Закон України «Про захист персональних даних»

№ 2297-VI
Чинний

Галузь права:

Дата прийняття: 01.06.2010

Дата набрання чинності: 01.01.2011

Офіційний текст закону

Остання редакція: 14.06.2025

Коротко про закон

Закон України про захист персональних даних встановлює базові правила, за якими в Україні можна збирати, зберігати, використовувати, передавати та іншим способом обробляти інформацію про фізичних осіб. Йдеться про будь-які відомості, за якими людину можна прямо або опосередковано ідентифікувати: ім'я, контактні дані, ідентифікаційні номери, дані про місце проживання, роботу, стан здоров'я, фінансові чи інші персональні характеристики.

Закон діє для органів влади, підприємств, установ, організацій, фізичних осіб-підприємців та інших осіб, які працюють з персональними даними. Його призначення — збалансувати потребу держави й бізнесу обробляти інформацію з правом людини на приватність, контроль над власними даними та захист від неправомірного поширення.

Що регулює закон

Закон визначає ключові поняття у сфері персональних даних: суб'єкт персональних даних, володілець, розпорядник, згода, обробка, поширення, знеособлення, треті особи. Через ці категорії він описує, хто приймає рішення про мету обробки даних, хто фактично виконує технічні або організаційні дії з такими даними, а хто має право вимагати інформацію про їх використання.

Окремий блок правил стосується підстав обробки персональних даних. Це може бути згода особи, виконання договору, вимога закону, захист життєво важливих інтересів, виконання повноважень органу влади або інша передбачена законом підстава. Закон також встановлює принципи обробки: дані мають бути точними, не надмірними, пов'язаними з визначеною метою та зберігатися не довше, ніж потрібно для цієї мети.

Важливою частиною регулювання є права суб'єкта даних. Людина може знати, хто і з якою метою обробляє її дані, отримувати доступ до них, вимагати виправлення недостовірної інформації, заперечувати проти певної обробки або звертатися зі скаргою. Закон також передбачає вимоги до захисту даних від випадкової втрати, незаконного доступу, зміни чи поширення.

Для кого закон є важливим

Закон має практичне значення для всіх, хто збирає або використовує інформацію про фізичних осіб. Для роботодавців це кадрові документи, анкети працівників, копії паспортів, податкові номери, дані про зарплату, лікарняні та відпустки. Для інтернет-магазинів, банків, страхових компаній, медичних закладів, освітніх установ і мобільних застосунків — це клієнтські профілі, історія замовлень, контактні дані, платіжна інформація, записи звернень та інші набори даних.

Для громадян закон важливий як інструмент контролю за тим, кому вони передають свої дані та як ці дані використовуються. Він також стосується державних органів, органів місцевого самоврядування, адміністраторів реєстрів, центрів надання адміністративних послуг, комунальних підприємств і суб'єктів, які виконують делеговані повноваження. У кожному з цих випадків обробка персональних даних має мати правову підставу, зрозумілу мету та належний рівень захисту.

Практичне застосування

На практиці закон застосовується під час оформлення трудових відносин, укладення договорів, надання адміністративних, медичних, банківських, освітніх, комунальних та онлайн-послуг. Наприклад, коли особа заповнює заяву, реєструється в особистому кабінеті, передає документи роботодавцю, подає скаргу до органу влади або погоджується на отримання повідомлень від сервісу, виникає питання законної обробки її персональних даних.

Для володільців даних закон означає необхідність визначити мету обробки, обсяг потрібних даних, порядок доступу працівників, строки зберігання, підстави передачі третім особам і заходи безпеки. Якщо компанія передає дані підряднику, наприклад хмарному сервісу, кол-центру або бухгалтерській компанії, важливо розмежувати ролі володільця і розпорядника та закріпити умови обробки.

Закон також використовується під час розгляду скарг на незаконне поширення персональної інформації, надмірне збирання копій документів, відмову надати доступ до власних даних, використання даних не за заявленою метою або передачу інформації без належної підстави. Контроль у цій сфері пов'язаний із повноваженнями Уповноваженого Верховної Ради України з прав людини та нормами про адміністративну, цивільну чи іншу відповідальність.

Які питання виникають найчастіше

Найбільше практичних питань виникає там, де персональні дані збираються масово або передаються між кількома учасниками. Типові ситуації стосуються згоди, доступу, зберігання, безпеки та меж використання отриманої інформації.

  • коли потрібна окрема згода особи на обробку персональних даних;
  • чи можна обробляти дані без згоди, якщо цього вимагає закон або договір;
  • які права має людина щодо доступу, виправлення або видалення своїх даних;
  • хто відповідає за витік даних — володілець чи розпорядник;
  • як закон застосовується до онлайн-сервісів, сайтів і мобільних застосунків;
  • які обмеження діють для передачі персональних даних третім особам або за кордон.

На що звернути увагу

Закон є чинним і застосовується з урахуванням змін, внесених до його редакції, зокрема щодо повноважень контролю, прав суб'єктів даних, порядку обробки та узгодження з іншими сферами законодавства. Оскільки остання редакція може впливати на формулювання прав та обов'язків, під час використання норм варто орієнтуватися саме на актуальний текст, а не на старі шаблони згод або політик конфіденційності.

Окремої уваги потребує зв'язок цього закону з Конституцією України, Цивільним кодексом України, трудовим законодавством, законами про інформацію, електронні комунікації, доступ до публічної інформації, охорону здоров'я, банки та фінансові послуги. У багатьох сферах спеціальні закони визначають, які саме дані збираються і як довго зберігаються, а Закон про захист персональних даних задає загальні гарантії приватності та безпеки.

Висновок

Закон України «Про захист персональних даних» є основним актом для визначення правил роботи з інформацією про фізичних осіб. Він допомагає зрозуміти, коли обробка даних є законною, які права має людина та які обов'язки покладаються на тих, хто збирає, зберігає або передає персональні дані. Для практичного застосування ключове значення мають мета обробки, правова підстава, мінімізація даних і належний захист доступу.

Часті питання щодо закону

Що вважається персональними даними за цим законом?

Персональними даними є відомості або сукупність відомостей про фізичну особу, яку можна ідентифікувати прямо чи опосередковано. Це можуть бути паспортні дані, податковий номер, адреса, телефон, електронна пошта, фото, дані про роботу, освіту, здоров’я або інша інформація, пов’язана з конкретною людиною.

Чи завжди потрібна згода на обробку персональних даних?

Згода є однією з підстав обробки, але не єдина. Дані можуть оброблятися також для виконання договору, на підставі закону, у межах повноважень органу влади або в інших випадках, передбачених законодавством. Важливо, щоб володілець даних міг пояснити конкретну правову підставу обробки.

Хто такий володілець персональних даних?

Володілець персональних даних визначає мету обробки, склад даних і процедури роботи з ними. Це може бути державний орган, підприємство, установа, організація, ФОП або інший суб’єкт, який вирішує, навіщо і як використовуються персональні дані.

Чим розпорядник персональних даних відрізняється від володільця?

Розпорядник обробляє персональні дані за дорученням володільця і в межах визначених ним умов. Наприклад, технічний підрядник, хмарний сервіс або зовнішній бухгалтер може виконувати операції з даними, але не визначати самостійну мету їх використання.

Які права має особа щодо своїх персональних даних?

Суб’єкт персональних даних має право знати про джерела збирання, місце зберігання, мету обробки та осіб, яким передаються його дані. Також він може отримувати доступ до своїх даних, вимагати їх виправлення, заперечувати проти незаконної обробки та звертатися зі скаргою до уповноважених органів.

Чи можна передавати персональні дані третім особам?

Передача персональних даних третім особам можлива лише за наявності законної підстави та з дотриманням мети, для якої дані були зібрані. Якщо дані передаються підряднику або партнеру, мають бути визначені умови доступу, обсяг даних, відповідальність і заходи захисту.

Як закон застосовується до сайтів та онлайн-сервісів?

Якщо сайт або сервіс збирає дані користувачів, наприклад ім’я, телефон, електронну пошту, адресу доставки чи дані облікового запису, він підпадає під правила цього закону. Володілець має повідомляти про мету обробки, не збирати надмірні дані та забезпечувати їх захист від несанкціонованого доступу.

Яка відповідальність можлива за порушення правил захисту персональних даних?

Порушення вимог щодо захисту персональних даних може мати адміністративні, цивільно-правові або інші наслідки залежно від характеру порушення. Йдеться, зокрема, про незаконне збирання, поширення, неналежний захист даних або невиконання законних вимог щодо доступу та виправлення інформації.

Схожі закони

Закон України «Про статус ветеранів війни, гарантії їх соціального захисту»
№ 3551-XII Чинний
Закон України «Про захист економічної конкуренції»
№ 2210-III Чинний
Закон України «Про благодійну діяльність та благодійні організації»
№ 5073-VI Чинний
Закон України «Про фахову передвищу освіту»
№ 2745-VIII Чинний
Закон України «Про оренду державного та комунального майна»
№ 157-IX Чинний
Закон України «Про Національну поліцію»
№ 580-VIII Чинний
Джерело: Верховна Рада України