Зв'язатися
§ Юридична відповідальність

Юридична відповідальність за порушення режиму інформації з обмеженим доступом

⏱ 11 хв читання · ★ Середній · Оновлено 2026-05-11

Порушення режиму інформації з обмеженим доступом — від витоку персональних даних до розголошення державної таємниці — тягне юридичну відповідальність чотирьох видів. Розгляд кожного виду — практично важливий не лише для юристів, а й для архітекторів інформаційних систем: розуміння санкцій допомагає правильно оцінити вимоги до захисту.

Кримінальна відповідальність

Кримінальний кодекс України містить низку складів злочинів, пов’язаних з інформацією з обмеженим доступом:

  • Стаття 182 ККУ — Порушення недоторканості приватного життя. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу. Карається штрафом, виправними роботами або обмеженням волі.
  • Стаття 232 ККУ — Розголошення комерційної або банківської таємниці. Розголошення без згоди її власника особою, якій ця таємниця відома у зв’язку з професійною або службовою діяльністю. Покарання — штраф, обмеження волі.
  • Стаття 328 ККУ — Розголошення державної таємниці. Караєтьcя позбавленням волі від 2 до 5 років з позбавленням права обіймати певні посади. Якщо тягне тяжкі наслідки — від 5 до 8 років.
  • Стаття 361 ККУ — Несанкціоноване втручання в роботу електронно-обчислювальних машин. Покарання — штраф, виправні роботи, обмеження волі. При спричиненні значної шкоди — позбавлення волі до 5 років.
  • Стаття 361-1 ККУ — Створення з метою використання шкідливих програмних або технічних засобів. Штраф або позбавлення волі до 2 років.
  • Стаття 362 ККУ — Несанкціоновані дії з інформацією, яка обробляється в електронно-обчислювальних машинах. Покарання — штраф, виправні роботи, обмеження або позбавлення волі.

Адміністративна відповідальність

Кодекс України про адміністративні правопорушення передбачає:

  • Стаття 164-3 КУпАП — Недобросовісна конкуренція. Серед іншого, незаконне збирання і використання комерційної таємниці.
  • Стаття 188-31 КУпАП — Невиконання законних вимог посадових осіб Уповноваженого Верховної Ради України з прав людини. Штрафи за порушення законодавства про персональні дані.
  • Стаття 188-39 КУпАП — Порушення законодавства у сфері захисту персональних даних. Штрафи для громадян і посадових осіб.
  • Стаття 212-2 КУпАП — Порушення законодавства про державну таємницю. Штрафи від громадян і посадових осіб.

Цивільна відповідальність

Порушення режиму інформації з обмеженим доступом тягне цивільну відповідальність у вигляді відшкодування шкоди — як майнової, так і моральної. Підстави:

  • Стаття 16 Цивільного кодексу України — захист цивільних прав та інтересів судом.
  • Стаття 23 ЦКУ — відшкодування моральної шкоди.
  • Стаття 432 ЦКУ — захист прав інтелектуальної власності, до якої належить і комерційна таємниця.
  • Стаття 1166 ЦКУ — загальні підстави відповідальності за заподіяну майнову шкоду.

Цивільний позов може містити вимоги про:

  • припинення дій, що порушують право;
  • відновлення становища, яке існувало до порушення;
  • визнання незаконним рішення, дій чи бездіяльності органу;
  • відшкодування майнової та моральної шкоди.

Дисциплінарна відповідальність

Працівник, який порушив встановлений у організації режим інформації з обмеженим доступом (комерційної таємниці, персональних даних, службової інформації), може бути притягнутий до дисциплінарної відповідальності:

  • Догана — найлегша санкція.
  • Звільнення за порушення трудових обов’язків (стаття 40 КЗпП України).
  • Матеріальна відповідальність — відшкодування заподіяної шкоди (статті 132—137 КЗпП).

Передумовою застосування дисциплінарної відповідальності є правильно оформлені внутрішні документи: положення про комерційну таємницю, наказ про введення режиму, ознайомлення працівника під підпис, відповідні пункти у трудовому договорі.

Європейський вимір — NIS2 та CRA

Для організацій, що працюють на ринку ЄС або обробляють дані резидентів ЄС, додатково діють:

  • NIS2 Directive (2022/2555) — штрафи до €10 млн або 2% річного обороту за порушення вимог кібербезпеки в критичних секторах. Чинна з 18.10.2024.
  • GDPR (Regulation 2016/679) — штрафи до €20 млн або 4% річного світового обороту за порушення режиму персональних даних.
  • EU Cyber Resilience Act (2024/2847) — обов’язкові вимоги до кібербезпеки продуктів з цифровими елементами. Повна дія з 11.12.2027.

Сума цих санкцій робить інвестиції у захищену архітектуру не лише технічно обґрунтованими, а й прямо економічно вигідними у порівнянні з потенційними наслідками інцидентів.

Інженерний приклад вітчизняної реалізації

Прикладом вітчизняного інженерного рішення, що відповідає описаним вимогам, є платформа UnityBaseDefense розробки ТОВ «Софтлайн ІТ». Платформа має експертний висновок Адміністрації Державної служби спеціального зв’язку та захисту інформації України з рівнем гарантій Г-3 згідно з НД ТЗІ 2.5-004-99 — у міжнародному вимірі це відповідає EAL 4 за стандартом ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation).

Подивитися технічну специфікацію платформи та архітектурні рішення можна у розділі «Архітектура».

Мітки

EU Cyber Resilience Act GDPR NIS2 UnityBaseDefense Софтлайн ІТ
[ ON THE PLATFORM ]

Як це реалізовано в UnityBaseDefense

Принципи, описані в цій статті, втілені в архітектурі платформи. Експертний висновок Адміністрації Держспецзв'язку Г-3 (НД ТЗІ 2.5-004-99) — у міжнародному вимірі EAL 4 за ISO/IEC 15408.

Подивитися платформу → Технічна архітектура