Захист персональних даних в Україні: GDPR та місцеві особливості
У сучасну епоху цифровізації питання захисту персональних даних стають все більш актуальними. Захист персональних даних в Україні – це не тільки питання прав громадян, але й вимога до бізнесу, що регулюється законом про захист персональних даних. Незважаючи на те, що GDPR в Україні застосовується безпосередньо лише до компаній, що працюють з ЄС, його принципи вже впливають на українське законодавство. У статті розглядаються основні принципи обробки персональних даних, права суб’єктів, обов’язки контролера персональних даних і процесора персональних даних, а також аспекти транскордонної передачі даних, порушення захисту персональних даних, штрафи за порушення GDPR, роль уповноваженого з захисту персональних даних і важливість політики конфіденційності, кібербезпеки та інформаційної безпеки.
Основні принципи захисту персональних даних в Україні
- Поняття персональних даних: інформація, яка ідентифікує або може ідентифікувати особу – таке визначення закріплено в Законі України № 2297-VI «Про захист персональних даних» від 1 червня 2010 року.
- Закон базується на Конституції, Цивільному кодексі, Законі «Про інформацію», Конвенції 108, ратифікованій Україною в 2010 році.
- Принципи обробки: прозорість, законність, цільове використання, мінімізація, автентичність, безпека – закладені в нових принципах проекту Закону № 8153, який гармонізується з GDPR.
GDPR і його вплив на українське законодавство
- Прямого застосування GDPR Україна не має, оскільки Україна – не член ЄС. Але компанії, що працюють з резидентами ЄС, зобов’язані враховувати GDPR. При цьому українське законодавство прагне до гармонізації.
- У лютому 2025 року продовжує розглядатися проект Закону № 8153 «Про захист персональних даних», спрямований на адаптацію GDPR і Конвенції 108+ до українського правового поля.
- Зокрема, цей закон вводить нові терміни (наприклад, біометричні дані, DPIA, profiling, records of processing activities), посилює транскордонне регулювання та вводить принципи прозорості та надійності обробки.
Права суб’єктів персональних даних
- Право на доступ до даних: суб’єкт повинен отримати інформацію про цілі, джерела, обсяги обробки, одержувачів даних.
- Право на забуття: видалити дані, якщо втратили мету або відкликано згоду.
- Право на виправлення та обмеження обробки, право заперечення, право на перенесення даних – закріплені у вітчизняному законодавстві.
- Актуальні зміни проекту № 8153 вводять додаткові гарантії та процедури, що наближаються до GDPR.
Обов’язки контролерів і процесорів даних
Поняття персональних даних
Кожен контролер персональних даних (власник/розпорядник) визначає цілі та процедури обробки; процесор персональних даних (менеджер) діє за дорученням контролера.
Принципи обробки даних
Контролер зобов’язаний забезпечити прозорість, точність, обмеження цілей і безпеку. Обов’язкове повідомлення уповноваженого (Омбудсмена) при ризиковому характері обробки.
Згода на обробку
Суб’єкт повинен дати явну згоду на обробку даних, добровільно, свідомо, зазвичай в письмовій формі або електронно (наприклад, галочкою).
Право на доступ до даних
Контролер зобов’язаний протягом 30 днів надати суб’єкту інформацію про наявність і зміст його даних.
Право на забуття
Суб’єкт може вимагати знищення або зміни даних, якщо вони обробляються незаконно або невірно.
Повідомлення про порушення
Хоча прямої вимоги повідомляти регулятора (DPA) немає, передбачено фіксування інциденту, інформування керівництва і, в разі ризиків, звернення до уповноваженого.
Транскордонна передача
Контролер зобов’язаний повідомити суб’єктів про транскордонну передачу, укласти письмові договори з іноземними одержувачами, а пересилання дозволено на підставі: країн з адекватним захистом, згоди суб’єкта, контракту, захисту життєвих інтересів тощо. Під час воєнного стану – спрощений режим.
Відповідальність за порушення законодавства про захист даних
- Адміністративна відповідальність: штрафи варіюються залежно від тяжкості, згідно з Кодексом про адміністративні правопорушення.
- Цивільна відповідальність: суб’єкт може вимагати компенсацію збитків за неправомірну обробку.
- Кримінальна відповідальність: можлива за нелегальний збір, використання або поширення даних.
- Також регулятор (Омбудсмен) і суди можуть накладати заходи: зупинення обробки, видалення даних.
Практичні рекомендації для бізнесу
Юридична допомога
При впровадженні політики захисту даних рекомендується звернутися до профільних юристів або консультантів – це забезпечить коректне оформлення політики конфіденційності, розробку договорів з процесорами, процедуру отримання згоди та практик кібербезпеки та інформаційної безпеки.
Рекомендації
- Проведіть аудит персональних даних та їх обробки (карта обробки).
- Оновіть політику конфіденційності, включивши цілі, юридичні підстави, права суб’єктів, транскордонні передачі та контакт DPO.
- Забезпечте збір згоди на обробку даних – явну та задокументовану.
- Призначте уповноваженого з захисту персональних даних – навіть якщо це не є обов’язковим, це підвищить рівень довіри та допоможе з дотриманням процедур.
- Запровадьте процедури для доступу, виправлення, видалення даних, включаючи терміни (наприклад, до 30 днів).
- Забезпечте інформаційну безпеку: шифрування, доступ за ролями, резервне копіювання, реагування на інциденти.
- При необхідності транскордонної передачі – оформляйте договори, повідомляйте суб’єкта і дотримуйтесь підстав для передачі.
- Документуйте порушення, проводьте тестування кібербезпеки, повідомляйте керівництво і, при необхідності, приписи регулятора.
Захист персональних даних в Україні будується на принципах, що поєднують національне законодавство та міжнародні стандарти. Незважаючи на відсутність прямого застосування GDPR, вплив ЄС помітний і посилюється проектом закону № 8153, спрямованим на гармонізацію. Бізнесу важливо впроваджувати практики обробки, що враховують права суб’єктів, транскордонні аспекти, безпеку та відповідальність. Опора на юридичну допомогу, відповідні процедури та грамотна політика конфіденційності допоможуть мінімізувати ризики порушень, штрафів та репутаційних втрат.
