Нова реформа законодавства у сфері захисту персональних даних

Публікації

Костіна Аріна, молодший юрист ЮК «Правовий Альянс»
Санжаровська-Гурлач Лідія, cтарший юрист ЮК «Правовий Альянс»

3 липня п.р. Верховною Радою України було прийнято в цілому проект Закону України № 2836 «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних». 23 липня п.р.відповідний Закон України № 383-VII (далі - «Закон») повернуто з підписом Президента України. 31 липня п.р. Закон офіційно оприлюднено.

Відповідно до встановлених у Законі прикінцевих та перехідних положень Законнабере чинності з 1 січня 2014 року.

За змістом Закон вноситьрядсуттєвих змін до Закону України «Про захист персональних даних» та Кодексу України про адміністративні правопорушення.Серед найбільш суттєвих нововведень слід виділити наступні:

1. Уповноважений державний орган з питань захисту персональних даних замінюється Уповноваженим Верховної Ради України з прав людини

Відповідно до змін, передбачених Законом, за текстом Закону України «Про захист персональних даних» повністю виключається згадування про уповноважений державний орган з питань захисту персональних даних (на сьогодні – Державна служба України з питань захисту персональних даних).

Уповноважений державний орган з питань захисту персональних даних замінюється Уповноваженим Верховної Ради України з прав людини (далі – «Омбудсмен»)

За положеннями Закону України «Про захист персональних даних» Омбудсмен матиме, зокрема, наступні повноваження:

отримувати скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;
проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Омбудсменом, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;
отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;
за підсумками перевірки, розгляду звернення видавати обов'язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних;
складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом.

2. Процедура держаної реєстрації баз персональних даних замінюється повідомленнямОмбудсмена про обробку персональних даних

Чинна на сьогодні стаття 9 Закону України «Про захист персональних даних» щодо державної реєстрації баз персональних даних з 1 січня 2014 року буде викладена у новій редакції та встановлюватиме порядок повідомлення Омбудсмена про обробку персональних даних.

Відповідно до нового порядку володільці персональних даних будуть зобов’язані повідомлятиОмбудсмена:

про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних,протягом30 робочих днів з дня початку такої обробки;
про кожну зміну відомостей, що підлягають повідомленню, протягом 10 робочих днів з дня настання такої зміни.

Види обробки, які вважатимуться такими, що становлять особливий ризик для прав і свобод суб'єктів персональних даних, та категорії суб'єктів, на яких поширюватиметься вимога щодо повідомлення, будуть визначеніОмбудсменом окремо.Омбудсменомтакож буде встановлена й форма і порядок відповідного повідомлення.

Інформація, що буде повідомлена Омбудсмену, буде оприлюднюватись на офіційному веб-сайті Омбудсмена в порядку, визначеному Омбудсменом.

Відповідно до встановлених у Законі прикінцевих та перехідних положень Омбудсмен має прийняти всі нормативно-правові акти, необхідні для реалізації Закону України «Про захист персональних даних», протягом 3 місяців з дня набрання Законом чинності (до 01.04.2014 р.).

Володільці ж персональних даних, які на момент набрання чинності Законом здійснюють обробку персональних даних, що підлягає повідомленню, будуть зобов’язані подати відповідне повідомлення Омбудсмену протягом 6 місяців з дня набрання Законом чинності (до 01.07.2014 р.).

3. Змінено перелік «чутливих персональних даних»

Відповідно до Закону змінено перелік персональних даних, щодо яких встановлені особливі вимоги до обробки. Зокрема, перелік таких персональних даних, окрім наявних й раніше даних щодо здоров'я, доповненобіометричними та генетичними даними.

4. Змінено склади порушень законодавства у сфері захисту персональних даних та санкції

Відповідно до змін, передбачених Законом, змінені склади порушень за ст.ст. 18839 та 18840 Кодексу України про адміністративні правопорушення (далі – «КпАП») та санкції за ст. 18839КпАП.

Окремі зі змінених складівпорушень та санкцій
за ст. 18839КпАП:

№ з/п	До 01.01.2014 р.	Після 01.01.2014 р.
1.	Ухилення від державної реєстрації бази персональних даних. Штраф: на громадян: 5100-8500 грн.; на посадових осіб та ФОП: 8500-17000 грн. Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних. Штраф: на громадян: 1700-3400 грн.; на посадових осіб та ФОП: 3400-6800 грн.	Неповідомлення або несвоєчасне повідомлення Омбудсмена, або повідомлення неповних чи недостовірних відомостей про: обробку персональних даних; зміну відомостей, які підлягають повідомленню. Штраф: на громадян: 1700-3400 грн.; на посадових осіб та ФОП: 3400-6800 грн.
2.	Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них. Штраф: 5100-17000 грн.	Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних. Штраф: на громадян: 1700-8500 грн.; на посадових осіб та ФОП: 5100-17000 грн.
3.	Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються. Штраф: на громадян: 3400-5100 грн.; на посадових осіб та ФОП: 5100-6800 грн.	______________

Команда

Дмитро Алешко Керуючий партнер, адвокат

Андрій Горбатенко Партнер, адвокат

Віталій Савчук Партнер, адвокат

Лідія Санжаровська Асоційована партнерка, Право (PhD)

Олександр Бондар Радник

Марина Щербак Старша юристка, адвокатка

Марина Ткаченко Старша юристка

Наша команда

24 листопада 2025

IP UKRAINE NOW 2025: законодавчі зміни на шляху до ЄС

Подія присвячена трансформації сфери інтелектуальної власності України на шляху до євроінтеграції.

23 жовтня 2025

Правові реформи для розширення доступу пацієнтів до основних лікарських засобів. Технічний огляд SAFEMed

Покращення доступу населення України до безпечних та доступних лікарських засобів є одним із пріоритетів Уряду країни. Проєкт SAFEMed (2017-2025) підтримав такі зусилля через застосування найкращих практик вдосконалення системи охорони здоров’я.

17 жовтня 2025

Репутація як головний актив: 30 років LA Law Firm (Частина 2)

30 років LA Law Firm — це насамперед історія людей. Від перших студентських перемог у судах до масштабних реформ, що змінюють країну. «Юридична Газета» зібрала розповіді команди, яка зростала разом із фірмою та зберегла головне — віру в професію й бездоганну репутацію.

15 жовтня 2025

Репутація як головний актив: 30 років LA Law Firm (Частина 1)

Отримуйте інформацію про актуальні заходи

Натиснувши на кнопку, Ви даєте згоду на обробку персональних даних