Перейти до основного вмісту
AGENTIS Legal Platform

Закон 2297-VI Про захист персональних даних 2026 ТОВ ФОП | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 1 ЗУ № 2297-VI, ст. 6 ЗУ № 2297-VI, ст. 7 ЗУ № 2297-VI

Коротка відповідь

Закон України «Про захист персональних даних» від 01. 06.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI (ост. ред. 14.06.2025 ЗУ № 4240-IX) — це основний національний акт регулювання обробки персональних даних в Україні. Визначає правові засади обробки, права суб'єкта даних, обов'язки володільця (Контролера) та розпорядника (Процесора), вимоги до бази персональних даних, транскордонну передачу, повноваження Уповноваженого Верховної Ради України з прав людини. Для українського ТОВ/ФОП — основа для compliance як на національному, так і у поєднанні з Регламентом (ЄС) 2016/679 (GDPR).

Структура Закону № 2297-VI

Розділ Статті Зміст
Розділ I — Загальні положення ст. 1-5 терміни, сфера дії, принципи
Розділ II — Загальні вимоги до обробки ст. 6-13 принципи обробки, бази даних, згода
Розділ III — Права суб'єкта ст. 8 права
Розділ IV — Захист ст. 14-19 поширення третім особам, заходи захисту
Розділ V — Контроль ст. 22-24-1 Уповноважений ВРУ, повноваження, transboundary
Розділ VI — Відповідальність ст. 27-28 відповідальність, прикінцеві положення

Ключові статті — детальний розбір

ст. 1 — Терміни

Володілець персональних даних (Controller) — фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних і процедури їх обробки.

Розпорядник персональних даних (Processor) — фізична або юридична особа, якій володілець доручив обробку персональних даних на підставі договору з нею.

Третя особа — будь-яка особа, не суб'єкт даних / володілець / розпорядник / уповноважена особа.

Обробка — будь-яка дія з персональними даними (збір, реєстрація, накопичення, зберігання, використання, поширення, знеособлення, знищення).

Згода суб'єкта — добровільне волевиявлення фізичної особи про надання дозволу на обробку її персональних даних.

ст. 2 — Сфера дії

Закон поширюється на:

  • діяльність з обробки персональних даних повністю або частково із застосуванням автоматизованих засобів;
  • обробку без таких засобів, якщо дані містяться або призначені для внесення до бази даних.

Виключення: діяльність журналіста, художня діяльність — у частині, що стосується public interest або creative purposes.

ст. 6 — Принципи обробки

Обробка має відповідати:

  • законності (legitimate basis);
  • цільовому призначенню (purpose limitation);
  • точності (accuracy);
  • мінімізації (data minimization);
  • обмеженню зберігання (storage limitation);
  • цілісності і конфіденційності (integrity and confidentiality).

Compatible з ст. 5 GDPR.

ст. 7 — Особливі вимоги до обробки даних особливих категорій

Заборонено обробляти дані про:

  • расову, етнічну належність;
  • політичні, релігійні погляди;
  • членство в партіях/профспілках;
  • стан здоров'я;
  • статеве життя;
  • біометричні дані;
  • генетичні дані;
  • факт притягнення до юридичної відповідальності.

Винятки (ч. 2): явна письмова згода суб'єкта; для медичних цілей; для статистичних/наукових цілей за умови знеособлення; для трудових відносин (КЗпП ст. 24); для громадських/політичних організацій (для членів); для журналістики/творчої діяльності у public interest; для запобігання правопорушень; для здійснення правосуддя; з відома Уповноваженого ВРУ.

ст. 8 — Права суб'єкта персональних даних

Суб'єкт має право:

  1. знати про факт обробки + ціль + перелік даних;
  2. отримувати копію даних;
  3. вимагати виправлення неточних даних;
  4. вимагати знищення даних;
  5. заперечувати обробку;
  6. відкликати згоду;
  7. оскаржувати порушення у суд або до Уповноваженого.

ст. 11 — Підстави для обробки

  1. згода суб'єкта;
  2. дозвіл для виконання правочину з суб'єктом, стороною якого є володілець;
  3. виконання обов'язку володільця на підставі закону (legal obligation);
  4. захист життєво важливих інтересів суб'єкта;
  5. виконання публічних завдань володільцем;
  6. легітимний інтерес володільця (баланс з правами суб'єкта).

Map до ст. 6 GDPR.

ст. 14 — Поширення даних третім особам

Поширення тільки з згоди суб'єкта або у випадках, передбачених законом. Володілець несе відповідальність за дії розпорядника.

ст. 19 — Захист персональних даних

Володілець + розпорядник:

  • забезпечують захист від несанкціонованого доступу, зміни, знищення;
  • застосовують організаційні і технічні заходи;
  • проводять внутрішні аудити;
  • забезпечують конфіденційність осіб, що обробляють дані.

ст. 24 — Обов'язки володільця/розпорядника

  1. отримання згоди суб'єкта (де потрібно);
  2. інформування суб'єкта про обробку;
  3. забезпечення захисту;
  4. повідомлення про порушення (breach notification);
  5. призначення відповідальної особи (для великих обсягів);
  6. взаємодія з Уповноваженим ВРУ.

ст. 24-1 — Транскордонна передача

Передача за межі України дозволяється:

  1. до держав, що забезпечують адекватний рівень захисту (KMU + Уповноваженим);
  2. на підставі явної згоди;
  3. для виконання договору з суб'єктом;
  4. на підставі стандартних договірних умов (SCC EU);
  5. для захисту життєво важливих інтересів;
  6. корпоративних правил (BCR).

Practice 2024+: для US/UK — окремі рішення; для EU — взаємне визнання GDPR.

ст. 27 — Відповідальність

  • Адміністративна — ст. 188-39 КУпАП.
  • Цивільна — відшкодування шкоди (ст. 22, 23 ЦКУ).
  • Кримінальна — ст. 182, 361-2 ККУ.

Штрафи 2024-2026

ст. 188-39 КУпАП (посилено ЗУ № 4015-IX від 10.10.2024)

Порушення Розмір штрафу
Неповідомлення Уповноваженого про обробку даних особливих категорій 1000-10000 НМДГ (17 000 - 170 000 грн)
Невиконання вимог Уповноваженого 1000-5000 НМДГ (17 000 - 85 000 грн)
Незаконна обробка / поширення, що завдала шкоди до 50 000 НМДГ (до 850 000 грн)
Повторне порушення протягом року подвоєний штраф

ст. 182 ККУ — Порушення недоторканності приватного життя

Кримінальна відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації:

  • штраф до 5000 НМДГ;
  • обмеження волі до 3 років;
  • позбавлення волі до 3 років;
  • повторне або з шкодою — до 5 років.

ст. 361-2 ККУ — Несанкціоновані дії з інформацією у ЕОМ

Штраф 600-1000 НМДГ або позбавлення волі до 3 років (з обтяженнями — до 5 років).

Ukraine-specific особливості 2024-2026

Реєстр «Оберіг» (ЗУ № 3633-IX від 11.04.2024)

Мобілізаційний реєстр з персональними даними чоловіків 18-60 років, включаючи біометричні елементи. Правова підстава — окремий закон, не ЗУ № 2297-VI; обробляється державними органами.

Воєнний стан (ЗУ № 2122-IX, ред. 2024)

Не скасовує базових принципів. Розширені можливості cross-border трансферу до країн з adequacy decision EU + DPF-certified US-провайдерів — для безпеки інфраструктури (ст. 24-1 ч. 5).

Скасування ГКУ (ЗУ № 4196-IX від 19.06.2025)

Не торкається ЗУ № 2297-VI безпосередньо, але impacts B2B-договірні відносини — DPA тепер регулюється виключно ЦКУ (ст. 627 договірна свобода).

Уповноважений Верховної Ради України з прав людини (Ombudsman)

Supervisory authority за ЗУ № 2297-VI. Функції:

  • контроль за дотриманням законодавства;
  • розгляд скарг суб'єктів;
  • проведення перевірок;
  • видання приписів;
  • інформування про порушення;
  • співпраця з EU та національними DPA.

Контакт: ombudsman.gov.ua → "Захист персональних даних".

Compliance roadmap для українського ТОВ/ФОП

  1. Identify processing. Inventarization всіх processing operations.
  2. Determine legal basis (ст. 11). Per processing.
  3. Privacy Notice (ст. 8 + 12). Прозоре інформування суб'єктів.
  4. DPA з кожним розпорядником (ст. 24). Всі SaaS, агенції, outsourcing.
  5. Security measures (ст. 19). Encryption, access control, audit.
  6. Cross-border (ст. 24-1). SCC + adequacy assessment.
  7. Breach response (ст. 24). Notification до Уповноваженого + суб'єктів.
  8. Special categories (ст. 7). Посилений режим.
  9. Records of processing. Documentation для accountability.
  10. DPO / responsible person. Призначення для great volume або special categories.

Часті помилки compliance ЗУ № 2297-VI

1. Ігнорування ЗУ № 2297-VI у favour GDPR. "GDPR покриває все" — НІ. Український закон має додаткові вимоги (наприклад, явна згода для special categories). Recipe: dual compliance.

2. Без notification Уповноваженого для special categories. ст. 9 ч. 2 — обов'язково повідомити. Recipe: notification template + send via ombudsman.gov.ua.

3. Без bilingual DPA. Тільки англійською — ризик dispute з регулятором. Recipe: UA + EN.

4. Generic згода без specifics. "Я погоджуюсь на обробку моїх даних" — invalid. Recipe: specific purposes + categories.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий DPA з compliance до ЗУ № 2297-VI + GDPR — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: Закон 2297-VI на zakon.rada.gov.ua · Уповноважений ВРУ з прав людини · GDPR ст. 28 на gdpr-info.eu

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 1 ЗУ № 2297-VI, ст. 6 ЗУ № 2297-VI з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.