Закони України про захист персональних даних: Закон 2297-VI, законопроєкт 8153 та реформа GDPR (2026)

Основним нормативним актом України у сфері захисту персональних даних є Закон України «Про захист персональних даних» № 2297-VI, чинний з 1 січня 2011 року і адміністрований парламентським Уповноваженим з прав людини. Реформа щодо узгодження з GDPR, законопроєкт № 8153, пройшла перше читання 20 листопада 2024 року, але станом на травень 2026 року ще не набула чинності.
Коротка відповідь
Наразі Україна керується Законом «Про захист персональних даних» № 2297-VI, ухваленим 1 червня 2010 року і чинним з 1 січня 2011 року. Закон передує GDPR і за своєю структурою відповідає давно застарілій Директиві ЄС 95/46. Його виконання забезпечує парламентський Уповноважений з прав людини. Знаковий реформаторський закон, законопроєкт № 8153, пройшов перше читання 20 листопада 2024 року і станом на середину 2026 року просувається до другого читання. Після ухвалення він узгодить українські правила з GDPR, створить незалежний орган захисту даних, розширить права суб'єктів даних і запровадить санкції до 150 мільйонів гривень або 8 відсотків річного обороту.
Для бізнесу дотримання вимог сьогодні означає закон 2010 року. Дотримання вимог завтра означає підготовку до зобов'язань, еквівалентних GDPR, поки реформа проходить свій законодавчий шлях.
Конституційні засади
Право на приватність в Україні випливає зі статті 32 Конституції України, яка гарантує кожній особі право на недоторканність особистого і сімейного життя та захист персональних даних.
Стаття 32 також передбачає, що ніхто не може зазнавати втручання в особисте і сімейне життя, крім випадків, передбачених Конституцією. Збирання, зберігання, використання й поширення конфіденційної інформації про особу без її згоди не допускаються, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Ця конституційна гарантія становить фундамент, на якому ґрунтується закон 2010 року та майбутня реформа. Конституційний Суд України підтвердив, що право на недоторканність особистого життя належить кожній особі незалежно від її статусу, зокрема публічним особам.
Закон «Про захист персональних даних» № 2297-VI (2010 рік)
Передумови та сфера дії
Закон «Про захист персональних даних» ухвалено 1 червня 2010 року, він набув чинності 1 січня 2011 року. Того ж 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних (Конвенцію № 108) та Додатковий протокол до неї щодо наглядових органів і транскордонних потоків даних.
Закон застосовується до обробки персональних даних, що здійснюється повністю або частково автоматизованими засобами, а також до неавтоматизованої обробки персональних даних, що входять до картотеки. Він охоплює як фізичних, так і юридичних осіб, у державному і приватному секторах однаковою мірою.
Персональні дані визначаються як відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Це визначення загалом узгоджується з міжнародними стандартами, хоча імплементаційні положення менш деталізовані, ніж у GDPR.
Правові підстави обробки
Основною правовою підставою обробки за чинною редакцією закону є згода суб'єкта персональних даних. Згода має бути добровільною, поінформованою і чіткою. Закон не містить вимоги GDPR щодо однозначності та можливості підтвердити надання згоди, а також не має аналога багаторівневої моделі згоди GDPR.
Закон передбачає винятки, що дозволяють обробку без згоди, якщо це необхідно для виконання договору, стороною якого є суб'єкт даних, вимагається законом, необхідно для захисту життєво важливих інтересів або необхідно для виконання завдань в інтересах суспільства.
Повідомлення про обробку з підвищеним ризиком
Україна скасувала обов'язкову реєстрацію баз персональних даних з 1 січня 2014 року. Натомість володільці даних зобов'язані повідомити Уповноваженого протягом 30 робочих днів з моменту початку обробки даних, що становлять особливий ризик для прав і свобод суб'єктів даних.
Обов'язкове повідомлення застосовується у разі обробки даних про расове чи етнічне походження, політичні погляди, релігійні чи світоглядні переконання, членство в профспілках, стан здоров'я, статеве життя, біометричні дані, генетичні дані, судимість, запобіжні заходи, відомості про факти насильства, а також дані про місцезнаходження та пересування особи. Певні винятки застосовуються, зокрема для публічних реєстрів, громадських організацій, що обробляють дані своїх членів, та роботодавців, які обробляють дані працівників.
Повідомлення повинно містити відомості про володільця і розпорядника даних, категорії даних підвищеного ризику, мету обробки, категорії осіб, яких вона стосується, третіх осіб, яким розкриваються дані, відомості про транскордонну передачу, місце обробки та опис технічних і організаційних заходів безпеки.

Права суб'єктів даних за чинним законом 2010 року
Чинний закон надає суб'єктам даних такі права:
- Право знати джерела збирання, місцезнаходження, мету обробки та осіб, які обробляють їхні дані, протягом 30 календарних днів з моменту звернення.
- Право доступу до своїх персональних даних.
- Право заперечувати проти обробки та встановлювати обмеження чи застереження щодо певних видів обробки.
- Право вимагати виправлення недостовірних даних.
- Право вимагати видалення даних, якщо обробка є незаконною або дані є недостовірними.
- Право відкликати згоду в будь-який час.
- Право на захист від рішень, ухвалених виключно на основі автоматизованої обробки.
- Право вимагати відшкодування шкоди, зокрема моральної.
- Право подавати скарги Уповноваженому або до суду.
Ця система менш повна, ніж GDPR. У ній немає прямого права на перенесення даних, права на обмеження обробки як окремого права, а також права на видалення в його сучасному формулюванні за GDPR.
Наглядовий орган: Уповноважений з прав людини
Роль і повноваження
Уповноважений Верховної Ради України з прав людини, відомий як омбудсман, виконує функції наглядового органу у сфері захисту персональних даних відповідно до закону 2010 року. Апарат Уповноваженого розташований за адресою вул. Інститутська, 21/8, Київ, і веде англомовний розділ на сайті ombudsman.gov.ua.
Уповноважений має повноваження приймати та розслідувати скарги фізичних осіб, проводити планові й позапланові перевірки володільців даних, видавати обов'язкові приписи про усунення порушень і попередження, накладати адміністративні штрафи в разі невиконання попереджень, а також надавати консультативні роз'яснення щодо згоди, дистанційних правочинів, захисту даних в умовах воєнного стану та питань обробки, пов'язаних зі штучним інтелектом.
На практиці апарат Уповноваженого проводить приблизно 25-26 перевірок дотримання вимог щоквартально в державних і приватних організаціях. Правозастосування відбувається за градуйованим підходом: спочатку апарат видає попередження з вимогою припинити порушення. Адміністративні штрафи накладаються лише тоді, коли порушник не виконує це попередження. Такий підхід у поєднанні з обмеженістю ресурсів означає, що стратегічне правозастосування щодо великих приватних організацій було обмеженим.
У 2025 році апарат Уповноваженого отримав понад 1 100 звернень щодо захисту персональних даних на тлі загострення кіберзлочинності. Уповноважений Лубінець публічно попереджав про зростання ризику витоку даних і крадіжки особистих даних у цифровому середовищі воєнного часу.
Чинні адміністративні санкції
Чинні адміністративні санкції встановлені Кодексом України про адміністративні правопорушення і за міжнародними мірками є незначними:
- Неповідомлення Уповноваженого про обробку даних підвищеного ризику: до приблизно 170 євро.
- Невиконання приписів Уповноваженого: до приблизно 425 євро.
- Незаконний доступ до персональних даних або порушення, пов'язані з ними: до приблизно 425 євро.
- Повторні порушення протягом одного року: розмір санкції зростає у 2-2,5 раза.
Для юридичних осіб та відповідальних посадових осіб максимальний штраф сягає приблизно 34 000 гривень (близько 700 євро). Ці показники мають обмежений стримувальний ефект для комерційних організацій.
Кримінальна відповідальність
Окремо від адміністративних штрафів, Кримінальний кодекс України передбачає санкції за більш серйозні порушення. Незаконне збирання, зберігання чи поширення персональних даних тягне штраф, виправні роботи на строк до двох років, арешт на строк до шести місяців або обмеження волі на строк до трьох років за перше правопорушення. Повторні правопорушення або такі, що спричинили істотну шкоду, тягнуть арешт на строк від трьох до шести місяців, обмеження волі на строк від трьох до п'яти років або позбавлення волі на строк від трьох до п'яти років.
Законопроєкт № 8153: реформа узгодження з GDPR
Передумови та законодавча історія
Законопроєкт № 8153 «Про захист персональних даних» зареєстрований у Верховній Раді 25 жовтня 2022 року. Його розроблено за експертної підтримки Ради Європи та програми EU4DigitalUA, з проведенням кількох раундів консультацій із представниками органів влади, громадянського суспільства, бізнес-асоціацій та міжнародних партнерів.
Рада Європи оприлюднила офіційний висновок щодо законопроєкту, оцінивши його відповідність Конвенції 108+ та GDPR. Європейська Бізнес Асоціація та Офіс ефективного регулювання організували експертні обговорення його положень, зокрема щодо суперечності між посиленням захисту приватності та зобов'язаннями України у сфері відкритих даних.
Ухвалення в першому читанні: листопад 2024 року
Верховна Рада прийняла законопроєкт № 8153 за основу 20 листопада 2024 року, пройшовши перше читання. За українською парламентською практикою це процедурна віха: прийняття за основу означає, що Парламент схвалив основні принципи закону і доручив відповідальному комітету підготувати текст до другого читання з урахуванням поправок.
Станом на травень 2026 року законопроєкт готується до другого читання. Він ще не ухвалений і не набув чинності. Строки завершення другого і третього читань залежать від законодавчого календаря Парламенту та поточних потреб управління в умовах воєнного стану. Організаціям варто стежити за оновленнями на сайті Верховної Ради zakon.rada.gov.ua.
Основні положення законопроєкту № 8153
Законопроєкт № 8153 є всеосяжним переглядом, а не незначною поправкою. Його головні елементи включають:
Принципи обробки, узгоджені з GDPR. Законність, добросовісність, прозорість, обмеження мети, мінімізація даних, точність, обмеження зберігання, цілісність і конфіденційність, підзвітність.
Розширені правові підстави. Крім згоди та договору, законопроєкт запроваджує законний інтерес як правову підставу обробки, наближаючи Україну до статті 6 GDPR.
Розширені права суб'єктів даних. Законопроєкт додає право на видалення, право на обмеження обробки, право на перенесення даних та явний захист від рішень, ухвалених виключно на основі автоматизованої обробки, зокрема профілювання. Стаття 25 законопроєкту забороняє рішення, що суттєво впливають на суб'єктів даних, якщо вони ґрунтуються виключно на автоматизованій обробці.
Захист даних за задумом і за замовчуванням. Володільці даних повинні впроваджувати технічні й організаційні заходи, що забезпечують обробку за замовчуванням лише необхідних персональних даних.
Обов'язкове повідомлення про витік даних. Володільці даних зобов'язані повідомляти наглядовий орган протягом 72 годин з моменту виявлення порушення безпеки персональних даних, зазначаючи деталі порушення, кількість постраждалих осіб, типи даних, ймовірні наслідки та вжиті заходи реагування. Це суттєва зміна порівняно з чинним законом, який не містить обов'язку повідомляти про витоки даних.
Вимоги щодо відповідального за захист даних. Організації зобов'язані призначити відповідального за захист даних, якщо вони регулярно й систематично здійснюють моніторинг суб'єктів даних у великому масштабі, обробляють великі обсяги чутливих даних або обробляють біометричні чи генетичні дані.
Оцінка впливу на захист даних. Стаття 39 вимагає проведення оцінки впливу для видів обробки, що передбачають систематичний автоматизований аналіз та інші види діяльності з високим ризиком.
Штучний інтелект та автоматизоване ухвалення рішень. Стаття 18 законопроєкту вимагає від володільців даних розкривати механізми автоматизованого ухвалення рішень суб'єктам даних. Дністрянський центр зазначив, що положення законопроєкту щодо штучного інтелекту, хоча і є кроком уперед, не мають деталізації Закону ЄС про штучний інтелект і потребуватимуть доповнення окремим законодавством про штучний інтелект у майбутньому.
Структура санкцій за законопроєктом № 8153
Запропонована система санкцій суттєво вища за чинну.
Для фізичних осіб штрафи становитимуть від 10 000 до 20 мільйонів гривень (приблизно від 300 до 606 000 євро).
Для юридичних осіб нижчого рівня штрафи становитимуть від 30 000 гривень або 0,05 відсотка річного обороту до 5 відсотків річного обороту, але не менше 300 000 гривень.
Для юридичних осіб вищого рівня, щодо найсерйозніших порушень, штрафи сягатимуть до 150 мільйонів гривень або 8 відсотків річного обороту за попередній рік, залежно від того, яка сума більша.
Повторні порушення протягом одного року тягнуть санкцію в розмірі 200 відсотків початкового штрафу.
Ці показники близько відтворюють дворівневу структуру санкцій GDPR. Верхній рівень у 8 відсотків дещо перевищує граничні 4 відсотки GDPR для найсерйозніших порушень, що відображає намір розробників посилити стримувальний ефект.
Законопроєкт у редакції, ухваленій у першому читанні, не містить чіткого перехідного пільгового періоду. Аналітики очікують, що перехідний період тривалістю один-два роки буде запроваджено під час другого читання, щоб надати організаціям час на адаптацію.
Новий незалежний наглядовий орган
Однією з найважливіших структурних змін у законопроєкті № 8153 є заміна Уповноваженого як основного органу захисту персональних даних. Законопроєкт створює Національну комісію з питань захисту персональних даних та доступу до публічної інформації як новий незалежний орган.
Супровідний законопроєкт № 6177 визначає інституційну структуру Національної комісії. Комісія стане окремим державним органом, незалежним від виконавчої влади, відповідальним одночасно за формування політики та правозастосування. Вона матиме квазірозслідувальні повноваження, зокрема можливість залучати технологічних та інших профільних експертів.
Протягом першого року діяльності очікується, що Національна комісія зосередиться на інституційному становленні: підборі кадрів, встановленні процедур і розробці настанов щодо дотримання вимог. Не очікується, що санкції накладатимуться протягом цього періоду становлення.
Перехід до спеціалізованого органу має важливе значення. За чинного порядку функція захисту персональних даних Уповноваженого конкурує за ресурси й увагу з широким правозахисним мандатом. Спеціалізована комісія матиме спроможність і фаховість для активнішої взаємодії з приватним сектором, видання детальних настанов та стратегічного правозастосування.

Вступ до ЄС та імператив узгодження з GDPR
Угода про асоціацію між Україною та ЄС
Шлях України до членства в ЄС є найпотужнішим зовнішнім рушієм реформи захисту персональних даних. Угода про асоціацію між Україною та ЄС, що набула чинності у вересні 2017 року, зобов'язує Україну узгодити своє законодавство зі стандартами ЄС у численних сферах. Додаток XVII до Угоди прямо посилається на систему захисту даних ЄС.
Україна отримала офіційний статус кандидата на вступ до ЄС у червні 2022 року. Станом на початок 2026 року вона відкрила 18 з 35 переговорних розділів з ЄС, з яких 6 попередньо закрито. Узгодження з GDPR є середньостроковим пріоритетом із цільовим строком завершення у першому кварталі 2026 року. Затримка з ухваленням законопроєкту № 8153 спричинила певне відставання від цього графіка.
Що вимагає вступ
Узгодження з GDPR для цілей вступу до ЄС передбачає більше, ніж ухвалення закону зі схожим текстом. Україна також повинна створити незалежний наглядовий орган, що відповідає стандартам незалежності статей 51-54 GDPR, продемонструвати ефективну спроможність правозастосування, ухвалити вторинне законодавство та обов'язкові настанови, узгоджені зі стандартами Європейської ради із захисту даних, і працювати над отриманням рішення про належний рівень захисту, щоб уможливити вільний обіг даних між Україною та державами-членами ЄС.
Європейська рада із захисту даних оприлюднила переклади та настанови, які активно вивчають українські органи влади. Апарат Уповноваженого використовував настанови Європейської ради із захисту даних як орієнтир для консультативних висновків, виданих у період підготовки реформи.
Належний рівень захисту та потоки даних
Наразі Україна не є об'єктом рішення Європейської комісії про належний рівень захисту відповідно до статті 45 GDPR. Тому передача персональних даних з ЄС до України потребує застосування стандартних договірних застережень, обов'язкових корпоративних правил або одного з винятків за статтею 49. Ухвалення законопроєкту № 8153 та створення незалежної Національної комісії розглядаються як передумови для майбутньої оцінки належного рівня захисту.
Правила транскордонної передачі даних
Чинна система
Відповідно до закону 2010 року, передача персональних даних до іноземних держав дозволяється, якщо країна призначення є стороною Конвенції № 108 або іншим чином забезпечує належний захист персональних даних. Закон забороняє передачу до країн, що не відповідають цьому критерію, крім випадків, коли виконується хоча б одна з таких умов:
- Суб'єкт даних надав явну згоду на передачу.
- Передача необхідна для укладення чи виконання договору на користь суб'єкта даних.
- Передача необхідна для захисту життєво важливих інтересів суб'єкта даних.
- Передача служить суспільним інтересам або необхідна для встановлення, здійснення чи захисту правових вимог.
- Володілець даних забезпечує належні гарантії захисту даних.
Попереднього погодження Уповноваженого для транскордонної передачі як такої не вимагається. Однак якщо передані дані належать до категорії підвищеного ризику, застосовується окремий обов'язок повідомлення.
Сполучені Штати додано до переліку країн з належним рівнем захисту згідно з постановою Кабінету Міністрів України № 910 у серпні 2022 року. Держави ЄЕЗ та сторони Конвенції № 108 за замовчуванням вважаються такими, що мають належний рівень захисту.
Виняток щодо передачі даних в умовах воєнного стану
Спеціальний виняток, запроваджений в умовах воєнного стану, дозволяє передавати дані про стан здоров'я та реабілітацію до третіх країн (окрім росії та білорусі), якщо це необхідно для надання медичної допомоги чи реабілітації із застосуванням телемедицини, за умови дотримання правил медичної практики країни-отримувача.
Перспективи реформи
Очікується, що законопроєкт № 8153 запровадить детальнішу систему передачі даних, побудовану за зразком Розділу V GDPR. Це формалізує оцінки належного рівня захисту, стандартні договірні застереження, обов'язкові корпоративні правила та винятки для окремих обставин. Реформа спростить дотримання вимог для міжнародних організацій, узгодивши українські правила передачі з правилами, що застосовуються до даних резидентів ЄС.

Контекст воєнного стану та захист даних
Умови конфлікту
Повномасштабне вторгнення росії в Україну розпочалося 24 лютого 2022 року. Воєнний стан діє безперервно з тієї дати, регулярно продовжуваний Парламентом. Умови воєнного часу створюють гострі виклики у сфері захисту даних, яких не існує в мирних юрисдикціях.
Російські кібератаки, спрямовані на українські державні органи, об'єкти критичної інфраструктури, фінансові установи та приватні підприємства, є постійною складовою конфлікту. CERT-UA, національна команда реагування на комп'ютерні надзвичайні події, задокументувала тисячі інцидентів, пов'язаних з несанкціонованим доступом до систем, що містять персональні дані. Державна служба спеціального зв'язку та захисту інформації координує національний кіберзахист поряд з Департаментом кіберполіції Національної поліції.
Конституційні права в умовах воєнного стану
Стаття 32 Конституції України гарантує право на приватність, але стаття 64 допускає тимчасові обмеження конституційних прав в умовах воєнного стану в межах, необхідних згідно з обставинами. Українська влада виходить з позиції, що обмеження прав суб'єктів даних є допустимими в умовах воєнного стану, якщо вони виправдані міркуваннями національної безпеки, за умови, що обмеження є пропорційними і недискримінаційними.
Уповноважений видав роз'яснення, визнаючи, що певні обмеження є юридично обґрунтованими в надзвичайний період, водночас наголошуючи, що основні зобов'язання щодо безпеки даних, запобігання витокам і мінімальних вимог щодо згоди залишаються чинними.
Пріоритети дотримання вимог у воєнний час
Апарат Уповноваженого визначив захист даних, пов'язаний з кібербезпекою, як пріоритетну сферу правозастосування в умовах воєнного стану. Це включає захист реєстрів цивільного населення, охорону медичних записів внутрішньо переміщених осіб і військовослужбовців, запобігання несанкціонованому розкриттю даних про місцезнаходження, що може наражати осіб на небезпеку, а також забезпечення того, щоб гуманітарні організації, які обробляють дані постраждалих від конфлікту, дотримувалися стандартів мінімізації даних.
Організаціям, що працюють в Україні, рекомендовано впроваджувати багатофакторну автентифікацію, шифрування даних під час зберігання й передачі, а також плани реагування на інциденти. Підвищений рівень загроз робить відсутність обов'язкової вимоги повідомлення про витоки даних за чинним законом особливо помітною прогалиною.
Захист приватності в електронних комунікаціях та електронний маркетинг
Україна не імплементувала Директиву ЄС про приватність та електронні комунікації (ePrivacy). Правила електронного маркетингу випливають із Закону «Про електронну комерцію» (2015 рік), Закону «Про рекламу» (1996 рік) та Закону «Про електронні комунікації» (2020 рік).
Розсилку електронною поштою можна здійснювати як на підставі згоди, так і за моделлю відмови від отримання. Спам визначається як повторюване надсилання п'яти або більше електронних повідомлень без згоди отримувача. Телефонний маркетинг із повторюваними дзвінками без попередньої згоди заборонено. Організації можуть звертатися до наявних клієнтів щодо схожих товарів чи послуг за наявності механізму відмови від отримання таких повідомлень.
Законопроєкт № 8153 безпосередньо не усуває прогалину щодо ePrivacy. Очікується, що окреме законодавство, яке впроваджує еквівалентні ePrivacy правила, буде розроблено в межах ширшої програми цифрової гармонізації.
Питання дотримання вимог для бізнесу
Чинні зобов'язання
Організації, що працюють в Україні або обробляють персональні дані українських громадян, наразі зобов'язані визначати правову підставу для кожного виду обробки, повідомляти Уповноваженого протягом 30 робочих днів до початку обробки категорій даних підвищеного ризику, впроваджувати належні технічні й організаційні заходи безпеки, виконувати запити суб'єктів даних щодо доступу та виправлення протягом 30 календарних днів, повідомляти суб'єктів даних протягом 10 робочих днів, якщо їхні персональні дані було змінено або видалено, а також утримуватися від передачі даних до країн без належного рівня захисту, якщо не застосовується законодавчий виняток.
Підготовка до реформи
Організації, які вже дотримуються програм GDPR-комплаєнсу для своєї діяльності в ЄС, перебувають у вигіднішому становищі: узгодженість двох систем означає, що програма GDPR може слугувати міцною основою для дотримання українських вимог, потребуючи адаптації, а не побудови з нуля.
Організаціям без діяльності в ЄС варто провести аналіз потоків даних, щоб зрозуміти, які персональні дані вони обробляють, на якій правовій підставі, з яким передаванням третім особам і в яких транскордонних контекстах.
Вимога щодо відповідального за захист даних за законопроєктом застосовуватиметься до організацій, що обробляють великі обсяги даних або здійснюють систематичний моніторинг чи обробку чутливих даних. Визначення того, чи знадобиться призначення відповідального за захист даних, є практичним раннім кроком.
Обов'язкова вимога повідомлення про витік даних протягом 72 годин означає, що організаціям потрібен план реагування на інциденти, здатний оперативно виявляти витоки, оцінювати пороги повідомлення та підтримувати зв'язок із Національною комісією. Розбудова цієї спроможності до набуття законом чинності знижує ризики недотримання вимог.
Шкала санкцій за законопроєктом, що сягає 150 мільйонів гривень або 8 відсотків обороту, суттєво змінює розрахунок ризиків порівняно з нинішнім середовищем мінімальних штрафів. Організаціям варто інвестувати в дотримання вимог пропорційно до цього майбутнього ризику.
Останні події (2024-2026 роки)
Листопад 2024 року: Верховна Рада ухвалила законопроєкт № 8153 у першому читанні. Комітету з питань цифрової трансформації доручено підготувати законопроєкт до другого читання.
Грудень 2024 року: Експертне обговорення, скликане Офісом ефективного регулювання та Міністерством цифрової трансформації, у якому взяли участь понад 40 представників органів влади, громадянського суспільства та бізнесу, визначило невирішену суперечність між захистом даних і зобов'язаннями України щодо відкритих даних як ключове питання другого читання.
Початок 2025 року: Рада Європи оприлюднила офіційний висновок щодо законопроєкту № 8153, оцінивши відповідність Конвенції 108+ та надавши рекомендації щодо уточнення низки положень. Програма EU4DigitalUA продовжувала надавати технічну допомогу парламентському комітету, що готує текст до другого читання.
2025 рік: Уповноважений отримав понад 1 100 скарг щодо захисту персональних даних протягом року, а Уповноважений Лубінець публічно попереджав про зростання ризиків кіберзлочинності для персональних даних.
Станом на травень 2026 року: законопроєкт № 8153 залишається на етапі підготовки до другого читання. Він ще не набув чинності. Національну комісію ще не створено. Закон 2010 року залишається чинною правовою основою.
Ця стаття має інформаційний характер і не є юридичною консультацією. Система захисту персональних даних в Україні активно змінюється. Організаціям варто звертатися за консультацією до кваліфікованих юристів з урахуванням обставин конкретної ситуації. Див. також: Закони про запис розмов в Україні.
Frequently Asked Questions
Який чинний закон про захист персональних даних діє в Україні?
Закон України «Про захист персональних даних» № 2297-VI, ухвалений 1 червня 2010 року і чинний з 1 січня 2011 року, є чинним законодавством у сфері захисту даних. Він побудований за зразком Директиви ЄС про захист даних 95/46, яку сам ЄС замінив на GDPR ще у 2018 році. Закон 2010 року поступово замінюється законопроєктом № 8153, який пройшов перше читання 20 листопада 2024 року, але ще не набув чинності.
Чи набув законопроєкт № 8153 статусу чинного закону?
Ні. Станом на травень 2026 року законопроєкт № 8153 пройшов перше читання у Верховній Раді 20 листопада 2024 року. Він готується до другого читання і ще не набув чинності. Організаціям варто стежити за оновленнями на сайті zakon.rada.gov.ua щодо другого читання та строків набуття чинності.
Хто є наглядовим органом України у сфері захисту персональних даних?
Наразі наглядовим органом є Уповноважений Верховної Ради України з прав людини (омбудсман), сайт ombudsman.gov.ua. Законопроєкт № 8153 замінить цей порядок новим незалежним органом, Національною комісією з питань захисту персональних даних та доступу до публічної інформації, яку ще не створено.
Яке покарання за порушення захисту персональних даних в Україні?
За чинним законом 2010 року адміністративні штрафи дуже низькі: до приблизно 425 євро за більшість порушень, з максимумом близько 34 000 гривень (приблизно 700 євро) для найсерйозніших випадків. Кримінальне покарання за незаконне збирання чи поширення даних може сягати п'яти років позбавлення волі. Законопроєкт № 8153 пропонує санкції до 150 мільйонів гривень або 8 відсотків річного обороту за найсерйозніші порушення, порівнянні із санкціями GDPR.
Як воєнний стан впливає на захист персональних даних в Україні?
Воєнний стан діє з лютого 2022 року. Він допускає пропорційні тимчасові обмеження певних прав, зокрема права на приватність, з міркувань національної безпеки. Він також створив окремі правила, наприклад дозвіл на передачу медичних даних до більшості третіх країн для цілей телемедицини. Кібератаки на практиці посилили вимоги щодо безпеки даних. Уповноважений продовжує забезпечувати виконання закону 2010 року і приділяє пріоритетну увагу захисту даних, пов'язаному з кібербезпекою, в умовах конфлікту.
Чому Україна реформує законодавство про захист персональних даних?
Узгодження з GDPR є юридичним зобов'язанням за Угодою про асоціацію між Україною та ЄС і орієнтиром для процесу вступу України до ЄС. Україна отримала статус кандидата на вступ до ЄС у червні 2022 року і веде переговори щодо розділів членства. Узгодження законодавства про захист даних з GDPR і Конвенцією 108+ є однією з конкретних вимог, які має виконати Україна. Реформа також усуває давні недоліки системи 2010 року, зокрема мінімальні санкції, обмежені права суб'єктів даних та відсутність незалежного органу правозастосування.
Чи можна передавати персональні дані з України до інших країн?
Так, за чинним законом 2010 року. Передача до держав ЄЕЗ, сторін Конвенції № 108 та країн, схвалених Україною (зокрема Сполучених Штатів з серпня 2022 року), дозволяється без додаткових умов. Передача до інших країн потребує принаймні однієї з таких умов: згода суб'єкта даних, необхідність виконання договору, захист життєво важливих інтересів, суспільний інтерес або гарантії, надані володільцем даних. Попереднє погодження Уповноваженого для передачі як такої не вимагається. Законопроєкт № 8153 запровадить детальнішу систему передачі, узгоджену з Розділом V GDPR.
Чи є в Україні право на видалення даних або «право бути забутим»?
Прямо в чинному законі 2010 року такого права немає. Суб'єкти даних можуть вимагати видалення, якщо обробка є незаконною або дані є недостовірними, що охоплює деякі сценарії видалення. Однак право на видалення у стилі GDPR та його ширші підстави, зокрема відкликання згоди та відсутність подальшої необхідності в даних для початкової мети, не закріплені в чинному законі. Законопроєкт № 8153 запроваджує явне право на видалення, узгоджене зі статтею 17 GDPR.
Чи зобов'язаний бізнес призначати відповідального за захист персональних даних в Україні?
За чинним законом 2010 року така вимога стосується лише державних органів, що обробляють чутливі дані, і полягає в призначенні відповідального за приватність. Законопроєкт № 8153 вимагатиме призначення відповідального за захист даних для організацій, які регулярно і систематично здійснюють моніторинг суб'єктів даних у великому масштабі, обробляють великі обсяги чутливих даних або обробляють біометричні чи генетичні дані, що відповідає порогу статті 37 GDPR.
Sources and References
- Закон України № 2297-VI «Про захист персональних даних» (текст англійською), Верховна Рада України(zakon.rada.gov.ua).gov
- Уповноважений Верховної Ради України з прав людини (омбудсман), офіційний сайт(ombudsman.gov.ua).gov
- Верховна Рада підтримує законопроєкт про захист персональних даних у першому читанні, EU4DigitalUA(eu4digitalua.eu)
- Звіт про законодавство та регулювання захисту даних 2025-2026: Україна, ICLG(iclg.com)
- Законодавство про захист даних в Україні, DLA Piper Global Data Protection Laws of the World(dlapiperdataprotection.com)
- Законодавство про захист даних і кібербезпеку в Україні, експертний посібник CMS(cms.law)
- Data Protected — Україна, Linklaters(linklaters.com)
- Санкції розміру GDPR за порушення захисту персональних даних в Україні, The World Law Group(theworldlawgroup.com)
- Законопроєкт України про захист даних, Secure Privacy(secureprivacy.ai)
- Захист персональних даних українців: обговорення висновку Ради Європи щодо законопроєкту № 8153, Офіс Ради Європи в Україні(coe.int)
- Висновок Ради Європи щодо законопроєкту України про захист персональних даних(rm.coe.int)
- Захист персональних даних і штучний інтелект: законопроєкт № 8153, Дністрянський центр(dc.org.ua)
- Обговорення законопроєкту № 8153 про захист персональних даних, Європейська Бізнес Асоціація України(eba.com.ua)
- Тенденції у сфері технологій, медіа і телекомунікацій в Україні: захист даних, електронні комунікації, штучний інтелект, CEE Legal Matters(ceelegalmatters.com)
- Україна рухається до санкцій розміру GDPR: основні висновки, The World Law Group(theworldlawgroup.com)