Захист персональних даних в Україні стосується не лише банківських карток, паспортів і медичних довідок. Під захист потрапляє будь-яка інформація, за якою людину можна прямо або опосередковано ідентифікувати: ім’я, номер телефону, адреса, фото, IP-адреса, місце роботи, геолокація, історія покупок, дані про здоров’я, сімейний стан або фінансовий стан. Закон України «Про захист персональних даних» регулює обробку таких відомостей і прямо пов’язує її з правом на невтручання в особисте життя, повідомляє редакція Избирком.
«Цей Закон регулює правові відносини, пов’язані із захистом і обробкою персональних даних…»
Практичний сенс цієї теми простий: компанія, роботодавець, школа, банк, інтернет-магазин, медичний сервіс або мобільний застосунок не можуть збирати й використовувати дані як завгодно. Для обробки потрібна правова підстава, зрозуміла мета, обмежений обсяг даних і відповідальність за зберігання. Окрема згода не завжди є єдиною підставою, бо закон також допускає обробку для виконання договору, юридичного обов’язку, захисту життєво важливих інтересів або законного інтересу володільця, якщо права людини не переважають такий інтерес.
Що належить до персональних даних
Персональні дані не обмежуються паспортом або ідентифікаційним кодом. Даними можуть бути номер телефону в базі доставки, електронна адреса в CRM, запис розмови з кол-центром, фото з камери відеоспостереження, профіль у застосунку лояльності, історія відвідувань сайту, резюме кандидата, медичний запис або банківська виписка.
Уповноважений Верховної Ради України з прав людини у своєму FAQ посилається на позицію Конституційного Суду України, де персональні дані описані як будь-які відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Там прямо згадуються національність, освіта, сімейний стан, релігійні переконання, стан здоров’я, матеріальний стан, адреса, дата й місце народження, місце проживання та інші відомості.
«Перелік даних про особу, які визнаються як конфіденційна інформація, не є вичерпним.»
| Тип даних | Приклади | Основний ризик |
|---|---|---|
| Контактні | телефон, email, адреса доставки | спам, шахрайські дзвінки, небажаний маркетинг |
| Ідентифікаційні | паспортні дані, РНОКПП, дата народження | оформлення послуг або кредитів без згоди |
| Фінансові | номер картки, IBAN, історія платежів | крадіжка коштів, фішинг, шантаж |
| Чутливі | здоров’я, біометрія, релігійні переконання | дискримінація, репутаційна шкода |
| Поведінкові | cookies, геолокація, історія покупок | профілювання, нав’язлива реклама, стеження |
Дані, які здаються технічними, часто достатні для точного профілю людини.
Які права має людина щодо своїх даних
Українське законодавство закріплює права суб’єкта персональних даних у статті 8 Закону «Про захист персональних даних». Особа має право знати джерела збирання, місцезнаходження своїх даних, мету обробки, місцезнаходження володільця або розпорядника, умови доступу та третіх осіб, яким ці дані передаються.
Також передбачені право доступу, право отримати відповідь про обробку не пізніше ніж за 30 календарних днів, право заперечити проти обробки, вимагати зміну або знищення незаконно оброблюваних чи недостовірних даних, відкликати згоду та звертатися зі скаргами до Уповноваженого або до суду.
Найчастіше ці права працюють у п’яти практичних ситуаціях:
- Компанія надсилає рекламу без згоди або після відписки.
- Онлайн-сервіс не пояснює, навіщо просить паспортні дані.
- Роботодавець зберігає копії документів після завершення трудових відносин.
- Магазин передає телефон третім особам, після чого починаються дзвінки.
- У мережі з’являються фото, адреса, номер телефону або інші приватні дані без згоди.
Право на доступ не означає, що організація повинна надіслати будь-яку інформацію без перевірки особи. Запит має містити дані, які дозволяють ідентифікувати заявника, зокрема прізвище, ім’я, по батькові, місце проживання або перебування та реквізити документа, що посвідчує особу, якщо інше не передбачено законом.

Коли обробка даних є законною
Обробка даних є законною, коли вона має чітку підставу і не виходить за межі мети. Якщо людина купує товар онлайн, продавець може обробити ім’я, телефон, адресу доставки й платіжну інформацію для виконання замовлення. Але використання цих самих даних для передачі стороннім рекламним партнерам потребує окремої підстави, яку компанія має пояснити.
Згода не повинна бути пасткою, захованою в довгому тексті без реальної можливості відмовитися.
У FAQ Уповноваженого перелічені підстави обробки: згода, дозвіл за законом, укладення та виконання правочину, захист життєво важливих інтересів, виконання обов’язку володільця, захист законних інтересів володільця або третьої особи, якщо права людини не переважають ці інтереси.
Ознаки проблемної обробки
Незаконність часто видно не з одного документа, а з поведінки організації. Запитують більше даних, ніж потрібно для послуги. Не називають мету збору. Відмовляються видаляти неактуальну інформацію. Продовжують надсилати рекламу після відкликання згоди. Передають номер телефону партнерам без пояснення. Не реагують на письмовий запит.
У ЄС схожу логіку закріплює GDPR: люди мають права щодо своїх персональних даних, а організації повинні виконувати правила захисту даних і реагувати на запити осіб. Європейська комісія окремо пояснює права громадян щодо персональних даних та обов’язки бізнесу за GDPR.
Як захистити свої дані на практиці
Як захистити персональні дані без надмірної параної: зменшити кількість місць, де вони зберігаються, і контролювати, кому саме вони передаються. У побуті це означає не фотографувати документи для сумнівних сервісів, не надсилати копії паспорта в месенджери без потреби, не залишати номер телефону в кожній анкеті знижок, не використовувати один пароль для банку, пошти й соцмереж.
Мінімальний цифровий чекліст:
- увімкнути двофакторну автентифікацію для пошти, банку, месенджерів і соцмереж;
- перевірити дозволи мобільних застосунків на камеру, мікрофон, геолокацію та контакти;
- видалити акаунти в сервісах, якими людина більше не користується;
- не переходити за посиланнями з SMS про «виграш», «доставку», «блокування картки»;
- використовувати окрему пошту для реєстрацій у магазинах і сервісах;
- не публікувати у відкритому доступі документи, квитки, довідки, адресу проживання.
Окремий ризик створюють скани документів. Якщо сервіс обґрунтовано просить копію, безпечніше закрити зайві поля, додати водяний знак із назвою отримувача і датою, а також надіслати файл через захищений канал. Для банку або державної послуги вимоги будуть суворішими, але для бонусної картки магазину паспорт зазвичай не потрібен.

Що робити при незаконному використанні даних
Незаконне використання персональних даних не завжди починається з великого витоку. Це може бути рекламна розсилка без згоди, дзвінки від невідомої компанії, публікація приватного фото, передача контактів колекторам без законної підстави, відмова видалити профіль або використання копії документа для чужої угоди.
Алгоритм дій має бути письмовим, спокійним і доказовим:
- Зафіксувати факт порушення: скріншоти, листи, SMS, записи дат дзвінків, URL сторінок, назви акаунтів.
- Визначити володільця даних: компанію, сайт, роботодавця, сервіс, навчальний заклад або іншу організацію.
- Подати письмовий запит або вимогу: пояснити, які дані обробляються, чому обробка незаконна або недостовірна, чого саме вимагає особа.
- Вимагати припинення обробки, виправлення або знищення даних, якщо для цього є підстава.
- Зберегти копію звернення та доказ його відправлення.
- У разі відмови або ігнорування подати скаргу до Уповноваженого Верховної Ради України з прав людини або звернутися до суду.
Вмотивована вимога щодо заборони обробки, зміни складу або змісту персональних даних розглядається володільцем упродовж 10 днів з моменту отримання. Якщо виявлено незаконну обробку, володілець має припинити її та повідомити суб’єкта персональних даних; якщо дані недостовірні, він має припинити обробку або змінити їх склад чи зміст.
Скріншот, дата дзвінка, копія запиту й відповідь компанії часто мають більшу доказову вагу, ніж емоційний опис ситуації.
Відповідальність за порушення
Порушення у сфері персональних даних може мати адміністративні й кримінальні наслідки. Кодекс України про адміністративні правопорушення містить статтю 188-39 про порушення законодавства у сфері захисту персональних даних, зокрема неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку даних у випадках, передбачених законом, а також невиконання законних вимог Уповноваженого.
Кримінальний кодекс України у статті 182 передбачає відповідальність за порушення недоторканності приватного життя. Там ідеться про незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації.
«Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації…»
Скарги у сфері персональних даних розглядає Уповноважений Верховної Ради України з прав людини. Його профільний департамент займається зверненнями, рекомендаціями щодо застосування законодавства, роз’ясненнями прав і обов’язків, моніторингом дотримання прав у сфері захисту персональних даних та поновленням порушених прав у межах повноважень.
FAQ
Чи можна вимагати видалення своїх даних?
Так, якщо дані обробляються незаконно, є недостовірними або більше не потрібні для заявленої мети. Вимога має бути вмотивованою: треба вказати, які саме дані потрібно змінити або знищити, хто їх обробляє і чому обробка порушує права особи.
Чи завжди потрібна згода на обробку даних?
Ні. Згода є однією з підстав, але закон також допускає обробку для виконання договору, юридичного обов’язку, захисту життєво важливих інтересів або законного інтересу, якщо він не переважає права людини.
Що робити, якщо компанія не відповідає на запит?
Зберегти копію запиту, доказ відправлення, скріншоти та інші матеріали. Після цього можна звертатися зі скаргою до Уповноваженого Верховної Ради України з прав людини або до суду, додавши підтверджувальні матеріали.
Чи є номер телефону персональними даними?
Так, якщо номер дозволяє ідентифікувати людину самостійно або разом з іншою інформацією. У базі клієнтів телефон часто пов’язаний з ім’ям, адресою доставки, історією замовлень і платежами, тому його обробка має бути обґрунтованою.
Чи можна відкликати згоду?
Так. Закон прямо передбачає право відкликати згоду на обробку персональних даних. Після відкликання організація має оцінити, чи залишилася інша законна підстава для обробки; якщо ні, обробку потрібно припинити.
Соціальна підтримка — це не привілей, а закріплене законом право. Якщо ви опинилися в складній ситуації, варто перевірити, на що ви маєте право, і скористатися ним. Про те, як влаштована держава, що забезпечує ці гарантії, читайте також: Як влаштована судова система України: місцеві та апеляційні суди, Верховний Суд, КСУ
