GDPR поширюється на будь-яку компанію у світі, яка обробляє персональні дані мешканців ЄС — незалежно від того, де зареєстрована сама компанія. Якщо ваш SaaS має користувачів з Польщі, ваш інтернет-магазин доставляє до Німеччини або ваша IT-компанія має клієнтів із Нідерландів — GDPR застосовується до вас.
Кому точно потрібно дотримуватись GDPR
GDPR застосовується, якщо виконується хоча б одна умова: ви пропонуєте товари або послуги мешканцям ЄС (навіть безкоштовно) або відстежуєте поведінку мешканців ЄС (Google Analytics, pixel рекламних платформ, cookies).
Тобто майже будь-який сайт з European traffic і cookie-трекерами формально підпадає під дію GDPR. Питання лише в ризику: наглядові органи ЄС фокусуються на великих гравцях, але в 2024–2025 роках кількість розслідувань проти середнього бізнесу зросла.
Мінімальний чеклист для малого і середнього бізнесу
1. Privacy Policy на сайті
Обов'язковий документ. Має містити: які дані збираєте, для чого, як довго зберігаєте, кому передаєте (включно з підрядниками типу Google Analytics, Mailchimp), права суб'єктів даних і контакти DPO або відповідальної особи.
2. Cookie Consent
Банер на сайті, який запитує згоду перед встановленням не-технічних cookies. Аналітичні (GA4) і маркетингові (Facebook Pixel) cookies не можна ставити до отримання згоди. Безкоштовні інструменти: Cookiebot (є вільний план), CookieYes.
3. Data Processing Agreement (DPA)
Якщо ви IT-компанія і обробляєте дані клієнтів (персональні дані їхніх користувачів) — потрібен DPA з кожним клієнтом з ЄС. Це стандартний договір, який визначає хто є controller, хто processor, і зобов'язання кожної сторони. Більшість серйозних ЄС-клієнтів вимагатимуть його ще на стадії onboarding.
4. Право на видалення і доступ до даних
Мешканець ЄС може в будь-який момент запросити: які дані про нього є, видалити їх, перенести в інший сервіс. У вас є 30 днів на відповідь. Технічно це означає, що ваші системи мають вміти знайти і видалити всі дані конкретної людини — в CRM, email-базі, аналітиці, бекапах.
Що найчастіше ігнорують
Підрядники і субпроцесори. Якщо ви передаєте дані підрядникам (хостинг, email-сервіс, CRM), вони теж повинні бути GDPR-compliant, і у вас має бути DPA з кожним з них. Mailchimp, HubSpot, AWS — всі великі платформи мають стандартні DPA, які підписуються в налаштуваннях акаунта.
Бекапи. Якщо клієнт запросив видалення даних, а у вас є бекап з цими даними — технічно ви не виконали запит. Потрібна або процедура видалення з бекапів, або policy, яка визначає терміни автоматичного перезапису.
GDPR — не про штрафи. Це про довіру. ЄС-клієнти і партнери все частіше перевіряють compliance перед укладанням договорів. Privacy Policy і коректний cookie consent — це мінімум, який демонструє, що бізнес серйозний.