Захист персональних даних, інформаційної та комунікаційної приватності

Кожна людина має право на повагу до її приватного та сімейного життя, її житла та її спілкування.

стаття 7 Хартії основоположних прав ЄС

Кожна людина має право на захист персональних даних щодо неї. Такі дані мають використовуватися належним чином для визначених цілей та на підставі згоди такої людини або інших обґрунтованих підставах, встановлених законом. Кожна людина має право на доступ до даних, зібраних щодо неї, та право на виправлення в них помилок. Дотримання цих правил підлягає контролю з боку незалежного державного органу.

стаття 8 Хартії основоположних прав ЄС 
текст станом на березень 2026 року

На основі досліджень та правозахисної практики можемо виділити такі проблеми реалізації цього права в Україні:

  1. Законодавство про захист персональних даних не відповідає стандартам ЄС. Профільний закон про захист персональних даних сформульований у загальних термінах: принцип обмеження зберігання даних практично відсутній через надто загальні формулювання, право на забуття та механізм реагування на витік даних не передбачені, відсутній механізм збору та обробки персональних даних, отриманих під час використання засобів стеження, правила щодо профайлінгу чи інших чутливих даних відсутні. Наявні права суб’єктів даних позбавлені ефективних засобів захисту у разі їхнього порушення.
    • Стаття 32 Конституції України забороняє обробку конфіденційних даних без попередньої згоди особи, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Ця норма є вужчою за перелік правових підстав обробки даних у статті 6 Загального регламенту захисту даних (GDPR), зокрема, не передбачає підстави «законного інтересу», виконання договору (ст. 6(1)(b) GDPR), виконання публічного завдання (ст. 6(1)(e) GDPR) та захист життєво важливих інтересів особи (ст. 6(1)(d) GDPR). Це створює потенційну конституційну колізію при імплементації GDPR, яка потребує вирішення.
    • Чинне законодавство не містить вимоги щодо оцінки впливу на захист даних (Data Protection Impact Assessment, DPIA) відповідно до статті 35 GDPR. DPIA є обов’язковою для обробки, яка може створювати високий ризик для прав і свобод осіб, зокрема при масштабному використанні нових технологій, масовому стеженні або обробці чутливих даних.
    • Чинний Закон не має положень про екстратериторіальну дію відповідну до ст. 3 GDPR. Це означає, що іноземні компанії, які обробляють дані українців, не підпадають під українське законодавство. Законопроєкт № 8153 передбачає механізм призначення локальних представників для нерезидентів, але до його ухвалення ця прогалина залишається.
  2. Відсутній ефективний незалежний наглядовий орган у сфері захисту даних. Єдиним органом контролю є Уповноважений Верховної Ради України з прав людини, функції якого обмежені парламентським контролем, рішеннями фактично рекомендаційного характеру та виїзними або дистанційними перевірками. Уповноважений не має права самостійно вирішувати спори між суб’єктами даних та контролерами, накладати ефективні пропорційні санкції чи забезпечувати примусове виконання законодавства. Він також не має ресурсів для здійснення такої діяльності по всій країні. Таке функціональне навантаження на нього робить захист персональних даних ілюзорним.
  3. Відсутнє належне правове регулювання обробки персональних даних органами правопорядку. Директива ЄС 2016/680 залишається не імплементована.
  4. Відсутня єдина правова база щодо використання засобів стеження. Україна не має уніфікованого законодавства про масове стеження. Окремі закони (про Національну поліцію, оперативно-розшукову діяльність, контррозвідувальну діяльність) надають органам надмірно широку дискрецію без чітких меж, переліку уповноважених суб’єктів та підстав для застосування засобів стеження. Суб’єктів стеження не повідомляють про його здійснення, а можливість оскарження таких заходів фактично відсутня. Відсутній ефективний незалежний контроль за цими діями, а також будь-яка публічна звітність про використання цих методів.
  5. Відсутній механізм відповідальності за порушення законодавства про захист даних. Стаття 28 Закону сформульована у загальних термінах: “порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом”. Закон не містить деталізованого механізму санкцій, пропорційного до виду та тяжкості порушення, зокрема щодо несанкціонованого збору даних, недотримання строків обробки, продажу або витоку персональних даних.
  6. Законодавчі ініціативи ризикують розширити дискрецію органів безпеки без належних гарантій. Систематично в парламенті з’являються законопроєкти, які передбачають надання органам безпеки або правопорядку прямого та автоматизованого доступу до інформаційних систем і баз даних державних органів та приватних суб’єктів, включаючи конфіденційну інформацію, без встановлення легітимних підстав. Інші ініціативи у сфері відеомоніторингу надають органам влади надмірно широку дискрецію та не містять механізму контролю за дотриманням законодавства.
  7. Кібербезпека та витоки персональних даних. Україна стикається з безпрецедентними кіберзагрозами. У грудні 2024 року відбулася наймасштабніша зовнішня кібератака на державні реєстри Міністерства юстиції, яка призвела до тимчасового виходу з ладу реєстрів (відновлено 20 січня 2025 року). У вересні 2025 року в мережі з’явився архів, нібито пов’язаний із базами «Дії». Хоча Мінцифри спростувало витік, багато експертів відзначали системну проблему захисту даних на рівні різних інституцій. Чинне законодавство не містить механізму обов’язкового повідомлення про витоки даних, що відповідав би вимогам статті 33 GDPR (повідомлення наглядового органу протягом 72 годин).
  8. Ризики централізації даних у платформі «Дія». Стрімка цифровізація через екосистему «Дія» (понад 22 мільйони користувачів станом на 2025 рік, понад 150 сервісів) створює ризики централізації. Хоча «Дія» працює за принципом data-in-transit і не зберігає персональні дані, централізована платформа Trembita, яка забезпечує обмін даними між реєстрами, становить «єдину точку відмови», як зазначають експерти з кібербезпеки. Відсутній незалежний аудит безпеки платформи, а правовий режим захисту даних, зібраних через «Дію», залишається недостатньо врегульованим.
  9. Проблема транскордонної передачі даних. Чинне законодавство не містить адекватного механізму транскордонної передачі даних, що відповідав би главі V GDPR. Україна не має рішення Європейської Комісії про адекватність рівня захисту даних (adequacy decision) відповідно до статті 45 GDPR. Відсутні стандартні договірні положення (SCCs) та обов’язкові корпоративні правила (BCRs) як інструменти передачі даних. Це створює правову невизначеність для українського IT-сектору та інших форм бізнесу, які активно працюють з даними клієнтів із ЄС.
  10. Захист даних в умовах воєнного стану. Воєнний стан в Україні створює складний контекст для захисту приватності. Зокрема: конституційні обмеження прав в умовах воєнного стану (стаття 64 Конституції України) чітко не визначені законодавством; збір та обробка біометричних даних у процесі мобілізації; розширені повноваження спецслужб без належного судового контролю; використання камер відеоспостереження та систем розпізнавання облич для цілей безпеки тощо. Практика ЄСПЛ визначає, що права за статтею 8 Конвенції з прав людини залишаються чинними навіть під час збройного конфлікту.
  • не виконано
  • виконано

Що Україні потрібно зробити під час вступу до ЄС для покращення ситуації:

  • Оновити Закон України “Про захист персональних даних” відповідно до вимог Загального регламенту захисту даних (GDPR). Деталізувати та закріпити основоположні принципи обробки персональних даних; імплементувати право на забуття; розширити перелік прав суб’єктів даних та передбачити ефективні засоби їхнього захисту; запровадити правила щодо профайлінгу та додаткові гарантії при обробці чутливих (наприклад, біометричних, про здоров’я та інші) даних; встановити механізм реагування на витік даних. Кожній особі має гарантуватися: право на доступ до своїх даних та їхнє виправлення; право на забуття; право на заперечення та обмеження обробки; право на мобільність даних; право на захист від автоматизованих рішень з правовими наслідками; право на відшкодування шкоди. Відповідно до ст. 25 GDPR та Конвенції №108 зобов’язати контролерів впроваджувати технічні та організаційні заходи захисту приватності на етапі проєктування систем та за замовчуванням. Парламент повинен невідкладно розглянути законопроєкт № 8153 (прийнятий в першому читанні в листопаді 2024 року) з урахуванням зауважень експертів Ради Європи та правозахисників і його повній відповідності GDPR.
  • Необхідно врегулювати питання вузького визначення підстав для обробки персональних даних у статті 32 Конституції України з урахуванням права ЄС.
  • Закріпити у законодавстві вимогу проведення оцінки впливу на захист даних (DPIA) відповідно до статті 35 GDPR для будь-якої обробки, що може створити високий ризик для прав осіб. Це особливо актуально в контексті масштабної цифровізації державних послуг через «Дію», впровадження систем відеоспостереження, використання ШІ в державному секторі та збору даних для цілей мобілізації чи захисту національної безпеки.
  • Створити незалежний наглядовий орган у сфері захисту персональних даних. Забезпечити існування інституційно незалежного органу, уповноваженого розглядати скарги суб'єктів даних, проводити перевірки, накладати пропорційні санкції та забезпечувати примусове виконання законодавства про захист даних. Парламент повинен невідкладно розглянути пов’язаний з проєктом закону № 8153 законопроєкт № 6177 (внесений у 2021 році й не розглянутий парламентом) з урахуванням зауважень експертів Ради Європи та правозахисників.
  • Україна повинна підписати та ратифікувати Протокол змін до Конвенції Ради Європи № 108 Про захист осіб у зв’язку з автоматичною обробкою персональних даних (CETS № 223).
  • Запровадити інститут офіцерів із захисту даних. Відповідно до вимог Загального регламенту захисту даних (GDPR) передбачити у законодавстві механізм призначення офіцерів із захисту даних для внутрішнього нагляду за процесами обробки персональних даних із чіткими вимогами щодо їхньої незалежності та порядку діяльності.
  • Імплементувати Директиву (EU) 2016/680. Привести законодавство у відповідність до Директиви про обробку персональних даних органами правопорядку для цілей попередження, розслідування, виявлення та переслідування кримінальних правопорушень. Це особливо актуально в умовах розширених повноважень спецслужб.
  • Розробити уніфікований механізм використання засобів стеження. Закріпити законодавче визначення “масового стеження” та вичерпний перелік підстав для його застосування; встановити вичерпний перелік цілей та підстав для застосування інтрузивних засобів; обмежити автоматизований доступ органів безпеки до баз даних легітимними підставами та судовим контролем; чітко визначити дискрецію та “червоні лінії” для уповноважених органів; передбачити обов’язкове повідомлення суб’єкта стеження та можливість судового оскарження здійснених заходів; створити інституційно незалежний наглядовий орган у цій сфері або надати такі повноваження іншому незалежному органу. Врегулювати на рівні закону здійснення відеоспостереження в громадських місцях відповідно до стандартів захисту персональних даних та поваги до права на приватне життя. Органи правопорядку повинні публічно щорічно звітувати про загальні обсяги використання засобів стеження та інших форм втручання у приватне життя.
  • Встановити пропорційний механізм відповідальності за порушення у сфері захисту даних. Доповнити Закон “Про захист персональних даних” статтями щодо диверсифікованих санкцій залежно від виду та тяжкості порушення; деталізувати статтю 188-39 КУпАП (Порушення законодавства у сфері захисту персональних даних); передбачити кримінальну відповідальність за неправомірні дії з персональними даними, що досягли рівня злочину та забезпечити розслідування органами правопорядку повідомлень про такі злочини.
  • Розробити механізм обміну даних для цілей тренування ШІ-систем. Закріпити законодавчі положення щодо обміну даних між публічними інституціями та розробниками ШІ за прикладом Акту про управління даними ЄС: з обов'язковою згодою суб'єкта даних та наявністю спеціальних договорів, що визначають допустимі дії з персональними даними.
  • Запровадити концепцію «альтруїзму даних». Передбачити у законодавстві заохочувальні механізми, за яких особа може добровільно ділитися своїми даними на благо суспільства. Такі механізми мають супроводжуватися гарантіями захисту даних, зокрема публічним реєстром перевірених організацій, уповноважених на їхню обробку.
  • Посилити захист конфіденційності електронних комунікацій. Заборонити «прослуховування» та перехоплення комунікацій користувачів без їхньої попередньої згоди або з метою розслідування кримінальних правопорушень; зобов'язати постачальників комунікаційних послуг знищувати або анонімізувати дані, які більше не є необхідними для надання послуг.
  • Імплементувати вимоги ePrivacy. Привести законодавство, зокрема закон про електронні комунікації, у відповідність до Директиви 2002/58/ЄС (ePrivacy Directive) щодо конфіденційності електронних комунікацій, зокрема: правила щодо cookies та відстеження користувачів онлайн; захист метаданих комунікацій; правила щодо прямого маркетингу; обмеження на обробку даних про місцезнаходження.
  • Закріпити право особи на контроль над власним зображенням. Відповідно до практики ЄСПЛ особа має право контролювати поширення своїх фотографій, включаючи право відмовити у їхній публікації. Це право зберігається навіть якщо зображення вже потрапило у публічний простір; подальше його використання має балансуватися з правом особи на приватність. З огляду на це потребують оновленні відповідні застарілі положення Цивільного кодексу (ст. 307-308 ЦК України).
  • Запровадити захист від моніторингу комунікацій на робочому місці. Відповідно до практики ЄСПЛ, працівник має бути завчасно та чітко попереджений про можливість моніторингу його кореспонденції роботодавцем, а також про можливість доступу до його персональних даних без його відома. Відсутність такого попередження становить порушення права на приватність. В Україні ці процеси практично не регулюються законодавством.
  • Врегулювати захист персональних даних на цифрових платформах. Законодавчо заборонити платформам здійснювати профайлінг із використанням чутливих даних для рекламних цілей; заборонити великим платформам (брамникам) поєднувати персональні дані з різних сервісів та підключати користувачів до нових сервісів без їхньої явної згоди.
  • Забезпечити захист комунікацій журналістів та їхніх джерел. Доступ до комунікацій журналістів допускається лише за наявності законних підстав і не може призводити до розкриття журналістських джерел як побічний наслідок санкціонованих заходів.
  • Запровадити обмеження для систем штучного інтелекту, що обробляють біометричні чи інші чутливі дані. Заборонити системи ШІ, що здійснюють масовий збір зображень облич, ідентифікують емоції на робочих місцях або в навчальних закладах, класифікують людей за біометричними даними. Обробку чутливих даних провайдерами високоризикових систем ШІ допускати виключно в обсязі, необхідному для виявлення упередженості, з обов'язковою псевдонімізацією та забороною передачі третім особам.
  • Забезпечити незалежний аудит кібербезпеки «Дії» та критичної інфраструктури. Запровадити регулярний незалежний аудит кібербезпеки платформи «Дія» та системи «Трембіта». Результати аудиту (за винятком інформації, що може загрожувати безпеці) мають бути доступними для громадськості. Розробити протокол реагування на інциденти з чітким механізмом повідомлення суб’єктів даних про витоки відповідно до статей 33–34 GDPR.
  • Протидіяти нелегальному обігу персональних даних. Посилити кримінальну відповідальність за створення та адміністрування Telegram-ботів та інших платформ для нелегального продажу персональних даних та забезпечити ефективне розслідування таких випадків. Запровадити обов’язковий аудит доступу до державних реєстрів з використанням системи моніторингу.
  • Завершити виконання рішень ЄСПЛ у справах:
  • Денисюк та інші проти України (2025): справа стосується системних недоліків у сфері таємного стеження: відсутність незалежного наглядового органу, недостатніх гарантії професійної таємниці адвокатів, відсутності ефективних засобів правового захисту;
  • Коваль та інші проти України (2013): комплексна проблема щодо процедури обшуку та виїмки;
  • Корнієць та інші проти України (2025): обшук без судового рішення, неможливість оскаржити законність обшуку, проблема законодавства в контексті свавільних обшуків і вилученні майна;
  • Гуйван проти України (2025).

Більш детально з оглядом права й практики ЄС та України щодо цього права, а також обґрунтуванням наших рекомендацій ви можете ознайомитися в дослідженнях на цій сторінці, зокрема дивіться: Право на приватність​. Якщо у вас є пропозиції та зауваження щодо цього матеріалу, надсилайте їх, будь ласка, на адресу: hrmap@ccl.org.ua.

Використання опублікованих матеріалів дозволяється за умови обов’язкового посилання на джерело інформації. © Громадська організація «Центр громадянських свобод», 2026.

Експерт(к)и

Picture of Анна Людва

Анна Людва

юристка Лабораторії цифрової безпеки

Author picture

Лабораторія цифрової безпеки

Бібліотека