Home Сферы Практики Цифровая инфраструктура и технологические транзакции в Украине Защита персональных данных и цифровой комплаенс в Украине

Защита персональных данных и цифровой комплаенс в Украине

Защита персональных данных и цифровой комплаенс в Украине

Украинское законодательство о защите персональных данных находится в активной трансформации. Закон Украины «О защите персональных данных» — который в настоящее время пересматривается в рамках процесса вступления в ЕС — устанавливает базовые требования к компаниям, которые собирают и обрабатывают персональные данные украинских резидентов. Параллельно экосистема Дія активно трансформирует механизмы верификации личности, обмена документами и обработки персональных данных как в публичном, так и в коммерческом контексте.

Для международных компаний, предоставляющих цифровые услуги в Украине или привлекающих украинских технологических поставщиков к обработке персональных данных, правовая картина требует анализа как действующего украинского законодательства, так и его траектории относительно согласования с GDPR. Мы консультируем по вопросам защиты персональных данных как интегрированного элемента IT-контрактов (→ IT-контракты и соглашения о ПО), трансграничных технологических транзакций и проектов цифровой инфраструктуры.

Правовая база

Закон Украины «О защите персональных данных» устанавливает основные обязательства для контролёров и операторов персональных данных, действующих в Украине — включая требования относительно согласия, права субъектов данных, ограничения трансграничных передач и обязательства относительно уведомления о нарушениях. Закон распространяется на любую обработку персональных данных украинских резидентов независимо от места регистрации контролёра данных.

Закон заменяют. Законопроект № 8153 «О защите персональных данных» — полная новая редакция закона 2010 года — принят в первом чтении Верховной Радой 20 ноября 2024 года и в настоящее время дорабатывается ко второму чтению. Это одно из обязательств дорожной карты вступления Украины в ЕС, и он призван существенно приблизить украинское право к GDPR:

  • Надзорный орган — отдельный независимый орган заменит Уполномоченного Верховной Рады по правам человека в этой функции
  • Штрафы — финансовые санкции до 30 млн грн за нарушения
  • Право на забвение — впервые в украинском законодательстве
  • Privacy by design и by default — становятся законодательными обязанностями
  • DPO — обязательное назначение ответственного лица по вопросам защиты данных
  • Чувствительные данные — законодательные определения биометрических и генетических данных и запрет обработки с исключениями
  • Новые сферы регулирования — обработка данных работодателями, видеонаблюдение, прямой маркетинг, обработка в интернете
  • Трансграничные передачи — определённые законодательные критерии вместо действующего перечня адекватности

Законопроект в нынешней редакции не содержит переходного периода для бизнеса. Компании, чья обработка данных выстроена только под закон 2010 года, после принятия нового закона будут вынуждены адаптироваться быстро — именно поэтому мы структурируем комплаенс не только под действующий текст, но и с учётом направления изменений.

GDPR применяется непосредственно к компаниям, зарегистрированным в ЕС, которые обрабатывают персональные данные украинских резидентов, и к компаниям за пределами ЕС, которые предлагают товары или услуги физическим лицам в ЕС. Для компаний, предоставляющих трансграничные цифровые услуги с использованием как данных ЕС, так и украинских персональных данных, применяются оба режима, и они не являются идентичными. Отдельным инфраструктурным слоем выступает Дія — государственная платформа цифровых услуг, ставшая значимым механизмом верификации личности, аутентификации документов и цифровой идентичности в коммерческих транзакциях.

Эта страница охватывает защиту данных как интегрированный элемент IT-контрактов, технологических соглашений и проектов цифровой инфраструктуры — анализ по украинскому праву, составление DPA, структурирование трансграничных передач и интеграцию с Дією. Относительно проектов критической и цифровой инфраструктуры → Проекты цифровой инфраструктуры.

Сравнение трёх режимов

Соответствие GDPR не обеспечивает соответствия украинскому праву, и наоборот. Стандарты согласия, основания законного интереса, сроки хранения и сроки уведомления о нарушениях отличаются так, что требуют осознанного структурирования, а не предположения об эквивалентности.

ЭлементУкраина — Закон 2297-VI (действующий)Украина — законопроект 8153GDPR
Надзорный органУполномоченный ВР по правам человекаОтдельный независимый органНациональные органы, координация через EDPB
ШтрафыАдминистративные, низкие по меркам ЕСДо 30 млн грнДо 20 млн евро или 4% мирового оборота
Право на забвениеПрямо не предусмотреноВводитсяСт. 17
Privacy by design / defaultНе является законодательной обязанностьюЗаконодательная обязанностьСт. 25
DPOНе обязателенОбязательное назначениеОбязателен в определённых случаях (ст. 37)
Трансграничные передачиПеречень адекватности; иначе согласие или договорные гарантииОпределённые законодательные критерииРешения об адекватности, SCC, BCR, отступления
Чувствительные данныеОграниченная обработкаПрямой запрет с исключениямиСт. 9
Работодатели, видеонаблюдение, прямой маркетингПрямо не урегулированоПрямо урегулированоОбщие принципы + национальное право

Что мы делаем

Анализ соответствия украинскому законодательству

  • Оценка обязательств для конкретной бизнес-модели или транзакции
  • Классификация контролёра и оператора по украинскому праву
  • Механизмы согласия — украинские требования против стандартов GDPR
  • Реализация прав субъектов данных и отличия от GDPR
  • Хранение данных и требования к удалению
  • Взаимодействие с Уполномоченным ВР по правам человека как надзорным органом

Соглашения об обработке данных

  • DPA по украинскому праву — отдельные и как приложение к IT-контрактам
  • Соглашения контролёр-оператор и совместных контролёров
  • Цепочки субобработки — документирование и передача обязательств
  • Положения в соглашениях IT-аутсорсинга и разработки ПО
  • Условия обработки данных в SaaS и облачных сервисах
  • Трансграничные DPA между украинскими и иностранными субъектами

Трансграничные передачи данных

  • Оценка адекватности по украинскому праву
  • Механизм передачи — SCC, обязательные корпоративные правила, согласие
  • Взаимодействие украинских ограничений с механизмами GDPR
  • Положения о передаче в трансграничных IT-контрактах
  • Due diligence передач в технологических M&A и инвестициях

Экосистема Дія

  • Правовой анализ обязательств по операторскому соглашению
  • Распределение ответственности за обработку в интеграциях Дії
  • Ответственность за сбои верификации личности
  • Договорные положения для интеграции в коммерческие сервисы
  • Взаимодействие с Министерством цифровой трансформации

Защита данных в IT-контрактах

  • Положения в соглашениях разработки ПО и IT-аутсорсинга
  • Privacy by design в технических спецификациях
  • Due diligence в технологических M&A и инвестициях
  • Проверка комплаенса действующих IT-контрактов
  • Уведомление о нарушениях — договорное распределение и регуляторные требования
  • Положения в документации проектов цифровой инфраструктуры

Готовность к законопроекту 8153

  • Оценка пробелов относительно нынешней редакции
  • Требование о DPO — попадает ли клиент в сферу действия
  • Privacy by design и by default — пересмотр процессов обработки
  • Механизмы согласия по более строгим стандартам
  • Устойчивость трансграничных передач к новым критериям
  • Договорные формулировки без избыточных обязательств под проект

Из нашей практики

Американская софтверная компания привлекла украинскую команду разработчиков как независимого подрядчика и параллельно обслуживала конечных пользователей в ЕС через свою платформу. Вся её документация по обработке данных состояла из одного DPA по стандарту GDPR с украинским поставщиком — исходя из предположения, что соответствие GDPR автоматически обеспечит и соответствие украинскому праву.

Не обеспечило. Украинский поставщик обрабатывал персональные данные украинских резидентов во время тестирования, и эта обработка прямо подпадала под Закон «О защите персональных данных» — независимо от того, что основное сервисное соглашение регулировалось английским правом. Основание согласия, на которое опирался GDPR-DPA, не соответствовало украинским требованиям, а последующая передача данных на американскую инфраструктуру компании вообще не имела основания по украинскому праву.

Мы переструктурировали договорённость: DPA по украинскому праву как приложение к действующему сервисному соглашению, задокументированное основание для передачи на американскую инфраструктуру, исправленный механизм согласия и описанная цепочка субобработки. Дополнительно обозначили положения, которые придётся изменить, если законопроект 8153 будет принят в нынешней редакции — прежде всего требование о DPO, под которое клиент попадает.

Как мы работаем

Шаг 1 — Операционное и дата-картирование. Определяем потоки персональных данных, релевантные для транзакции или бизнес-операции.

Шаг 2 — Определение режима. Устанавливаем, какие режимы защиты данных применяются — украинское право, GDPR или оба.

Шаг 3 — Анализ пробелов. Оцениваем действующие соглашения клиента относительно защиты данных и определяем пробелы, требующие устранения.

Шаг 4 — Структурирование. Разрабатываем структуру комплаенса защиты данных, удовлетворяющую применимым требованиям.

Шаг 5 — Документация. Готовим или пересматриваем соответствующие соглашения — DPA, соглашения о передаче данных, уведомления о конфиденциальности.

Шаг 6 — Интеграция. Интегрируем документацию по защите данных в более широкую структуру транзакции.

Ключевые эксперты

Анна Цират

Анна Цират

Доктор юридических наук — защита данных в технологических транзакциях, структурирование трансграничных передач, интеграция DPA в IT-контракты

Екатерина Цират

Екатерина Цират

Украинское законодательство о защите персональных данных, взаимодействие с GDPR, правовая база экосистемы Дія, регуляторный комплаенс

Дмитрий Салатюк

Дмитрий Салатюк

Споры относительно защиты персональных данных, производства перед надзорным органом, исполнение обязательств по обработке данных в судах

FAQ: Защита персональных данных и цифровой комплаенс

Распространяется ли украинское законодательство о защите данных на иностранные компании без присутствия в Украине?

Да. Украинское законодательство распространяется на любую обработку персональных данных украинских резидентов независимо от места регистрации контролёра. Иностранная компания, собирающая персональные данные украинских пользователей через веб-сайт, приложение или цифровой сервис, подпадает под украинские обязательства. Экстерриториальное действие концептуально похоже на охват GDPR, но конкретные обязательства отличаются.

Чем украинское законодательство о защите данных отличается от GDPR?

Режимы имеют общую концептуальную основу, но существенно отличаются. Стандарты согласия по украинскому праву в некоторых аспектах шире оснований законного интереса GDPR; права субъектов данных по действующему закону детализированы меньше; уведомление о нарушении имеет иные сроки и адресатов; надзорная структура иная — надзор в настоящее время осуществляет Уполномоченный ВР по правам человека, а не отдельный орган. Законопроект 8153 должен сузить эти разрывы, но для текущих соглашений различия требуют осознанного анализа.

Какой механизм нужен для трансграничной передачи персональных данных из Украины?

Украинское право требует передавать персональные данные только в страны, обеспечивающие надлежащий уровень защиты — перечень ведёт надзорный орган. Если страна-получатель не в перечне, необходимо согласие субъекта данных или специальные договорные гарантии. Это отдельное требование, отличное от механизмов передачи GDPR, и оно требует самостоятельного анализа. Законопроект 8153 вводит определённые законодательные критерии передачи.

Нужен ли отдельный украинский DPA, если основной договор регулируется английским правом?

Если контрагент — украинское лицо, обрабатывающее персональные данные украинских резидентов, украинское законодательство применяется к этой обработке независимо от права, которым регулируется основное коммерческое соглашение. DPA по украинскому праву может требоваться дополнительно или как приложение к основному договору. Выбор иностранного права не вытесняет украинских обязательств по защите данных.

Какие правовые обязательства возникают при интеграции Дії в коммерческий цифровой сервис?

Интеграция с Дією требует заключения операторского соглашения с Министерством цифровой трансформации, которое устанавливает конкретные обязательства относительно доступа к данным, целей обработки и требований безопасности. Оператор несёт ответственность за правомерность собственного использования верифицированных через Дію данных в своём сервисе. Анализируем обязательства по операторскому соглашению, распределение ответственности за обработку и рамку ответственности за сбои верификации.

Когда ожидается принятие законопроекта 8153 и что делать сейчас?

Законопроект принят в первом чтении 20 ноября 2024 года и в настоящее время дорабатывается ко второму чтению. Дата принятия не определена. В нынешней редакции законопроект не содержит переходного периода — следовательно, после принятия адаптироваться придётся быстро. Рекомендуем структурировать текущие договорённости так, чтобы они соответствовали действующему закону и одновременно были устойчивы к изменениям: прежде всего требования о DPO, обязанностей privacy by design и новых критериев трансграничной передачи.

Нужна консультация по защите персональных данных в Украине?

Обратитесь к нам по составлению DPA, трансграничным передачам или взаимодействию с GDPR.

📧 kyiv@jvs.law 📞 +38 (093) 002-82-50