Захист персональних даних GDPR в Україні: повний правовий гайд
TL;DR
GDPR поширюється на українські компанії, якщо вони обробляють дані громадян або резидентів ЄС, незалежно від місця реєстрації бізнесу (ст. 3 GDPR). Паралельно діє ЗУ «Про захист персональних даних» (в редакції від 2021 року). За порушення GDPR наглядові органи ЄС можуть накладати адміністративні штрафи відповідно до ст. 83 GDPR. Дотримання обох режимів є юридичним зобов'язанням для відповідних суб'єктів.
Коли це застосовується
GDPR застосовується до вашої компанії, якщо:
| Критерій | Опис |
|---|---|
| Territorial scope (ст. 3(1) GDPR) | Компанія має підрозділ в ЄС, і обробка даних відбувається в його межах |
| Extraterritorial scope (ст. 3(2)(a) GDPR) | Ви пропонуєте товари/послуги суб'єктам даних в ЄС (навіть безкоштовно) |
| Extraterritorial scope (ст. 3(2)(b) GDPR) | Ви моніторите поведінку осіб, які перебувають в ЄС (cookies, трекінг) |
ЗУ «Про захист персональних даних» застосовується, якщо:
Відповідно до ст. 4 ЗУ «Про захист персональних даних» (в редакції від 2021 року), суб'єктами відносин є:
- суб'єкт персональних даних — фізична особа, чиї дані обробляються;
- володілець персональних даних — особа, яка визначає мету та склад даних;
- розпорядник персональних даних — особа, якій дозволено обробляти дані від імені володільця;
- третя особа та Уповноважений Верховної Ради з прав людини (омбудсман).
Відповідно до ст. 4(2) ЗУ «Про захист персональних даних», володільцем або розпорядником можуть бути підприємства, установи й організації всіх форм власності, органи державної влади, органи місцевого самоврядування, а також фізичні особи–підприємці.
Edge cases (виключення та нюанси):
- Виключно особисте використання: обробка даних фізичною особою для особистих потреб не підпадає під GDPR (ст. 2(2)(c) GDPR) та під ЗУ «Про захист персональних даних»
- Правоохоронна діяльність: окремий режим регулювання (Директива ЄС 2016/680)
- Журналістика та наукові дослідження: допускаються виключення відповідно до ст. 89 GDPR
- B2B-дані: контактні дані юридичних осіб формально не є персональними даними, але контактні дані конкретних представників — є
Покроково
Крок 1. Аудит поточної обробки даних (тиждень 1–2)
- Складіть реєстр операцій обробки (Record of Processing Activities — RoPA), що є обов'язковим згідно зі ст. 30 GDPR для організацій з понад 250 працівниками або тих, хто обробляє чутливі дані
- Визначте категорії даних, які ви обробляєте (загальні vs. спеціальні категорії за ст. 9 GDPR)
- Встановіть правові підстави для кожної операції обробки (ст. 6 GDPR: згода, договір, законний інтерес тощо)
- Перевірте, чи ваша діяльність підпадає під ст. 35 GDPR (обов'язкова оцінка впливу на захист даних — DPIA)
Крок 2. Призначення відповідальних осіб (тиждень 2–3)
- Визначте, чи потрібен вам Data Protection Officer (DPO) — обов'язковий за ст. 37 GDPR, якщо:
- ви є публічним органом;
- ваша основна діяльність передбачає масштабний моніторинг осіб;
- ви масштабно обробляєте спеціальні категорії даних
- Якщо ваша компанія знаходиться поза ЄС, але підпадає під GDPR — призначте представника в ЄС (ст. 27 GDPR)
- Відповідно до ст. 4(2) ЗУ «Про захист персональних даних», визначте внутрішнього відповідального за обробку персональних даних
Крок 3. Розробка правової документації (тиждень 3–5)
- Підготуйте Політику конфіденційності (Privacy Policy) відповідно до вимог ст. 13–14 GDPR та ст. 12 ЗУ «Про захист персональних даних»
- Розробіть форми згоди на обробку даних (ст. 7 GDPR + ст. 6 ЗУ «Про захист персональних даних»)
- Укладіть Data Processing Agreements (DPA) з усіма процесорами (ст. 28 GDPR)
- Підготуйте внутрішні процедури: реагування на запити суб'єктів, повідомлення про витоки, DPIA
Крок 4. Технічні та організаційні заходи (тиждень 4–8)
- Впровадьте принцип Privacy by Design & by Default (ст. 25 GDPR)
- Забезпечте шифрування, псевдонімізацію, контроль доступу
- Встановіть процедуру видалення даних після закінчення строку зберігання
- Проведіть навчання персоналу щодо вимог обох регуляторних режимів
Крок 5. Механізм реагування на запити суб'єктів (тиждень 6–8)
- Впровадьте процедуру обробки запитів на реалізацію прав (ст. 15–22 GDPR):
- право на доступ (ст. 15)
- право на виправлення (ст. 16)
- право на видалення — «право бути забутим» (ст. 17)
- право на обмеження обробки (ст. 18)
- право на переносимість даних (ст. 20)
- право на заперечення (ст. 21)
- Відповідно до ст. 8 ЗУ «Про захист персональних даних», суб'єкт має право знати про місцезнаходження бази, мету обробки та отримати копію своїх даних
Крок 6. Процедура повідомлення про витоки (ongoing)
- Встановіть внутрішній процес виявлення та ескалації інцидентів
- Відповідно до ст. 33 GDPR: повідомити наглядовий орган ЄС протягом 72 годин
- Відповідно до ст. 34 GDPR: повідомити суб'єктів даних без зайвої затримки, якщо є високий ризик
- В Україні — повідомити Уповноваженого ВРУ з прав людини відповідно до ст. 23 ЗУ «Про захист персональних даних»
Крок 7. Моніторинг та регулярний перегляд (ongoing)
- Проводьте щорічний аудит відповідності
- Відстежуйте зміни в законодавстві ЄС та України
- Оновлюйте RoPA при будь-яких змінах в операціях обробки
Строки та дедлайни
| Дія | Строк | Правова підстава |
|---|---|---|
| Повідомлення наглядового органу ЄС про витік даних | 72 години з моменту виявлення | ст. 33(1) GDPR |
| Повідомлення суб'єкта даних про витік (при високому ризику) | Без зайвої затримки | ст. 34(1) GDPR |
| Відповідь на запит суб'єкта даних (GDPR) | 1 місяць (можливе продовження до 3 місяців з обґрунтуванням) | ст. 12(3) GDPR |
| Відповідь на запит суб'єкта даних (Україна) | 30 днів | ст. 16 ЗУ «Про захист персональних даних» |
| Зберігання даних | Не довше, ніж необхідно для мети обробки | ст. 5(1)(e) GDPR; ст. 6(1) ЗУ «Про захист персональних даних» |
| Реєстрація бази персональних даних в Україні | До початку обробки | ст. 9 ЗУ «Про захист персональних даних» (виключення передбачені ст. 9(2)) |
| Проведення DPIA перед запуском нової ризикової операції | До початку обробки | ст. 35(1) GDPR |
| Зберігання записів про операції обробки (RoPA) | Постійно, доступно для перевірки | ст. 30(4) GDPR |
Необхідні документи
Обов'язкові документи для відповідності GDPR:
- Політика конфіденційності (Privacy Policy) — зовнішній документ для суб'єктів даних
- Реєстр операцій обробки (RoPA) — внутрішній документ (ст. 30 GDPR)
- Форми згоди на обробку персональних даних із зазначенням мети (ст. 7 GDPR)
- Data Processing Agreement (DPA) з кожним процесором (ст. 28 GDPR)
- Оцінка впливу на захист даних (DPIA) — за потреби (ст. 35 GDPR)
- Процедура реагування на запити суб'єктів (внутрішній регламент)
- Процедура повідомлення про витоки даних (Breach Notification Procedure)
- Призначення DPO (наказ + посадова інструкція) — якщо обов'язковий
- Призначення представника в ЄС — якщо компанія поза ЄС (ст. 27 GDPR)
Додаткові документи для відповідності ЗУ «Про захист персональних даних»:
- Повідомлення про реєстрацію бази персональних даних Уповноваженому ВРУ з прав людини (ст. 9 ЗУ)
- Внутрішнє положення про обробку персональних даних
- Договори з розпорядниками персональних даних (ст. 4(2) ЗУ)
- Журнал обробки запитів суб'єктів персональних даних
Для транскордонної передачі даних до ЄС/з ЄС:
- Standard Contractual Clauses (SCC) — типові договірні положення ЄС (ст. 46(2)(c) GDPR)
- Transfer Impact Assessment (TIA) — після рішення CJEU у справі Schrems II (C‑311/18)
Судова практика
⚠️ Примітка: Оскільки GDPR є регламентом ЄС, ключова практика формується судами ЄС та наглядовими органами (DPA). Українські суди наразі формують практику переважно за ЗУ «Про захист персональних даних». Нижче наведено принципові рішення обох юрисдикцій.
1. Google Spain SL v. AEPD (C-131/12, Суд ЄС, 2014)
Суть: Суд ЄС визнав, що пошукові системи є операторами персональних даних і зобов'язані видаляти посилання на застарілу інформацію про осіб на їхній запит.
Правовий висновок: Закріплено «право бути забутим» (нині кодифіковане в ст. 17 GDPR). Застосовується до будь-якої компанії, яка обробляє дані осіб з ЄС, незалежно від місця реєстрації.
Значення для України: Українські компанії, що надають послуги громадянам ЄС через інтернет, зобов'язані виконувати запити на видалення даних.