR questionnaire, DPA або перевірки партнера — без хаотичного створення політик під дедлайн.
Спеціалізується на GDPR, захисті персональних даних і юридичному супроводі технологічних та міжнародних проєктів. Допомагає бізнесу підготувати privacy-документи, DPA, процеси роботи з підрядниками, міжнародні трансфери даних і матеріали для due diligence
Коли GDPR може застосовуватися, навіть якщо Ви не в ЄС
GDPR може поширюватися на бізнес поза межами ЄС, якщо він пропонує товари або послуги людям, які перебувають у ЄС, або відстежує їхню поведінку. Важлива не лише країна реєстрації компанії, а й фактична модель роботи з європейською аудиторією.
Ви пропонуєте товари або послуги в ЄС: наприклад, SaaS, мобільний застосунок, e-commerce, підписку або онлайн-сервіс.
Ви відстежуєте поведінку користувачів: через аналітику, профайлінг, cookies, рекламні ідентифікатори, SDK або інші tracking-інструменти.
Швидка самооцінка
У Вас є клієнти або користувачі з ЄС?
Сайт чи застосунок має ціни в євро, доставку до ЄС або локалізацію мовами країн ЄС?
Ви використовуєте cookies, SDK, аналітику, рекламу або профайлінг?
Якщо хоча б на одне питання відповідь «так», це привід провести оцінку застосовності GDPR. Один індикатор не завжди означає автоматичну дію Регламенту, але ігнорувати його вже ризиковано.
Що найчастіше зупиняє угоди та GDPR-перевірки
На практиці проблеми виникають не через відсутність одного документа, а через розрив між політиками, договорами та реальними процесами бізнесу.
Немає карти даних: незрозуміло, які дані збираються, навіщо, де зберігаються та кому передаються.
Не визначені ролі: компанія не розуміє, коли вона controller, processor або joint controller.
Відсутні DPA чи інші договірні умови: із хмарними сервісами, CRM, аналітикою, сапортом, платіжними провайдерами та іншими підрядниками.
Не врегульовані трансфери даних: персональні дані передаються за межі ЄС/ЄЕЗ без належного механізму чи оцінки ризиків.
Немає DSAR-процесу: команда не знає, як реагувати на запити щодо доступу, видалення, перенесення чи заперечення проти обробки даних.
Немає сценарію інцидентів: відсутній зрозумілий порядок дій при витоку або порушенні безпеки даних.
Ролі: controller, processor та joint controller
Правильно визначена роль — основа для договорів, політик, відповідальності та архітектури GDPR-документів.
Controller: визначає, навіщо і яким чином обробляються персональні дані.
Processor: обробляє дані від імені controller та за його інструкціями.
Joint controllers: дві або більше сторін спільно визначають цілі та ключові засоби обробки даних.
Приклад для SaaS
Якщо клієнт завантажує у Ваш сервіс контакти своїх користувачів, клієнт часто є controller, а SaaS-компанія — processor.
Якщо Ви збираєте дані користувачів для власного маркетингу, аналітики або продажів, Ви зазвичай дієте як controller.
Практичний каркас GDPR-підготовки: 10 напрямів
Data mapping. Визначаємо, які дані обробляються, звідки вони надходять, де зберігаються та кому передаються.
RoPA. За потреби готуємо або оновлюємо реєстр операцій обробки: цілі, категорії даних, строки зберігання, отримувачі, трансфери та заходи безпеки.
Lawful basis. Визначаємо правову підставу для кожного ключового процесу: договір, юридичний обов’язок, законний інтерес, згода тощо.
Прозорість. Готуємо Privacy Notice, Cookie Notice та інші документи, які пояснюють користувачу, як саме працює обробка даних.
Cookie та tracking management. Перевіряємо банер, логіку згоди та використання аналітичних або рекламних інструментів.
Вендори та договори. Готуємо DPA, vendor clauses та інші договірні механізми для роботи з підрядниками і процесорами.
Права суб’єктів даних. Вибудовуємо DSAR-процес і шаблони відповідей на типові запити користувачів.
Безпека та інциденти. Формуємо базові правила доступу, реагування на інциденти та внутрішню логіку ескалації.
DPIA. Оцінюємо, чи потребує конкретний процес Data Protection Impact Assessment через високий ризик для прав і свобод користувачів.
Трансфери даних. Аналізуємо передачі за межі ЄС/ЄЕЗ та визначаємо належний механізм: adequacy decision, SCC, DPF або інші гарантії залежно від ситуації.
Трансфери даних: SCC, DPF та TIA
Якщо персональні дані передаються за межі ЄС/ЄЕЗ, потрібно оцінити маршрут даних, отримувача та юридичний механізм передачі.
Adequacy decision: для окремих країн або механізмів, які Європейська Комісія визнала такими, що забезпечують належний рівень захисту.
EU–US Data Privacy Framework: може застосовуватися до американських компаній, які беруть участь у Framework.
Standard Contractual Clauses: використовуються, коли для передачі немає відповідного adequacy mechanism.
Transfer Impact Assessment: допомагає оцінити ризики конкретного трансферу та потребу в додаткових заходах захисту.
Документи без реального процесу не вирішують проблему. Якщо дані фактично передаються через CRM, хмару, аналітику або support-сервіси, це має бути відображено у карті даних, договорах і внутрішніх процедурах.
Штрафи та комерційні ризики
За окремі порушення GDPR можуть застосовуватися адміністративні штрафи до 20 млн євро або 4% загального світового річного обороту за попередній фінансовий рік — залежно від того, яка сума більша.
Для бізнесу практичний ризик часто виникає раніше: перевірка з боку клієнта, банку, PSP, інвестора або великого контрагента може затримати угоду, збільшити обсяг юридичних запитів чи змінити умови співпраці.
Як допомагає Prikhodko & Partners
Аналізуємо реальні процеси роботи з персональними даними та готуємо документи й процедури, які можна використовувати у роботі з клієнтами, підрядниками та під час перевірок.
Аудит і карта даних: джерела, системи, вендори, трансфери та ключові ризики.
Ролі і договори: controller / processor, DPA та умови для підрядників і субпроцесорів.
Політики та внутрішні процеси: Privacy Notice, Cookie Notice, retention, DSAR і реагування на інциденти.
Складні кейси: SCC / DPF, міжнародні трансфери та DPIA — за потреби.
GDPR — це як ремінь безпеки: здається зайвим рівно до першого різкого гальмування. Краще, щоб він був Вашим, а не нав’язаним юристом клієнта в момент, коли угоду вже “майже підписали”.
Часті питання
Чи застосовується GDPR до української компанії?
GDPR може застосовуватися до бізнесу поза ЄС, якщо компанія пропонує товари чи послуги людям у ЄС або відстежує їхню поведінку через аналітику, cookies, рекламні інструменти, SDK чи профайлінг. Остаточна оцінка залежить від реальної моделі роботи, аудиторії та процесів обробки даних.
Які документи потрібні для базової GDPR-підготовки?
Для сайту, MVP або простого e-commerce-проєкту зазвичай потрібні Privacy Policy, Cookie Policy, юридично коректна логіка cookie banner, базовий DPA-шаблон для підрядників і первинна оцінка ризиків. Для операційного бізнесу перелік доповнюється картою даних, RoPA, DSAR-процедурою, retention policy та планом реагування на інциденти.
Чим DPA відрізняється від SCC?
DPA регулює відносини між компанією та підрядником, який обробляє персональні дані від її імені. SCC використовуються як один із механізмів для передачі персональних даних за межі ЄС / ЄЕЗ. В окремих проєктах можуть бути потрібні обидва документи.
Коли компанії потрібні DPIA та TIA?
DPIA може бути потрібна для процесів із високим ризиком для прав і свобод людей, зокрема при роботі з чутливими даними, профайлінгом або масштабною обробкою даних. TIA застосовується для оцінки ризиків міжнародної передачі даних, зокрема при роботі з постачальниками за межами ЄС / ЄЕЗ.
Чи можна просто використати готові GDPR-шаблони?
Готові шаблони можуть бути стартовою точкою, але самі по собі не створюють GDPR-відповідність. Документи мають відповідати фактичним процесам компанії, складу вендорів, ролі бізнесу як controller або processor, способам збору даних і міжнародним трансферам.
Ми працюємо Понеділок - Пʼятниця з 9:30 до 18:00. Якщо Ви залишили заявку після 18:00 в будні дні - ми звʼяжемося з Вами наступного робочого дня починаючи з 9:30.