У цифрову епоху персональні дані стали одним із найцінніших ресурсів. Ваше ім'я, адреса, номер телефону, медичні дані, фінансова інформація — все це може бути використане як на вашу користь, так і на шкоду. В Україні захист персональних даних гарантований Конституцією та спеціальним законодавством, однак порушення трапляються щодня: від незаконних спам-дзвінків до витоку медичних даних та несанкціонованого використання фото.

У цій статті адвокат Артем Насарая розповідає, що таке персональні дані, які ваші права, і що робити, якщо ваші дані були використані незаконно.

Правова основа захисту персональних даних в Україні

Захист персональних даних в Україні регулюється кількома ключовими нормативними актами:

  • Конституція України (ст. 32) — гарантує право на невтручання в особисте життя та заборону збирання, зберігання та поширення конфіденційної інформації про особу без її згоди
  • Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI — основний спеціальний закон
  • Закон України «Про інформацію» — загальні засади інформаційних відносин
  • Цивільний кодекс України (ст. 301-302) — право на особисте життя та його таємницю
  • Кримінальний кодекс України (ст. 182) — кримінальна відповідальність за порушення недоторканності приватного життя

Стаття 32 Конституції України: «Ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.»

Що є персональними даними

Відповідно до Закону «Про захист персональних даних», персональні дані — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. До персональних даних належать:

Загальні персональні дані

  • Прізвище, ім'я, по батькові
  • Дата та місце народження
  • Адреса проживання та реєстрації
  • Номери телефонів та електронна адреса
  • Паспортні дані, ІПН
  • Номер банківського рахунку
  • Фотографії та відеозаписи, на яких можна ідентифікувати особу
  • IP-адреса (за певних умов)

Чутливі (спеціальні) персональні дані

Особливий режим захисту встановлений для таких категорій даних:

  • Расове або етнічне походження
  • Політичні, релігійні або світоглядні переконання
  • Членство у політичних партіях та професійних спілках
  • Стан здоров'я, медичні дані
  • Біометричні та генетичні дані
  • Дані про судимість
  • Дані про сексуальне життя

Обробка чутливих даних, як правило, заборонена, за виключенням чітко визначених законом випадків (наприклад, за письмовою згодою особи або для захисту життєво важливих інтересів).

Захист персональних даних та цифрова безпека
Знання своїх прав щодо персональних даних — перший крок до їх захисту

Згода на обробку персональних даних

Обробка персональних даних здійснюється лише за наявності однієї з наступних підстав:

  1. Згода суб'єкта персональних даних — найпоширеніша підстава. Згода має бути:
    • Добровільною
    • Інформованою (особа розуміє, для чого збираються дані)
    • Конкретною (щодо визначеної мети)
    • Документально підтвердженою
  2. Дозвіл на обробку, наданий законом — наприклад, роботодавець обробляє дані працівника для виконання трудового договору
  3. Необхідність захисту життєво важливих інтересів суб'єкта даних
  4. Необхідність виконання договору, стороною якого є суб'єкт
  5. Необхідність захисту законних інтересів володільця даних або третьої особи

Права суб'єктів персональних даних

Закон надає кожній особі широкий перелік прав щодо своїх персональних даних:

1. Право знати

Ви маєте право знати про місцезнаходження бази персональних даних, яка містить ваші дані, її призначення та найменування або прізвище володільця.

2. Право на доступ

Ви можете отримати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються ваші дані.

3. Право на спростування та видалення

Пред'являти вмотивовану вимогу про зміну або знищення своїх персональних даних будь-яким володільцем та розпорядником.

4. Право на захист

Вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди.

5. Право на відкликання згоди

Ви маєте право у будь-який момент відкликати свою згоду на обробку персональних даних. Після відкликання згоди володілець зобов'язаний припинити обробку даних.

Що робити при порушенні: покроковий план

Якщо ваші персональні дані було використано незаконно, дійте послідовно:

Крок 1: Зафіксуйте порушення

  • Зробіть скріншоти, збережіть SMS, листи, повідомлення
  • Запишіть дату, час та обставини порушення
  • Визначте, хто саме міг порушити ваші права (організація, конкретна особа)
  • За можливості зверніться до нотаріуса для посвідчення інтернет-сторінок

Крок 2: Зверніться до порушника

  • Подайте письмову претензію з вимогою припинити обробку та видалити дані
  • Встановіть розумний строк для відповіді (30 днів)
  • Зберігайте копію претензії та підтвердження її вручення

Крок 3: Скарга Уповноваженому Верховної Ради з прав людини

Уповноважений з прав людини (Омбудсман) здійснює парламентський контроль за додержанням прав людини, в тому числі у сфері захисту персональних даних.

  • Скарга подається у письмовій формі або онлайн через офіційний сайт Уповноваженого
  • Строк розгляду — до 30 днів (з можливістю продовження)
  • Уповноважений має право перевірити володільця, надати припис про усунення порушення, накласти штраф
Юридичний захист персональних даних
Кваліфікована юридична допомога суттєво підвищує шанси на успішний захист ваших прав

Судовий захист прав на персональні дані

Якщо позасудові засоби не дали результату, ви маєте право звернутися до суду. Судовий захист може включати:

Цивільний позов

  • Вимога про припинення обробки персональних даних
  • Вимога про видалення персональних даних
  • Компенсація матеріальної шкоди — якщо незаконне використання даних завдало вам фінансових збитків
  • Компенсація моральної шкоди — за душевні страждання, приниження честі та гідності (ст. 1167 ЦКУ)

Кримінальне провадження

У серйозних випадках порушення може кваліфікуватися за ст. 182 Кримінального кодексу України «Порушення недоторканності приватного життя»:

Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації — карається штрафом від 500 до 1000 неоподатковуваних мінімумів або виправними роботами, або арештом на строк до 6 місяців, або обмеженням волі на строк до 3 років.

Типові порушення у сфері персональних даних

Найпоширеніші випадки порушення прав на персональні дані в Україні:

  1. Спам-дзвінки та SMS — використання номера телефону без згоди для рекламних та маркетингових цілей
  2. Витік даних клієнтів — коли компанія не забезпечила належний рівень захисту баз даних
  3. Незаконне відеоспостереження — камери без попередження, спрямовані на приватну територію
  4. Розголошення медичних даних — порушення лікарської таємниці працівниками медичних закладів
  5. Публікація фото без згоди — використання зображення людини в рекламі, ЗМІ без дозволу
  6. Несанкціонований доступ до акаунтів — злам електронної пошти, соціальних мереж
  7. Передача даних третім особам — коли компанія передає ваші дані партнерам без вашої згоди
  8. Колекторські компанії — розголошення інформації про борги сусідам, родичам

Порівняння з GDPR: україна та європейські стандарти

Закон України «Про захист персональних даних» був розроблений з урахуванням європейських стандартів, зокрема Конвенції Ради Європи № 108. Однак між українським законодавством та Загальним регламентом захисту даних ЄС (GDPR) існують суттєві відмінності:

  • Штрафи: GDPR передбачає штрафи до 20 млн євро або 4% світового обороту. В Україні штрафи значно менші — від 17 000 до 34 000 грн для юридичних осіб
  • DPO (Data Protection Officer): GDPR вимагає призначення відповідального за захист даних у великих компаніях. В Україні така вимога відсутня
  • Повідомлення про витоки: GDPR зобов'язує повідомити регулятора протягом 72 годин. В Україні чіткого строку не встановлено
  • Право на перенесення даних: передбачене GDPR, відсутнє в українському законодавстві

У зв'язку з євроінтеграцією України очікується поступове наближення національного законодавства до стандартів GDPR.

Практичні рекомендації з захисту персональних даних

  • Уважно читайте політику конфіденційності перед наданням згоди на обробку даних
  • Не надавайте зайвих персональних даних — лише необхідний мінімум
  • Використовуйте надійні паролі та двофакторну аутентифікацію
  • Регулярно перевіряйте, які сервіси мають доступ до ваших даних
  • Відкликайте згоду на обробку даних, коли послуга вам більше не потрібна
  • Фіксуйте всі підозрілі дзвінки та повідомлення
  • Зверніться до адвоката при першій підозрі на порушення

Висновки

Захист персональних даних — це не лише питання законодавства, а й особистої безпеки кожного громадянина. Українське законодавство надає достатньо інструментів для захисту ваших прав: від скарги до Омбудсмана до судового позову з компенсацією шкоди. Головне — знати свої права та не боятися їх відстоювати.

Потрібна юридична допомога?

Адвокат Артем Насарая допоможе вам у вирішенні правових питань. Замовте адвокатський запит або отримайте консультацію.

Замовити послугу