Сім принципів захисту даних GDPR на практиці

Більшість команд знають про GDPR. Значно менше людей можуть назвати сім принципів, які визначають, чи є законним щоденне поводження з даними. Ці принципи живуть у статті 5, і регулятори розглядають їх як перевірку, яку має пройти кожна операція з обробки.

Розрив має значення, бо саме на принципах ґрунтується правозастосування. Сукупні штрафи за GDPR перевищили 7,1 млрд євро з травня 2018 року, за даними DLA Piper GDPR Fines and Data Breach Survey (January 2026). Більшість цих штрафів сягають корінням до порушеного принципу: дані зберігали надто довго, збирали без потреби або обробляли без правової підстави.

Цей посібник проходить усі сім принципів, показує звички, що порушують кожен із них, і вказує на інтерактивні вправи, які ваша команда може виконати, щоб відпрацювати правильну поведінку.

Принципи захисту даних GDPR — це сім правил у статті 5, які регулюють, як організації поводяться з персональними даними. Це законність, справедливість і прозорість, обмеження мети, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність, а також підзвітність.

Кожна операція з обробки має одночасно задовольняти всі сім. Перші шість описують, як ви повинні поводитися з персональними даними. Сьомий, підзвітність, покладає тягар доказування на організацію: ви маєте бути здатні продемонструвати відповідність, а не просто її стверджувати.

Ці принципи не абстрактні. Вони безпосередньо відображають рішення, які працівники ухвалюють щодня: які поля додати до форми, як довго зберігати таблицю та чи передати запис про клієнта колезі, який попросив. Одна необережна звичка може порушити принцип навіть тоді, коли жодного зловмисника немає.

Кожен принцип має чіткий намір і поширений спосіб провалу. Таблиця нижче поєднує формулювання статті 5 з робочою поведінкою, що найчастіше його порушує.

Принцип	Що вимагає	Поширений провал
Законність, справедливість, прозорість	Дійсна правова підстава, без прихованої обробки	Обʼєднана згода, темні патерни
Обмеження мети	Використання даних лише із заявленою метою	Перепрофілювання маркетингових даних
Мінімізація даних	Збирати лише потрібне	Надто широкі форми, поля «про всяк випадок»
Точність	Тримати дані правильними та актуальними	Застарілі записи, відсутність виправлення
Обмеження зберігання	Видаляти дані, коли мета вичерпана	Безстрокове зберігання, відсутність видалення
Цілісність і конфіденційність	Захищати дані належними засобами	Слабкі сеанси, незакриті вразливості, надмірний обмін
Підзвітність	Доводити відповідність записами	Відсутність документації та плану реагування

Далі посібник розглядає принципи в тому порядку, у якому команди зазвичай із ними борються, починаючи з тих двох, що привертають найбільше уваги регуляторів.

Цей принцип вимагає правової підстави для кожної операції обробки та чесного інформування про те, що ви робите з персональними даними. Згода, коли ви на неї спираєтеся, має бути вільною, конкретною, поінформованою та однозначною відповідно до статті 7.

Найчастіше порушення — це темний патерн згоди: заздалегідь поставлена позначка, один перемикач, що обʼєднує десять незвʼязаних дозволів, або банер cookie, де «відхилити» сховано на три кліки глибше за «прийняти». Наша вправа про маніпулятивні патерни згоди та обʼєднані дозволи проводить команди через те, як виглядає дійсна згода і де поширені рішення переходять межу.

Прозорість провалюється тихо. Коли політика конфіденційності ховає реальні потоки даних за розпливчастими формулюваннями, принцип порушено, навіть якщо сама обробка законна. Вправа про непрозорі політики конфіденційності показує, як виявити та переписати приховані практики, які позначають регулятори.

Обмеження мети означає, що ви збираєте дані з визначеною, явною метою і не використовуєте їх пізніше для чогось несумісного. Класичне порушення — перепрофілювання: дані підтримки, зібрані для вирішення звернень, потрапляють у маркетингову модель, або кадрові дані, зібрані для нарахування зарплати, опиняються в оцінці продуктивності.

Виправлення радше процедурне, ніж технічне. Перед будь-яким новим використанням наявних даних хтось має запитати, чи охоплювала його початкова мета. Коли ні, потрібна свіжа правова підстава або нова точка збору.

Мінімізація даних — це принцип, за яким ви збираєте та зберігаєте лише ті персональні дані, які вам справді потрібні для конкретної мети, і нічого більше. Це один із найчастіше згадуваних принципів у правозастосуванні, бо надмірний збір так легко довести постфактум.

Інстинкт хапати зайві поля «про всяк випадок» — це місце, де ковзає більшість команд. Форма реєстрації, що запитує дату народження, номер телефону та домашню адресу, коли сервісу потрібна лише електронна пошта, збирає дані, які не може обґрунтувати. Кожне зайве поле — це ризик, який треба захищати, тримати точним і зрештою видалити.

Мінімізація також зменшує наслідки витоку. Дані, яких ви ніколи не збирали, не можуть витекти. Вправа про надмірний збір персональних даних навчає продуктові й операційні команди ставити під сумнів кожне поле форми та зводити збір до мінімуму, якого вимагає мета.

Для команд, що працюють зі структурованими записами, мінімізація поєднується з класифікацією. Знання того, що являє собою кожне поле і навіщо ви його тримаєте, є основою нашого навчання класифікації даних, яке сортує дані за чутливістю, перш ніж ви вирішите, як із ними поводитися.

Захист даних за задумом та за замовчуванням (privacy by design) — це вимога статті 25 вбудовувати захист даних у системи від самого початку, а не прикручувати його пізніше. За замовчуванням мають діяти найбільш захисні налаштування, які застосовуються без жодних дій користувача.

На практиці це означає три речі. Збір за замовчуванням зводиться до мінімуму, зберігання за замовчуванням триває найкоротший період, що служить меті, а доступ за замовчуванням мають найменше людей, яким він потрібен. Система, що постачається з усім відкритим і нічим, що спливає, провалює перевірку замовчування, навіть якщо користувач міг би вручну це звузити.

Два принципи виконують більшу частину роботи за захистом за задумом: обмеження зберігання та безпека.

Обмеження зберігання вимагає видаляти персональні дані, щойно їхня мета вичерпана. Безстрокове зберігання — одна з найпоширеніших знахідок в аудитах, бо видалення рідко є чиєюсь роботою. Вправа про недостатнє видалення персональних даних показує, чому «приберемо пізніше» стає постійним ризиком і як вбудувати видалення в систему.

Точність — це тихіша сестра. Персональні дані мають бути правильними та актуальними, з процесом виправлення помилок, коли людина на них вкаже. Вправа про застарілі та неточні персональні дані розглядає, як застарілі записи завдають реальної шкоди, від хибних кредитних рішень до неправильно спрямованої медичної інформації.

Цілісність і конфіденційність, які часто називають принципом безпеки, вимагають належних технічних та організаційних заходів для захисту персональних даних. Стаття 32 окреслює очікування, і вони охоплюють щоденні інженерні рішення та поводження з даними, а не лише фаєрвол.

Сеанси, що ніколи не закінчуються, — це підручниковий провал. Спільне робоче місце з активним сеансом — це відчинені двері, і вправа про викрадення сеансу через відсутність закінчення терміну показує, як зловмисники крізь них проходять. Незакриті вразливості додатків — інший приклад, який наша вправа про витік конфіденційності через вразливості додатків демонструє від початку до кінця.

Конфіденційність також ламається зсередини. Переслати список клієнтів не тому колезі або на особистий акаунт — це внутрішній витік даних навіть без злого наміру. Вправа про внутрішній витік даних навчає персонал розпізнавати, коли обмін переходить межу, поряд із ширшими звичками з нашого посібника з навчання GDPR для працівників.

Права субʼєктів даних — це практичне втілення прозорості та справедливості. Люди можуть запитати, що ви про них зберігаєте, вимагати виправлень і видалення, а ви маєте відповісти в межах встановленого терміну — одного місяця для більшості запитів.

Запит на доступ до даних, який проігнорували або тихо заблокували, є водночас провалом прав і провалом прозорості. Вправа про блокування запитів на доступ до даних показує, як запит на доступ має проходити через організацію і де команди випадково йому перешкоджають.

Права та підзвітність зустрічаються на витоку. Коли персональні дані розкрито, стаття 33 дає вам 72 години на повідомлення наглядового органу, а серйозні витоки вимагають повідомлення й постраждалих осіб. Вправа про реагування на витік персональних даних репетирує цей відлік, щоб перші 72 години були відпрацьовані, а не імпровізовані.

Принципи провалюються в точці звички, тому навчання має сягати самої звички. Щорічні слайди рідко змінюють те, що людина робить із полем форми чи експортом клієнтів під тиском дедлайну.

Дієві програми роблять три речі. Вони повʼязують кожен принцип із конкретними рішеннями, що їх ухвалює певна роль, використовують коротку сценарну практику замість пасивного відео і документують проходження, щоб принцип підзвітності був задоволений доказами.

Сценарну практику більшість програм пропускають. Прочитати, що мінімізація даних важлива, не формує рефлексу ставити під сумнів поле форми, а проходження реалістичного випадку формує. Повний набір сценаріїв конфіденційності живе в каталозі конфіденційності та відповідності, а регуляторний каркас викладено в нашому посібнику з навчання GDPR.

Для команд, що будують ширшу програму, принципи вписуються у структуру, описану в нашому огляді навчання з відповідності, який охоплює, як конфіденційність стоїть поряд з іншими рамками.

Сім принципів у статті 5 — це законність, справедливість і прозорість; обмеження мети; мінімізація даних; точність; обмеження зберігання; цілісність і конфіденційність; та підзвітність. Перші шість описують, як треба поводитися з персональними даними. Сьомий, підзвітність, вимагає від організації продемонструвати відповідність решті шести через записи та документацію.

Мінімізація даних керує тим, скільки даних ви збираєте: лише те, що потрібне для конкретної мети. Обмеження зберігання керує тим, як довго ви їх тримаєте: видаляйте персональні дані, щойно ця мета вичерпана. Форма, що запитує забагато полів, порушує мінімізацію. База даних, що ніколи не видаляє старі записи, порушує обмеження зберігання.

Так. Стаття 25 робить захист даних за задумом та за замовчуванням юридичним обовʼязком, а не найкращою практикою. Організації мають вбудовувати засоби захисту конфіденційності в системи від самого початку та забезпечувати, щоб найбільш захисні налаштування діяли за замовчуванням, без жодних дій користувача.

Штрафи залежать від того, яке положення порушено. Порушення базових принципів статті 5 належать до вищого рівня, зі штрафами до 20 млн євро або 4% світового річного обороту, залежно від того, що більше. Порушення нижчого рівня тягнуть штрафи до 10 млн євро або 2% обороту. Регулятори також можуть наказати припинити обробку.

Перші шість принципів кажуть, як поводитися з даними. Підзвітність каже довести, що ви це зробили. Вона вимагає записів про обробку, задокументованих правових підстав, графіків зберігання та доказів навчання персоналу. Під час аудиту «ми відповідаємо» недостатньо; ви маєте показати документацію, яка це підтверджує.

Більшість наглядових настанов читають «регулярно» як щонайменше щорічно, з доповненнями за подіями після витоку, зміни процесу чи нової системи, що обробляє персональні дані. Короткі рольові оновлення кожні кілька місяців запамʼятовуються краще за одне довге щорічне заняття та дають записи про проходження, яких очікує принцип підзвітності.

Правозастосування GDPR карає не за незнання закону. Воно карає за порушені принципи, а порушення зазвичай починаються зі звичайної звички: форма із зайвими полями, запис, який ніхто не видалив, сеанс, залишений відкритим на спільній машині.

Сукупні штрафи понад 7,1 млрд євро та середня вартість витоку 4,44 млн доларів США (IBM Cost of a Data Breach Report 2025) роблять цю арифметику важко ігнорувати. Навчання, що повʼязує кожен принцип із щоденним рішенням за ним, є найдешевшим засобом контролю, який ви маєте.

Якщо хочете побачити, як сценарна практика перетворює статтю 5 на поведінку, перегляньте каталог конфіденційності та відповідності або замовте демонстрацію з нашою командою.

• Regulation (EU) 2016/679 (GDPR), Article 5 - Official Journal
• GDPR Article 25: Data protection by design and by default
• DLA Piper GDPR Fines and Data Breach Survey (January 2026)
• IBM Cost of a Data Breach Report 2025