Захист персональних даних і цифровий комплаєнс в Україні
Українське законодавство про захист персональних даних перебуває в активній трансформації. Закон України «Про захист персональних даних» — який наразі переглядається в рамках процесу вступу до ЄС — встановлює базові вимоги до компаній, що збирають і обробляють персональні дані українських резидентів. Паралельно екосистема Дія активно трансформує механізми верифікації особистості, обміну документами і обробки персональних даних як у публічному, так і в комерційному контексті.
Для міжнародних компаній, що надають цифрові послуги в Україні або залучають українських технологічних постачальників до обробки персональних даних, правова картина вимагає аналізу як чинного українського законодавства, так і його траєкторії щодо узгодження з GDPR. Ми консультуємо з питань захисту персональних даних як інтегрованого елементу IT-контрактів (→ IT-контракти та угоди щодо ПЗ), транскордонних технологічних транзакцій і проєктів цифрової інфраструктури.
Правова база
Закон України «Про захист персональних даних» встановлює основні зобовʼязання для контролерів і операторів персональних даних, що діють в Україні — включаючи вимоги щодо згоди, права субʼєктів даних, обмеження транскордонних передач і зобовʼязання щодо повідомлення про порушення. Закон поширюється на будь-яку обробку персональних даних українських резидентів незалежно від місця реєстрації контролера даних.
Закон замінюють. Законопроєкт № 8153 «Про захист персональних даних» — повна нова редакція закону 2010 року — ухвалений у першому читанні Верховною Радою 20 листопада 2024 року і наразі доопрацьовується до другого читання. Це одне із зобовʼязань дорожньої карти вступу України до ЄС, і він покликаний суттєво наблизити українське право до GDPR:
- Наглядовий орган — окремий незалежний орган замінить Уповноваженого Верховної Ради з прав людини в цій функції
- Штрафи — фінансові санкції до 30 млн грн за порушення
- Право на забуття — вперше в українському законодавстві
- Privacy by design і by default — стають законодавчими обовʼязками
- DPO — обовʼязкове призначення відповідальної особи з питань захисту даних
- Чутливі дані — законодавчі визначення біометричних і генетичних даних та заборона обробки з винятками
- Нові сфери регулювання — обробка даних роботодавцями, відеоспостереження, прямий маркетинг, обробка в інтернеті
- Транскордонні передачі — визначені законодавчі критерії замість чинного переліку адекватності
Законопроєкт у нинішній редакції не містить перехідного періоду для бізнесу. Компанії, чия обробка даних вибудувана лише під закон 2010 року, після ухвалення нового закону муситимуть адаптуватися швидко — саме тому ми структуруємо комплаєнс не лише під чинний текст, а й з урахуванням напрямку змін.
GDPR застосовується безпосередньо до компаній, зареєстрованих в ЄС, що обробляють персональні дані українських резидентів, і до компаній поза ЄС, що пропонують товари або послуги фізичним особам в ЄС. Для компаній, що надають транскордонні цифрові послуги з використанням як даних ЄС, так і українських персональних даних, застосовуються обидва режими, і вони не є ідентичними. Окремим інфраструктурним шаром виступає Дія — державна платформа цифрових послуг, що стала значимим механізмом верифікації особистості, автентифікації документів і цифрової ідентичності в комерційних транзакціях.
Ця сторінка охоплює захист даних як інтегрований елемент IT-контрактів, технологічних угод і проєктів цифрової інфраструктури — аналіз за українським правом, складання DPA, структурування транскордонних передач та інтеграцію з Дією. Щодо проєктів критичної та цифрової інфраструктури → Проєкти цифрової інфраструктури.
Порівняння трьох режимів
Відповідність GDPR не забезпечує відповідності українському праву, і навпаки. Стандарти згоди, підстави законного інтересу, строки зберігання та терміни повідомлення про порушення відрізняються так, що потребують свідомого структурування, а не припущення про еквівалентність.
| Елемент | Україна — Закон 2297-VI (чинний) | Україна — законопроєкт 8153 | GDPR |
|---|---|---|---|
| Наглядовий орган | Уповноважений ВР з прав людини | Окремий незалежний орган | Національні органи, координація через EDPB |
| Штрафи | Адміністративні, низькі за мірками ЄС | До 30 млн грн | До 20 млн євро або 4% світового обороту |
| Право на забуття | Прямо не передбачене | Запроваджується | Ст. 17 |
| Privacy by design / default | Не є законодавчим обовʼязком | Законодавчий обовʼязок | Ст. 25 |
| DPO | Не обовʼязковий | Обовʼязкове призначення | Обовʼязковий у визначених випадках (ст. 37) |
| Транскордонні передачі | Перелік адекватності; інакше згода або договірні гарантії | Визначені законодавчі критерії | Рішення про адекватність, SCC, BCR, відступи |
| Чутливі дані | Обмежена обробка | Пряма заборона з винятками | Ст. 9 |
| Роботодавці, відеоспостереження, прямий маркетинг | Прямо не врегульовано | Прямо врегульовано | Загальні принципи + національне право |
Що ми робимо
Аналіз відповідності українському законодавству
- Оцінка зобовʼязань для конкретної бізнес-моделі або транзакції
- Класифікація контролера і оператора за українським правом
- Механізми згоди — українські вимоги проти стандартів GDPR
- Реалізація прав субʼєктів даних і відмінності від GDPR
- Зберігання даних і вимоги до видалення
- Взаємодія з Уповноваженим ВР з прав людини як наглядовим органом
Угоди про обробку даних
- DPA за українським правом — окремі і як додаток до IT-контрактів
- Угоди контролер-оператор та спільних контролерів
- Ланцюжки субобробки — документування і передача зобовʼязань
- Положення в угодах IT-аутсорсингу і розробки ПЗ
- Умови обробки даних у SaaS і хмарних сервісах
- Транскордонні DPA між українськими і іноземними субʼєктами
Транскордонні передачі даних
- Оцінка адекватності за українським правом
- Механізм передачі — SCC, обовʼязкові корпоративні правила, згода
- Взаємодія українських обмежень з механізмами GDPR
- Положення про передачу в транскордонних IT-контрактах
- Due diligence передач у технологічних M&A і інвестиціях
Екосистема Дія
- Правовий аналіз зобовʼязань за операторською угодою
- Розподіл відповідальності за обробку в інтеграціях Дії
- Відповідальність за збої верифікації особистості
- Договірні положення для інтеграції в комерційні сервіси
- Взаємодія з Міністерством цифрової трансформації
Захист даних в IT-контрактах
- Положення в угодах розробки ПЗ і IT-аутсорсингу
- Privacy by design у технічних специфікаціях
- Due diligence у технологічних M&A і інвестиціях
- Перегляд комплаєнсу чинних IT-контрактів
- Повідомлення про порушення — договірний розподіл і регуляторні вимоги
- Положення в документації проєктів цифрової інфраструктури
Готовність до законопроєкту 8153
- Оцінка прогалин щодо нинішньої редакції
- Вимога щодо DPO — чи потрапляє клієнт у сферу дії
- Privacy by design і by default — перегляд процесів обробки
- Механізми згоди за суворішими стандартами
- Стійкість транскордонних передач до нових критеріїв
- Договірне формулювання без надмірних зобовʼязань під проєкт
З нашої практики
Американська софтверна компанія залучила українську команду розробників як незалежного підрядника і паралельно обслуговувала кінцевих користувачів у ЄС через свою платформу. Уся її документація з обробки даних складалася з одного DPA за стандартом GDPR з українським постачальником — виходячи з припущення, що відповідність GDPR автоматично забезпечить і відповідність українському праву.
Не забезпечила. Український постачальник обробляв персональні дані українських резидентів під час тестування, і ця обробка прямо підпадала під Закон «Про захист персональних даних» — незалежно від того, що основна сервісна угода регулювалася англійським правом. Підстава згоди, на яку спирався GDPR-DPA, не відповідала українським вимогам, а подальша передача даних на американську інфраструктуру компанії взагалі не мала підстави за українським правом.
Ми переструктурували домовленість: DPA за українським правом як додаток до чинної сервісної угоди, задокументована підстава для передачі на американську інфраструктуру, виправлений механізм згоди та описаний ланцюжок субобробки. Додатково позначили положення, які доведеться змінити, якщо законопроєкт 8153 буде ухвалений у нинішній редакції — насамперед вимогу щодо DPO, під яку клієнт потрапляє.
Як ми працюємо
Крок 1 — Операційне і дата-картування. Визначаємо потоки персональних даних, релевантні для транзакції або бізнес-операції.
Крок 2 — Визначення режиму. Встановлюємо, які режими захисту даних застосовуються — українське право, GDPR або обидва.
Крок 3 — Аналіз прогалин. Оцінюємо чинні угоди клієнта щодо захисту даних і визначаємо прогалини, що потребують усунення.
Крок 4 — Структурування. Розробляємо структуру комплаєнсу захисту даних, що задовольняє застосовним вимогам.
Крок 5 — Документація. Готуємо або переглядаємо відповідні угоди — DPA, угоди про передачу даних, повідомлення про конфіденційність.
Крок 6 — Інтеграція. Інтегруємо документацію щодо захисту даних у ширшу структуру транзакції.
Ключові експерти
![]()
Доктор юридичних наук — захист даних у технологічних транзакціях, структурування транскордонних передач, інтеграція DPA в IT-контракти
![]()
Українське законодавство про захист персональних даних, взаємодія з GDPR, правова база екосистеми Дія, регуляторний комплаєнс
![]()
Спори щодо захисту персональних даних, провадження перед наглядовим органом, виконання зобовʼязань з обробки даних в судах
FAQ: Захист персональних даних і цифровий комплаєнс
Чи поширюється українське законодавство про захист даних на іноземні компанії без присутності в Україні?
Так. Українське законодавство поширюється на будь-яку обробку персональних даних українських резидентів незалежно від місця реєстрації контролера. Іноземна компанія, що збирає персональні дані українських користувачів через вебсайт, застосунок або цифровий сервіс, підпадає під українські зобовʼязання. Екстериторіальна дія концептуально подібна до охоплення GDPR, але конкретні зобовʼязання відрізняються.
Чим українське законодавство про захист даних відрізняється від GDPR?
Режими мають спільну концептуальну основу, але суттєво відрізняються. Стандарти згоди за українським правом у деяких аспектах ширші за підстави законного інтересу GDPR; права субʼєктів даних за чинним законом деталізовані менше; повідомлення про порушення має інші строки й адресатів; наглядова структура інша — нагляд наразі здійснює Уповноважений ВР з прав людини, а не окремий орган. Законопроєкт 8153 має звузити ці розриви, але для поточних угод відмінності потребують свідомого аналізу.
Який механізм потрібен для транскордонної передачі персональних даних з України?
Українське право вимагає передавати персональні дані лише до країн, що забезпечують належний рівень захисту — перелік веде наглядовий орган. Якщо країна-одержувач не в переліку, потрібна згода субʼєкта даних або спеціальні договірні гарантії. Це окрема вимога, відмінна від механізмів передачі GDPR, і вона потребує самостійного аналізу. Законопроєкт 8153 запроваджує визначені законодавчі критерії передачі.
Чи потрібен окремий український DPA, якщо основний договір регулюється англійським правом?
Якщо контрагент — українська особа, що обробляє персональні дані українських резидентів, українське законодавство застосовується до цієї обробки незалежно від права, яким регулюється основна комерційна угода. DPA за українським правом може вимагатися додатково або як додаток до основного договору. Вибір іноземного права не витісняє українських зобовʼязань щодо захисту даних.
Які правові зобовʼязання виникають при інтеграції Дії в комерційний цифровий сервіс?
Інтеграція з Дією потребує укладення операторської угоди з Міністерством цифрової трансформації, яка встановлює конкретні зобовʼязання щодо доступу до даних, цілей обробки та вимог безпеки. Оператор несе відповідальність за правомірність власного використання верифікованих через Дію даних у своєму сервісі. Аналізуємо зобовʼязання за операторською угодою, розподіл відповідальності за обробку та рамку відповідальності за збої верифікації.
Коли очікується ухвалення законопроєкту 8153 і що робити зараз?
Законопроєкт ухвалений у першому читанні 20 листопада 2024 року і наразі доопрацьовується до другого читання. Дата ухвалення не визначена. У нинішній редакції законопроєкт не містить перехідного періоду — отже після ухвалення адаптуватися доведеться швидко. Радимо структурувати поточні домовленості так, щоб вони відповідали чинному закону і водночас були стійкими до змін: насамперед вимоги щодо DPO, обовʼязків privacy by design та нових критеріїв транскордонної передачі.
Суміжні практики
Потрібна консультація щодо захисту персональних даних в Україні?
Зверніться до нас щодо складання DPA, транскордонних передач або взаємодії з GDPR.


