GDPR + український закон про захист персональних даних: matrix — База знань

Для українських компаній, що працюють з даними громадян ЄС, або просто хочуть бути готовими до повної транспозиції GDPR в українське право — порівняння поточних режимів є практичною необхідністю. Стаття дає matrix: для кожного аспекту обробки персональних даних — як це регулюється у GDPR і Законі 2297-VI, де є збіги і де відмінності.

Огляд GDPR

General Data Protection Regulation (Regulation EU 2016/679) — регламент ЄС, чинний з 25 травня 2018. Найвпливовіший документ з захисту персональних даних у світі. Має екстериторіальну дію: застосовується до обробки даних громадян ЄС незалежно від місцезнаходження контролера.

Огляд Закону 2297-VI

Закон України «Про захист персональних даних» № 2297-VI (2010) з оновленнями — основний український документ. Базується на Конвенції Ради Європи № 108 (1981). Менш детальний за GDPR, частково застарілий. Очікується нова редакція з більшим зближенням з GDPR як частина євроінтеграції.

Matrix принципів обробки

Принцип	GDPR (ст. 5)	Закон 2297-VI	Збіг / відмінність
Lawfulness	Art. 5(1)(a), 6 — 6 законних підстав	Ст. 11 — згода + менш чітко описані альтернативи	Збіг у принципі, GDPR детальніший
Purpose limitation	Art. 5(1)(b) — конкретна мета	Ст. 6 — конкретна мета	Збіг
Data minimization	Art. 5(1)(c) — мінімум необхідного	Ст. 6 — згадується, менш чітко	GDPR строгіший
Accuracy	Art. 5(1)(d) — актуальність	Ст. 6 — актуальність	Збіг
Storage limitation	Art. 5(1)(e) — не довше потрібного	Ст. 15 — терміни зберігання	Збіг у принципі
Integrity and confidentiality	Art. 5(1)(f) — техмеханізми	Ст. 24 — захист даних	Збіг
Accountability	Art. 5(2) — здатність продемонструвати compliance	Опосередковано	GDPR строгіший і явніший

Права суб’єктів

Право	GDPR	Закон 2297-VI
Доступ до своїх даних	Art. 15 — детально регламентовано	Ст. 8 — є, менш детально
Виправлення	Art. 16	Ст. 8
Видалення (right to erasure)	Art. 17 — «право бути забутим» з конкретними підставами	Ст. 8 — є, без детального переліку підстав
Обмеження обробки	Art. 18	Не виділено окремо
Переносимість даних	Art. 20 — структурований формат	Не передбачено
Заперечення проти обробки	Art. 21	Опосередковано через відкликання згоди
Не бути об’єктом автоматизованих рішень	Art. 22 — детально	Не виділено

GDPR помітно ширше у переліку прав. Найбільш відсутнє в українському законодавстві: portability (Art. 20) і захист від automated decision-making (Art. 22).

Терміни reporting інцидентів

GDPR Art. 33-34: повідомлення DPA протягом 72 годин після виявлення; повідомлення суб’єктів даних «без невиправданої затримки», якщо ризик для прав і свобод високий.
Закон 2297-VI: чіткого терміну немає, є вимога невідкладного повідомлення без конкретики «72 години».

На практиці українські організації, що працюють з даними громадян ЄС, дотримуються 72-годинного терміну GDPR.

Cross-border передачі

GDPR має складний режим міжнародних передач (Chapter V):

Передача у країни з adequacy decision (Канада, Японія, частково США через DPF) — без додаткових механізмів.
Інші країни — потрібні Standard Contractual Clauses (SCC), Binding Corporate Rules (BCR), або інші запобіжні заходи.
Спеціальні правила для трансферу до США з 2023 року (EU-US Data Privacy Framework).

Україна — країна без adequacy decision (станом на 2026). Це означає: компанії з ЄС передають дані в Україну на основі SCC або BCR. Українські компанії, що обслуговують клієнтів ЄС, повинні мати SCC у договорах.

Закон 2297-VI про cross-border не такий детальний — основна вимога згоди суб’єкта.

Штрафи

Параметр	GDPR	Закон 2297-VI
Максимальний адміністративний штраф	20 млн євро або 4% глобального обороту (бере більше)	Адміністративний штраф у тисячах гривень
Категорія порушення	Дві шкали: до 10 млн / 2% або до 20 млн / 4%	Без масштабної градації
Кримінальна відповідальність	Ні (адміністративна)	Ст. 182 КК України — за порушення недоторканності приватного життя

Різниця у штрафах — порядки величин. Це й була одна з ключових мотивацій GDPR: зробити штрафи реально страшними для великих корпорацій.

Категорія чутливих даних

Категорія	GDPR Art. 9	Закон 2297-VI
Расове / етнічне походження	Так	Так
Політичні погляди	Так	Так
Релігійні переконання	Так	Так
Членство у профспілках	Так	Так
Генетичні дані	Так	Не виділено явно
Біометричні дані	Так (для ідентифікації)	Не виділено явно
Здоров’я	Так	Так
Сексуальна орієнтація / життя	Так	Так
Дані про судимість	Окрема ст. 10	Так, окремо

GDPR покриває кілька категорій, які український закон явно не виділяє: генетичні і біометричні дані. На практиці українські організації дотримуються GDPR-підходу, якщо обробляють такі дані.

Практичні наслідки для українських систем

Якщо ваша система обробляє дані громадян ЄС:

Дотримуйтесь GDPR як більш строгого режиму — він покриє і українські вимоги.
Призначте DPO (Data Protection Officer), якщо це ваш основний бізнес.
Готуйте DPIA (Data Protection Impact Assessment) для нових систем.
Майте SCC у договорах з європейськими контрагентами.
Готовність до 72-годинного reporting обов’язкова.

Якщо тільки громадян України:

Дотримуйтесь Закону 2297-VI.
Слідкуйте за оновленнями: нова редакція закону наближає його до GDPR.
Готуйтесь до прийняття GDPR-сумісного законодавства як частини євроінтеграції.
Найрозумніший підхід — будувати системи відразу за GDPR-моделлю, навіть якщо формально достатньо менш строгого закону.

[ ПРАКТИЧНА РЕАЛІЗАЦІЯ ]

GDPR Art. 32 покриття на UBD

UBD підтримує GDPR Article 32 (security of processing) архітектурно через: WORM-журнал з повним audit trail доступу до персональних даних; гранулярні права з можливістю обмежити доступ за категорією даних і метою обробки; шифрування ДСТУ 7624 і AES-256 at-rest, TLS 1.3 in-transit. Це дає технічну базу для compliance; організаційні елементи (DPO, DPIA, навчання) — впроваджуються замовником.

UnityBaseDefense — технічна довідка →