GDPR комплаєнс для бізнесу

GDPR-підготовка для роботи з ЄС: карта даних, privacy-документи, договори з підрядниками, трансфери даних і процеси для проходження перевірок клієнтів.

GDPR — це не «про папірці», а про довіру, швидкість угод і готовність бізнесу до вимог клієнтів. Коли у privacy або безпеці даних є прогалини, контракт можуть зупинити, ускладнити додатковими вимогами або переглянути його умови.

Ми допомагаємо перетворити GDPR із потенційної перешкоди для угод на зрозумілу систему, що підсилює довіру до бізнесу. Ви отримуєте документи й процеси, які допомагають швидше проходити перевірки партнерів, відповідати на GDPR questionnaires, впевненіше працювати з підрядниками та зменшувати ризик затримок, додаткових вимог або перегляду умов контракту.

Супроводжуємо технологічні та міжнародні бізнеси, для яких персональні дані є частиною продукту, продажів або операційної моделі. На консультації виявимо критичні прогалини і сформуємо пріоритетний план дій — від базових документів до підготовки до due diligence, вимог банків, PSP чи інвесторів.

Пакети GDPR Compliance

Швидка логіка пакетів

Пакет Ціна Строк Кому підходить Ключовий результат
GDPR Start від 900 EUR 7-10 р.д. малий бізнес, лендинги, MVP, прості e-commerce проєкти мінімальний комплект документів і базова карта ризиків
GDPR Business від 2 500 EUR 15-20 р.д. SaaS, e-commerce, маркетплейси, IT-компанії, агентства робочий GDPR-пакет для партнерів, інвесторів, банків і PSP
GDPR Pro / Investor Ready від 5 000 EUR 25-35 р.д. FinTech, HealthTech, EdTech, AI/ML, HR-tech, проєкти з due diligence повноцінна GDPR-система з risk matrix і roadmap

Пакет 1 — GDPR Start

Ціна: від 900 EUR | Строк: 7–10 робочих днів

Для кого: малий бізнес, сайти, лендинги, прості e-commerce-проєкти, MVP, сервіси без складної обробки персональних даних і без значного обсягу користувачів з ЄС.

Детальніше про пакет

 

Блок Що робимо Результат для клієнта
Первинний чеклист Перевірка бізнес-моделі, сайту або продукту та базових точок збору даних. Розуміння мінімального рівня GDPR-ризику.
Privacy Policy Підготовка базової політики конфіденційності під сайт або продукт. Документ для публікації на сайті чи в застосунку.
Cookie Policy Базова політика cookies і tracking technologies. Зрозумілий опис використання cookies.
Cookie banner Рекомендації щодо структури cookie banner без технічного налаштування. Розуміння, як банер має виглядати юридично.
DPA template Шаблон Data Processing Agreement для підрядників і процесорів. Базовий договірний інструмент.
Consultation Одна консультація до 60 хвилин. Розбір питань клієнта і наступних кроків.

Результат: клієнт отримує мінімальний комплект документів і розуміння базових ризиків. Пакет підходить для швидкого старту, але не закриває складні процеси обробки даних.

Не входить: глибокий аудит процесів, DPIA, TIA, транскордонні передачі, переговори з контрагентами, технічне налаштування cookie banner.

Пакет 2 — GDPR Business

Ціна: від 2 500 EUR | Строк: 15–20 робочих днів

Для кого: SaaS, e-commerce, маркетплейси, IT-компанії, агентства, компанії з клієнтами або користувачами з ЄС, яким потрібен не лише набір документів, а зрозуміла compliance-структура.

Детальніше про пакет

 

Блок Що робимо Результат для клієнта
GDPR-аудит Аналіз бізнес-моделі, потоків даних та основних точок ризику. Робоча картина того, де і навіщо обробляються дані.
Roles mapping Визначення ролей controller / processor / joint controller. Розуміння договірної та regulatory відповідальності.
Data map Карта обробки персональних даних. Основа для внутрішніх процесів і переговорів із контрагентами.
RoPA Record of Processing Activities. Базовий реєстр операцій обробки.
Core documents Privacy Policy, Cookie Policy, Data Processing Agreement. Основний комплект зовнішніх документів.
Vendor clauses Базові договірні положення для підрядників і процесорів. Захист у договорах із постачальниками.
DSAR procedure Процедура обробки запитів суб’єктів даних. Порядок відповіді на access / deletion / portability / objection requests.
Data breach procedure Процедура реагування на інциденти. Алгоритм дій при витоку або порушенні безпеки.
Retention matrix Матриця строків зберігання даних. Контроль зберігання та видалення даних.
Risk memo Короткий меморандум щодо ключових юридичних ризиків. Зрозуміла карта ризиків для менеджменту.
Workshop Один внутрішній дзвінок або воркшоп до 90 хвилин. Передача логіки команді клієнта.

Результат: клієнт отримує робочий GDPR-пакет, який можна показувати партнерам, інвесторам, банкам, платіжним провайдерам і великим контрагентам.

Не входить: DPIA, TIA, EU representative, DPO-as-a-Service, локальний висновок юриста конкретної країни ЄС.

Пакет 3 — GDPR Pro / Investor Ready

Ціна: від 5 000 EUR | Строк: 25–35 робочих днів

Для кого: компанії з активними продажами в ЄС, FinTech, HealthTech, EdTech, AI/ML, HR-tech, маркетплейси, сервіси з великим обсягом користувацьких даних або підготовкою до due diligence.

Детальніше про пакет

 

Блок Що робимо Результат для клієнта
Extended audit Розширений GDPR-аудит та інтерв’ю з ключовими членами команди. Реальна картина процесів, а не «політики заради політик».
Data flows Повна карта потоків даних і ключових систем. Розуміння маршруту даних усередині та поза компанією.
RoPA Record of Processing Activities. Формалізований реєстр операцій обробки.
Core documents Privacy Policy, Cookie Policy, Data Processing Agreement. Зовнішній compliance-комплект.
Vendor DPA Vendor Data Protection Addendum. Контроль підрядників і процесорів.
Transfers Шаблон SCC або transfer clauses за потреби. База для non-EEA передач даних.
DPIA screening Оцінка необхідності DPIA. Розуміння high-risk processing.
DPIA Один DPIA для одного ключового процесу. Документована оцінка ризику щодо критичного процесу.
Policies Data breach procedure, DSAR procedure, retention policy, internal data protection policy. Внутрішній порядок роботи з даними.
Employees Employee privacy notice. Документ для персоналу та contractors.
Security checklist Basic technical and organisational measures checklist. Базова зв’язка legal + security.
Risk matrix GDPR risk matrix. Пріоритизація ризиків.
Roadmap Compliance roadmap на 3–6 місяців. Покроковий план впровадження.
Workshops Дві консультації або воркшопи для команди. Передача моделі клієнту.

Результат: клієнт отримує не просто документи, а повноцінну GDPR-систему, придатну для due diligence, роботи з великими партнерами, інвесторами та міжнародними контрагентами.

Не входить: офіційне призначення DPO, постійний супровід, локальні реєстрації або комунікація із supervisory authority, технічна імплементація IT-рішень.

Порівняння GDPR-пакетів

Що входить GDPR Start GDPR Business GDPR Pro / Investor Ready
Вартість від 900 € від 2 500 € від 5 000 €
Орієнтовний строк 7–10 робочих днів 15–20 робочих днів 25–35 робочих днів
Кому підходить Лендинги, MVP, невеликі сайти, прості e-commerce-проєкти. SaaS, e-commerce, маркетплейси, IT-компанії, агентства. FinTech, HealthTech, EdTech, AI/ML, HR-tech, проєкти з due diligence.
Оцінка бізнес-моделі та ризиків Базовий чеклист GDPR-аудит Розширений аудит та інтерв’ю з командою
Карта даних / потоків даних Повна карта потоків даних
Privacy Policy та Cookie Policy
Cookie banner Юридичні рекомендації Юридичні рекомендації Юридичні рекомендації
DPA та документи для підрядників DPA-шаблон DPA + vendor clauses DPA + Vendor DPA
RoPA — реєстр обробки даних
DSAR-процедура
Процедура реагування на data breach
Політика / матриця строків зберігання
Міжнародні трансфери даних SCC / transfer clauses за потреби
DPIA DPIA screening + 1 DPIA
Внутрішні політики та документи для персоналу Базові процедури Internal policy + Employee Privacy Notice
Risk memo / risk matrix / roadmap Базові рекомендації Risk memo Risk matrix + roadmap на 3–6 місяців
Консультації / воркшопи 1 консультація до 60 хв. 1 воркшоп до 90 хв. 2 консультації / воркшопи

Ціни на додаткові послуги

Наші клієнти

Потрібно підготувати бізнес до GDPR?

Перевіримо, яких документів і процесів бракує, та допоможемо підготуватися до запиту клієнта, GDPR questionnaire, DPA або перевірки партнера — без хаотичного створення політик під дедлайн.
Обговорити запит з юристом
Спеціалізується на GDPR, захисті персональних даних і юридичному супроводі технологічних та міжнародних проєктів. Допомагає бізнесу підготувати privacy-документи, DPA, процеси роботи з підрядниками, міжнародні трансфери даних і матеріали для due diligence

Коли GDPR може застосовуватися, навіть якщо Ви не в ЄС

GDPR може поширюватися на бізнес поза межами ЄС, якщо він пропонує товари або послуги людям, які перебувають у ЄС, або відстежує їхню поведінку. Важлива не лише країна реєстрації компанії, а й фактична модель роботи з європейською аудиторією.

  • Ви пропонуєте товари або послуги в ЄС: наприклад, SaaS, мобільний застосунок, e-commerce, підписку або онлайн-сервіс.
  • Ви відстежуєте поведінку користувачів: через аналітику, профайлінг, cookies, рекламні ідентифікатори, SDK або інші tracking-інструменти.

Швидка самооцінка

  • У Вас є клієнти або користувачі з ЄС?
  • Сайт чи застосунок має ціни в євро, доставку до ЄС або локалізацію мовами країн ЄС?
  • Ви використовуєте cookies, SDK, аналітику, рекламу або профайлінг?

Якщо хоча б на одне питання відповідь «так», це привід провести оцінку застосовності GDPR. Один індикатор не завжди означає автоматичну дію Регламенту, але ігнорувати його вже ризиковано.

Що найчастіше зупиняє угоди та GDPR-перевірки

На практиці проблеми виникають не через відсутність одного документа, а через розрив між політиками, договорами та реальними процесами бізнесу.

  • Немає карти даних: незрозуміло, які дані збираються, навіщо, де зберігаються та кому передаються.
  • Не визначені ролі: компанія не розуміє, коли вона controller, processor або joint controller.
  • Відсутні DPA чи інші договірні умови: із хмарними сервісами, CRM, аналітикою, сапортом, платіжними провайдерами та іншими підрядниками.
  • Не врегульовані трансфери даних: персональні дані передаються за межі ЄС/ЄЕЗ без належного механізму чи оцінки ризиків.
  • Немає DSAR-процесу: команда не знає, як реагувати на запити щодо доступу, видалення, перенесення чи заперечення проти обробки даних.
  • Немає сценарію інцидентів: відсутній зрозумілий порядок дій при витоку або порушенні безпеки даних.

Ролі: controller, processor та joint controller

Правильно визначена роль — основа для договорів, політик, відповідальності та архітектури GDPR-документів.

Controller: визначає, навіщо і яким чином обробляються персональні дані.

Processor: обробляє дані від імені controller та за його інструкціями.

Joint controllers: дві або більше сторін спільно визначають цілі та ключові засоби обробки даних.

Приклад для SaaS

  • Якщо клієнт завантажує у Ваш сервіс контакти своїх користувачів, клієнт часто є controller, а SaaS-компанія — processor.
  • Якщо Ви збираєте дані користувачів для власного маркетингу, аналітики або продажів, Ви зазвичай дієте як controller.

Практичний каркас GDPR-підготовки: 10 напрямів

  1. Data mapping. Визначаємо, які дані обробляються, звідки вони надходять, де зберігаються та кому передаються.
  2. RoPA. За потреби готуємо або оновлюємо реєстр операцій обробки: цілі, категорії даних, строки зберігання, отримувачі, трансфери та заходи безпеки.
  3. Lawful basis. Визначаємо правову підставу для кожного ключового процесу: договір, юридичний обов’язок, законний інтерес, згода тощо.
  4. Прозорість. Готуємо Privacy Notice, Cookie Notice та інші документи, які пояснюють користувачу, як саме працює обробка даних.
  5. Cookie та tracking management. Перевіряємо банер, логіку згоди та використання аналітичних або рекламних інструментів.
  6. Вендори та договори. Готуємо DPA, vendor clauses та інші договірні механізми для роботи з підрядниками і процесорами.
  7. Права суб’єктів даних. Вибудовуємо DSAR-процес і шаблони відповідей на типові запити користувачів.
  8. Безпека та інциденти. Формуємо базові правила доступу, реагування на інциденти та внутрішню логіку ескалації.
  9. DPIA. Оцінюємо, чи потребує конкретний процес Data Protection Impact Assessment через високий ризик для прав і свобод користувачів.
  10. Трансфери даних. Аналізуємо передачі за межі ЄС/ЄЕЗ та визначаємо належний механізм: adequacy decision, SCC, DPF або інші гарантії залежно від ситуації.

gdpr compliance

Трансфери даних: SCC, DPF та TIA

Якщо персональні дані передаються за межі ЄС/ЄЕЗ, потрібно оцінити маршрут даних, отримувача та юридичний механізм передачі.

  • Adequacy decision: для окремих країн або механізмів, які Європейська Комісія визнала такими, що забезпечують належний рівень захисту.
  • EU–US Data Privacy Framework: може застосовуватися до американських компаній, які беруть участь у Framework.
  • Standard Contractual Clauses: використовуються, коли для передачі немає відповідного adequacy mechanism.
  • Transfer Impact Assessment: допомагає оцінити ризики конкретного трансферу та потребу в додаткових заходах захисту.

Документи без реального процесу не вирішують проблему. Якщо дані фактично передаються через CRM, хмару, аналітику або support-сервіси, це має бути відображено у карті даних, договорах і внутрішніх процедурах.

Штрафи та комерційні ризики

За окремі порушення GDPR можуть застосовуватися адміністративні штрафи до 20 млн євро або 4% загального світового річного обороту за попередній фінансовий рік — залежно від того, яка сума більша.

Для бізнесу практичний ризик часто виникає раніше: перевірка з боку клієнта, банку, PSP, інвестора або великого контрагента може затримати угоду, збільшити обсяг юридичних запитів чи змінити умови співпраці.

Як допомагає Prikhodko & Partners

Аналізуємо реальні процеси роботи з персональними даними та готуємо документи й процедури, які можна використовувати у роботі з клієнтами, підрядниками та під час перевірок.

  • Аудит і карта даних: джерела, системи, вендори, трансфери та ключові ризики.
  • Ролі і договори: controller / processor, DPA та умови для підрядників і субпроцесорів.
  • Політики та внутрішні процеси: Privacy Notice, Cookie Notice, retention, DSAR і реагування на інциденти.
  • Складні кейси: SCC / DPF, міжнародні трансфери та DPIA — за потреби.

GDPR — це як ремінь безпеки: здається зайвим рівно до першого різкого гальмування. Краще, щоб він був Вашим, а не нав’язаним юристом клієнта в момент, коли угоду вже “майже підписали”.

Часті питання

Чи застосовується GDPR до української компанії?

GDPR може застосовуватися до бізнесу поза ЄС, якщо компанія пропонує товари чи послуги людям у ЄС або відстежує їхню поведінку через аналітику, cookies, рекламні інструменти, SDK чи профайлінг. Остаточна оцінка залежить від реальної моделі роботи, аудиторії та процесів обробки даних.

Які документи потрібні для базової GDPR-підготовки?

Для сайту, MVP або простого e-commerce-проєкту зазвичай потрібні Privacy Policy, Cookie Policy, юридично коректна логіка cookie banner, базовий DPA-шаблон для підрядників і первинна оцінка ризиків. Для операційного бізнесу перелік доповнюється картою даних, RoPA, DSAR-процедурою, retention policy та планом реагування на інциденти.

Чим DPA відрізняється від SCC?

DPA регулює відносини між компанією та підрядником, який обробляє персональні дані від її імені. SCC використовуються як один із механізмів для передачі персональних даних за межі ЄС / ЄЕЗ. В окремих проєктах можуть бути потрібні обидва документи.

Коли компанії потрібні DPIA та TIA?

DPIA може бути потрібна для процесів із високим ризиком для прав і свобод людей, зокрема при роботі з чутливими даними, профайлінгом або масштабною обробкою даних. TIA застосовується для оцінки ризиків міжнародної передачі даних, зокрема при роботі з постачальниками за межами ЄС / ЄЕЗ.

Чи можна просто використати готові GDPR-шаблони?

Готові шаблони можуть бути стартовою точкою, але самі по собі не створюють GDPR-відповідність. Документи мають відповідати фактичним процесам компанії, складу вендорів, ролі бізнесу як controller або processor, способам збору даних і міжнародним трансферам.

Наші нагороди

Потрібна професійна консультація юриста щодо GDPR компланєсу?

Надішліть заявку, і ми передзвонимо Вам:
Або зателефонуйте нам особисто:
Надсилаючи цю форму, Ви погоджуєтесь з політикою конфіденційності та використання даних на цьому сайті.