В епоху цифрової економіки наші дані стали однією з найцінніших валют. У зв’язку з цим законодавство про захист персональних даних набуває особливої ваги, перетворюючись на головний інструмент контролю над власним цифровим слідом. Хто має право збирати вашу інформацію? Як ви можете вимагати її видалення? І які багатомільйонні штрафи загрожують тим, хто ігнорує ці правила? У всіх цих питаннях розбирався «Дніпро Оперативний».
Що відноситься до персональних даних
Персональні дані — це будь-яка інформація, що прямо або опосередковано відноситься до конкретної фізичної особи (ПІБ, ідентифікаційні номери, адреси, телефон, фото, IP у певних контекстах тощо). Є окрема категорія чутливих (особливих) даних — расове/етнічне походження, політичні/релігійні переконання, дані про здоров’я, статеве життя тощо. Обробка таких даних суворо обмежена й допускається лише за спеціальних підстав, передбачених законом.
Закон України «Про захист персональних даних»
Станом на 2025 рік чинним є Закон України «Про захист персональних даних» (№ 2297-VI). Однак ключовою зміною є очікуване прийняття нового Закону (на основі законопроєкту №8153), який:
- Адаптує законодавство до стандартів GDPR та Конвенції 108+.
- Встановлює нові, більш суворі вимоги до отримання згоди на обробку: згода має бути явно вираженою (активна дія, а не бездіяльність), конкретною, добровільною та інформованою.
- Врегульовує особливості обробки даних у сфері трудових відносин, правоохоронної діяльності та для цілей журналістики.
- Закріплює обов’язок призначати відповідальну особу з питань захисту персональних даних (Data Protection Officer) для певних категорій контролерів/операторів.
Права громадян щодо використання їхніх персональних даних
Головні права суб’єкта даних за законом (реалізація в Україні):
- Право на доступ: отримати будь-яку інформацію про себе, що обробляється (хто, навіщо, джерело, строки зберігання, адресати передачі).
- Право вимагати виправлення/знищення неточних або незаконно оброблених даних (в певних межах; є нюанси для архівних та законодавчо визначених реєстрів).
- Право на інформацію про передачу/поширення, у т.ч. про передачі за кордон (тут питань стало більше з огляду на GDPR-стандарти).
- Право скаржитися: на порушення — до уповноважених органів (див. далі про механізм відповідальності та контроль).
Обов’язки компаній та організацій
Короткий практичний перелік обов’язків для бізнесу й держсектору:
- Мати законну підставу для обробки (наприклад, згода або інша підстава).
- Прозорість: інформувати суб’єкта про мету обробки, контакт володільця/розпорядника, строки зберігання.
- Реєстрація баз / повідомлення: залежно від типу бази даних — держреєстри або повідомлення/реєстрація в уповноважених органах (для баз, що створюють підвищений ризик, існує обов’язок інформувати).
- Для окремих держструктур — затверджені галузеві порядки обробки/захисту.
- Технічні та організаційні заходи — політики, внутрішні регламенти, обмеження доступу, шифрування, резервні копії, аудит безпеки. Підприємствам радять призначати DPO/відповідальних осіб.
- Повідомлення про порушення: за передбаченими правилами — інформувати уповноважені органи і, в окремих випадках, суб’єктів даних (в Україні на 2024–2025 р. практикується посилення вимог до повідомлень).
Відповідальність за порушення законодавства у сфері персональних даних
- Адміністративна (ст. 188-39 КУпАП): штрафи від 200 до 2000 неоподатковуваних мінімумів доходів громадян (залежно від порушення).
- Кримінальна (ст. 182 ККУ): за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу: штраф (до 1000 н.м.д.г.), виправні роботи, арешт або обмеження волі.
- Цивільно-правова (Цивільний кодекс України): відшкодування збитків, завданих неправомірною обробкою персональних даних (право на компенсацію).
Європейський досвід та GDPR: вплив на українське законодавство
GDPR (General Data Protection Regulation — загальний регламент про захист даних ЄС) є світовим золотим стандартом захисту даних. Хоча GDPR не має прямої дії в Україні (оскільки Україна не є членом ЄС), його вплив є вирішальним.
GDPR (EU) з 2018 року став орієнтиром для реформування національних правил у багатьох країнах, включно з Україною. Після 2018 року Україна системно почала узгоджувати практику й законодавчі ініціативи з GDPR-стандартами (принципи мінімізації, прозорості, сильніший контроль трансферів даних, посилена відповідальність).
Раніше ми писали, як внутрішній туризм впливає на фінансове здоров’я країни та які напрямки залишаються найбільш затребуваними.
Також ми розповідали, як функціонують суди сьогодні, які зміни відбулися на різних рівнях судової влади і що принесло з собою впровадження електронного судочинства.
