Защита персональных данных в Украине: GDPR и местные особенности

Author
Ангелина Чипец Руководитель B2B направления, юрист
Есть вопросы? Напишите мне

В современную эпоху цифровизации вопросы защиты персональных данных становятся всё более актуальными. защита персональных данных Украина – это не только вопрос прав граждан, но и требование к бизнесу, регулируемое закон о защите персональных данных. Несмотря на то, что GDPR Украина применяется напрямую лишь к компаниям, работающим с ЕС, его принципы уже влияют на украинское законодательство. В статье рассматриваются основные принципы обработка персональных данных, права субъектов, обязанности контроллер персональных данных и процессор персональных данных, а также аспекты трансграничная передача данных, нарушение защиты персональных данных, штрафы за нарушение GDPR, роль уполномоченный по защите персональных данных, и важность политика конфиденциальности, кибербезопасность и информационная безопасность. 

Основные принципы защиты персональных данных в Украине

  • Понятие персональных данных: информация идентифицирует или может идентифицировать лицо – такое определение закреплено в Законе Украины № 2297‑VI «О защите персональных данных» от 1 июня 2010 года.
  • Закон базируется на Конституции, Гражданском кодексе, Законе «Об информации», Конвенции 108, ратифицированной Украиной в 2010 году.
  • Принципы обработки: прозрачность, законность, целевое использование, минимизация, аутентичность, безопасность – заложены в новых принципах проекта Закона № 8153, который гармонизируется с GDPR.

GDPR и его влияние на украинское законодательство

  • Прямого применения GDPR Украина не имеет, поскольку Украина – не член ЕС. Но компании, работающие с резидентами ЕС, обязаны учитывать GDPR. При этом украинское законодательство стремится к гармонизации.
  • В феврале 2025 года продолжает рассматриваться проект Закона № 8153 «О защите персональных данных», направленный на адаптацию GDPR и Конвенции 108+ к украинскому правовому полю.
  • В частности, этот закон вводит новые термины (например, биометрические данные, DPIA, profiling, records of processing activities), усиливает трансграничное регулирование, и вводит принципы прозрачности и надёжности обработки.

Права субъектов персональных данных

  • Право на доступ к данным: субъект должен получить информацию о целях, источниках, объёмах обработки, получателях данных.
  • Право на забвение: удалить данные, если утратили цель или отозвано согласие.
  • Право на исправление и ограничение обработки, право возражения, право на перенос данных – закреплены в отечественном законодательстве.
  • Актуальные изменения проекта № 8153 вводят дополнительные гарантии и процедуры, сближающиеся с GDPR.
Права субъектов персональных данных

Обязанности контроллеров и процессоров данных

Понятие персональных данных

Каждый контроллер персональных данных (владелец/распорядитель) определяет цели и процедуры обработки; процессор персональных данных (менеджер) действует по поручению контроллера.

Принципы обработки данных

Контроллер обязан обеспечить прозрачность, точность, ограничение целей и безопасность. Обязателен уведомление уполномоченного (Омбудсмена) при рисковом характере обработки.

Согласие на обработку

Субъект должен дать явное согласие на обработку данных, добровольно, осознанно, обычно в письменной форме или электронно (например, галочкой).

Право на доступ к данным

Контроллер обязан в течение 30 дней предоставить субъекту информацию о наличии и содержании его данных.

Право на забвение

Субъект может требовать уничтожения или изменения данных, если они обрабатываются незаконно или неверно.

Уведомление о нарушении

Хотя прямого требования уведомлять регулятора (DPA) нет, предусмотрено фиксирование инцидента, информирование руководства и, в случае рисков, обращение к уполномоченному.

Трансграничная передача

Контроллер обязан уведомить субъектов о трансграничной передаче, заключить письменные договоры с иностранными получателями, а пересылка разрешена на основании: стран с адекватной защитой, согласия субъекта, контракта, защиты жизненных интересов и др. Во время военного положения – упрощённый режим.

Ответственность за нарушение законодательства о защите данных

  • Административная ответственность: штрафы варьируются в зависимости от тяжести, по Кодексу об административных правонарушениях.
  • Гражданская ответственность: субъект может требовать компенсацию ущерба за неправомерную обработку.
  • Уголовная ответственность: возможна за нелегальный сбор, использование или распространение данных.
  • Также регулятор (Омбудсмен) и суды могут налагать меры: остановка обработки, удаление данных.

Практические рекомендации для бизнеса

Юридическая помощь

При внедрении политики защиты данных рекомендуется обратиться к профильным юристам или консультантам – это обеспечит корректное оформление политика конфиденциальности, разработку договоров с процессорами, процедуру получения согласия и практик кибербезопасность и информационной безопасности.

Рекомендации

  • Проведите аудит персональных данных и обработок (карта обработки).
  • Обновите политику конфиденциальности, включив цели, юридические основания, права субъектов, трансграничные передачи и контакт DPO.
  • Обеспечьте сбор согласия на обработку данных – явное и документированное.
  • Назначьте уполномоченного по защите персональных данных – даже если не обязаны, это повысит уровень доверия и поможет с соблюдением процедур.
  • Учредите процедуры для доступа, исправления, удаления данных, включая сроки (например, до 30 дней).
  • Обеспечьте информационную безопасность: шифрование, доступ по ролям, резервное копирование, реагирование на инциденты.
  • При необходимости трансграничной передачи – оформляйте договоры, уведомляйте субъекта и соблюдайте основания для передачи.
  • Документируйте нарушения, проводите кибербезопасность-тестирование, уведомляйте руководство и при необходимости предписания регулятора.

Защита персональных данных в Украине строится на принципах, совмещающих национальное законодательство и международные стандарты. Несмотря на отсутствие прямого применения GDPR, влияние ЕС заметно и усиливается проектом закона № 8153, направленным на гармонизацию. Бизнесу важно внедрять практики обработки, учитывающие права субъектов, трансграничные аспекты, безопасность и ответственность. Опора на юридическую помощь, соответствующие процедуры и грамотная политика конфиденциальности помогут минимизировать риски нарушений, штрафов и репутационных потерь.