Перейти до основного вмісту
AGENTIS Legal Platform

Breach notification 72 години 2026 — ст. 33 GDPR ТОВ ФОП | AGENTIS

Оновлено: 10.05.2026·Правова база: ст. 33 GDPR, ст. 34 GDPR, ст. 32 GDPR

Коротка відповідь

Breach notification за ст. 33 Регламенту (ЄС) 2016/679 (GDPR) + ст.

Потрібен документ для вашої ситуації? Створіть готовий договір за 5 хвилин — з реквізитами, обов’язковими статтями і коректною формою.

Створити документ →

Breach notification за ст. 33 Регламенту (ЄС) 2016/679 (GDPR) + ст. 24 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI — це обов'язок Контролера повідомити supervisory authority протягом 72 годин з моменту, коли він "дізнався" (became aware) про personal data breach. Для українського ТОВ/ФОП у DPA Процесора → Контролера breach SLA — 24-48 годин, щоб Контролер зміг дотриматися 72-годинного дедлайну. Без вчасного notification — штраф до €20 млн або 4% обороту (ст. 83 GDPR) + до 850 000 грн (ст. 188-39 КУпАП).

Що таке personal data breach

ст. 4(12) GDPR — "breach of security leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, personal data transmitted, stored or otherwise processed".

Категорії breach:

Тип Приклад
Confidentiality breach unauthorised access (hacker, insider stolen data)
Integrity breach alteration або corruption даних (ransomware)
Availability breach втрата даних або access (deletion, infrastructure failure)

Critical: не кожен incident = breach. Phishing email, що не призвів до compromise — incident, але не breach. Breach = actual access/loss/alteration.

Коли starts 72-годинний таймер

Дедлайн починається з моменту "reasonable degree of certainty", що security incident compromised personal data.

Examples:

  • Worker reports laptop stolen with employee data → controller is "aware" → 72h start.
  • IT detects unauthorized access to database → 72h start.
  • External researcher reports vulnerability with exploit demonstrated → 72h start (after verification).

Не починається якщо:

  • Nuance suspicion без verification (2-3 hours для investigation допустимі).
  • Laptop lost але fully encrypted з strong password (no actual access ризик).
  • Failed phishing attempt без compromise.

Frequent enforcement violation: "investigating before reporting, exceeding 72h" — CNIL, AEPD, UODO штрафують за overly cautious investigation.

Покроково: response plan для ТОВ/ФОП

  1. T-0: Detection. SOC, IT, employee, або third party reports incident.
  2. T+0..2h: Initial assessment. IT investigation: scope, affected data, root cause. Документуйте timestamps.
  3. T+2..8h: Risk assessment. Чи likely to result у risk to rights and freedoms? (для GDPR notification trigger)
  4. T+8..24h: Containment. Stop breach, secure data, change credentials, isolate compromised systems.
  5. T+24..48h: Notify Процесор → Контролер (для DPA). Sub-процесор → Процесор → Контролер chain.
  6. T+48..72h: Notify supervisory authority (Контролер). ст. 33 GDPR — 72-годинний дедлайн з моменту awareness.
  7. T+72h..7d: Notify data subjects (ст. 34 GDPR). Якщо high risk — direct notification суб'єктам.
  8. T+30d: Post-mortem. Internal review, lessons learned, remediation plan.
  9. T+90d: Regulator follow-up. Можливі додаткові запити, sanctions assessment.
  10. T+1y: Annual review. Update breach response plan.

Що включити у notification до supervisory authority (ст. 33(3) GDPR)

  1. Nature of breach — categories of data, approximate number affected.
  2. Approximate volume — кількість data subjects + records.
  3. Contact point — DPO або primary контакт для follow-up.
  4. Likely consequences — risk assessment (identity theft, financial loss, reputational harm).
  5. Measures taken — containment, mitigation, future prevention.

Phased notification (ст. 33(4)): дозволено надавати information у фазах "without undue further delay". Initial — within 72h з whatever available; supplementary — у міру investigation. Practice 2024: supervisory authorities expect first notification within 72h навіть якщо incomplete.

Notification суб'єктам даних (ст. 34 GDPR)

Required якщо breach likely high risk до rights and freedoms.

High risk indicators:

  • Special categories даних compromised (health, biometric, financial).
  • Large volume affected (>10 000).
  • Identifiable individuals + sensitive context.
  • Likely identity theft, financial fraud, harassment.

Не required якщо:

  • Encrypted data without keys compromised.
  • Subsequent measures rendered risk unlikely (fast remediation, stolen device tracked).
  • Disproportionate effort — public communication prevails.

Format: clear, plain language; nature, contact, likely consequences, measures, advice (change passwords, monitor accounts, report identity theft).

SLA Процесор → Контролер у DPA

Requirement ст. 28(3)(f): Процесор assists Контролеру у compliance з ст. 33-34. Practical translation — 24-48 годин SLA Процесор → Контролер.

Recipe для DPA:

  • 24h SLA для critical breaches (special categories, >1000 affected).
  • 48h SLA для standard breaches.
  • 24/7 contact point (email + phone + escalation manager).
  • Initial notification template — pre-agreed.
  • Regular updates кожні 24 години до закриття.

AWS, GCP, Azure DPA: "without undue delay" — interpretation 24-72h. Перевірте у specific DPA + supplement своїм SLA з 24-48h.

Enforcement examples 2024-2025

CNIL (Франція) 2024:

  • Healthcare operator штраф за breach 33 млн пацієнтів — затримка notification + неадекватна security.
  • Multiple healthcare штрафи за "investigating before reporting" — overly cautious approach.

UODO (Польща) січень 2025:

  • Updated guidance — risk assessment обов'язковий для кожного incident незалежно від apparent severity.

Spain AEPD 2024:

  • 40+ sanctions з insufficient DPA + missed breach notification combo.
  • Hospital fine €5M за 8-day delay у notification.

EEA average 2025: 443 breach notifications/day (+22% YoY) per DLA Piper GDPR Fines and Data Breach Survey January 2026.

Cumulative GDPR fines з 2018: понад €7.1 billion (DLA Piper January 2026).

Україна 2024-2026: ст. 188-39 КУпАП

Адмін відповідальність за breach-related порушення:

  • Незаконна обробка / поширення даних, що завдала шкоди — до 850 000 грн (50 000 НМДГ) (посилено ЗУ № 4015-IX від 10.10.2024).
  • Невиконання вимог Уповноваженого — до 85 000 грн.
  • Повторне порушення протягом року — подвоєння.

ст. 182, 361-2 ККУ — кримінальна відповідальність до 5 років.

Часті помилки у breach response

1. "Investigating before reporting" — exceeding 72h. Контролер чекає до 80% certainty. CNIL practice: 60% certainty + initial notification + supplementary updates. Recipe: 72h hard deadline; phased notification.

2. Notification без detail про consequences. Generic "data was compromised" без specifics — sanction. Recipe: specific risk assessment у format ст. 33(3).

3. Без notification суб'єктам коли потрібно. ст. 34 GDPR triggered якщо high risk; controller думає, що low risk. Recipe: consult DPO + DPIA + supervisory authority guidance.

4. SLA Процесор → Контролер > 72h. Cloud-провайдер "without undue delay" interpreted as 5 днів. Recipe: explicit 24-48h SLA у DPA з clear escalation.

5. Без 24/7 contact point. Breach detected у Christmas — нікого no on-call. Recipe: 24/7 SOC + on-call rotation + alternate contact for DPO.

6. Notification template не готовий. Кожна година витрачена на формулювання — ризик зриву 72h. Recipe: pre-prepared template з blanks: nature/scope/contact/measures.

7. Без internal communication protocol. IT detects breach але не повідомляє legal/DPO. Recipe: formal escalation matrix + tabletop exercises.

8. Lost laptop не вважається breach. Якщо містить personal data — breach, незалежно від encryption (encrypted з weak password = effectively no encryption). Recipe: broad definition + assess each incident.

Tabletop exercises — критично

Recommendation EDPB 2024: controllers + processors мають проводити tabletop exercises 2 рази/рік:

  • Simulate breach scenarios (ransomware, insider, vendor breach).
  • Practice 72h response timeline.
  • Identify gaps у communication, escalation, technical response.
  • Update breach response plan.

FAQ

Чи потрібно notify supervisory authority за кожний breach? НІ. Тільки якщо "likely to result in a risk to the rights and freedoms" суб'єктів. Низький ризик breach (e.g., misdirected email до wrong colleague у same controller) — internal log, no external notification. Document decision-making + reasons.

Який supervisory authority в Україні? Уповноважений Верховної Ради України з прав людини (Ombudsman) — ст. 22 ЗУ № 2297-VI. Notification — через ombudsman.gov.ua або postal/electronic communication.

Що якщо breach у sub-процесора? Sub-процесор → Процесор → Контролер chain. Кожен у chain має SLA до next. Контролер ultimately responsible за 72h до supervisory authority.

Чи можна "phased notification" used як excuse to delay? НІ. Initial notification within 72h обов'язковий — навіть якщо incomplete. "Without undue further delay" supplementary updates після investigation.

Чи insurance покриває GDPR штрафи? Cyber insurance частково покриває remediation costs + breach notification. GDPR штрафи (ст. 83) — у некоторых юрисдикціях НЕ insurable (public policy не дозволяє). Для України — практика evolving.

AGENTIS — інформаційний інструмент. Не замінює адвоката і не є юридичною консультацією.

Готовий шаблон DPA з 72-годинним breach SLA + breach response plan template — згенеруйте чернетку DPA через AGENTIS.

Пов'язані матеріали:

Зовнішні джерела: GDPR Art. 33 на gdpr-info.eu · GDPR Art. 34 на gdpr-info.eu · Уповноважений ВРУ з прав людини

Потрібен документ для цієї ситуації?

Генератор AGENTIS створить документ за ст. 33 GDPR, ст. 34 GDPR з вашими реквізитами і валідаторами.

Створити документ →

Створити документ за вашою ситуацією

Генератор AGENTIS створить договір з вашими реквізитами, валідаторами (ЄДРПОУ, РНОКПП, IBAN) і посиланнями на чинне законодавство України.

Згенерувати документАбо проаналізувати ситуацію →

Інформація носить довідковий характер і не є юридичною консультацією. Для вирішення конкретної ситуації скористайтесь AI-аналізом.