Персональні дані і приватність

Адвокат із захисту персональних даних — коли витік вже стався

Прав суб'єкта
7
Чинна редакція
14.06.25
Оновлено
25.06

Витоки і незаконний збірСкарга УповноваженомуМоральна шкода

Чинна редакція Закону № 2297-VI «Про захист персональних даних» (ред. від 14.06.2025) дає вам сім прав суб'єкта: знати, отримувати, виправляти, видаляти, обмежувати обробку, відкликати згоду і скаржитись. Без письмової скарги Уповноваженому ВРУ з прав людини ваші дані продовжать «гуляти» по чужих базах. Адвокат із захисту персональних даних фонду фіксує витік першим — і будує доказову базу для штрафу та моральної шкоди.

  • Справи персональних даних — щоденна практика адвокатів фонду, не випадковий напрямок
  • Адвокат бере вашу справу особисто — не передає помічнику

Перша консультація по телефону — безкоштовна.

7
прав суб'єкта даних
Знати, отримувати копію, виправляти, видаляти, обмежувати обробку, відкликати згоду, скаржитись Уповноваженому — ст. 8 Закону № 2297-VI.
30 днів
строк відповіді володільця
На запит про обробку чи видалення даних володілець бази зобов'язаний відповісти протягом 30 календарних днів з дня отримання — ст. 16 Закону № 2297-VI. Прострочення — підстава для скарги.
2000 нмдг
максимальний адмінштраф
Для громадян — 100–500 нмдг; для посадових осіб/ФОП — до 2000 неоподатковуваних мінімумів за повторне порушення (ст. 188-39 КУпАП). Підстава — ст. 188-39 КУпАП. Штраф іде в держбюджет; ваше відшкодування — окремо за ст. 1167 ЦК.
20 млн €
максимум за GDPR
Або 4% від річного світового обороту — за регламентом ЄС 2016/679. Застосовується, якщо компанія обробляє дані резидентів ЄС. У 2024 штрафи GDPR у ЄС склали 1,2 млрд євро.
План
на email після консультації
Письмовий план наступних кроків — у робочий день після першої консультації.
Правова рамка

Адвокат із захисту персональних даних: як це працює в Україні сьогодні

Не один закон — Закон № 2297-VI плюс «Про інформацію», Конституція (ст. 32), кримінальна і адміністративна відповідальність, і GDPR для бізнесу, що працює з ЄС.

Серце — Закон № 2297-VI

Базовий закон «Про захист персональних даних» — повний цикл від згоди до видалення.

  • № 2297-VIЗакон «Про захист персональних даних» — чинна ред. 14.06.2025
  • ст. 2визначення: персональні дані — відомості про фізичну особу, яка ідентифікована або може бути ідентифікована
  • ст. 6принципи: законність, цільова обробка, мінімізація, точність, обмеження зберігання
  • ст. 11підстави обробки — згода суб'єкта, договір, закон, життєво важливі інтереси
  • ст. 16обов'язок володільця відповісти на запит за 30 днів

Згода — це не одна галочка. Згода має бути добровільна, конкретна, інформована — інакше обробка незаконна з першого дня.

Сім прав суб'єкта і Уповноважений ВРУ

Між «вашим даним користуються» і «дані видалили» — стоять ваші права за ст. 8 і скарга Уповноваженому з прав людини.

Сім прав (ст. 8 Закону 2297-VI)
  • 01знати про джерела збору, мету і строки обробки ваших даних
  • 02отримувати копію оброблюваних даних — у читабельній формі
  • 03виправляти неточні або застарілі дані
  • 04видаляти дані, якщо немає законної підстави їх зберігати
  • 05обмежувати обробку — призупиняти на час спору
  • 06відкликати згоду в будь-який момент — після цього обробка має зупинитися
  • 07скаржитись Уповноваженому ВРУ з прав людини або до суду
Уповноважений ВРУ (ст. 22–23)
  • ст. 22контроль за додержанням законодавства про захист персональних даних
  • ст. 23повноваження: розгляд скарг, перевірки, припис, передача до суду
  • Скаргаподається у письмовій або електронній формі; розгляд — до 30 днів

Скарга Уповноваженому — не альтернатива суду, а паралельний інструмент. Часто саме припис Уповноваженого змушує володільця нарешті відповісти.

Відповідальність: КУпАП, КК, ЦК і GDPR

За одне й те саме порушення — три види відповідальності й одна європейська рамка для бізнесу з ЄС.

  • ст. 188-39 КУпАПадмінштраф: для громадян — 100–500 нмдг; для посадових осіб/ФОП — 200–2000 нмдг (залежно від частини); протокол складає Уповноважений ВРУ
  • ст. 182 ККпорушення недоторканності приватного життя. Ч. 1: штраф 500–1000 нмдг, виправні роботи до 2 років, арешт до 6 міс. або обмеження волі до 3 років. Ч. 2 (повторно / тяжкі наслідки): штраф 1000–3000 нмдг або обмеження волі до 5 років
  • ст. 362 ККнесанкціоновані дії з інформацією, яка оброблюється в ЕОМ, автоматизованих системах, комп'ютерних мережах — для витоків з ЄДДР, банків, реєстрів
  • ст. 1167 ЦКморальна шкода — компенсація грошима, окремо від адміністративного штрафу
  • GDPR 2016/679до 20 млн € або 4% обороту — для компаній, що обробляють дані резидентів ЄС

Штраф КУпАП іде в держбюджет. Ваше особисте відшкодування — окремий цивільний позов за ст. 1167 ЦК (моральна шкода) або ст. 23 ЦК (немайнова шкода).

Що це означає для вас

Закон читається легко. Як його застосує володілець бази, банк, рекрутер або суддя — окрема історія.

Перша телефонна розмова з адвокатом фонду — конфіденційна. Фінансується з пожертв на статутну діяльність фонду.

Знайшли свій номер у спамі або базі, яку ви не давали? Адвокат із захисту персональних даних розкаже алгоритм за 15 хвилин по телефону.

Запитати про мій випадок
Схема

Як розгортається справа з персональних даних

Сім кроків і дві розвилки, на яких ваші дії визначають різницю між видаленням даних і подальшим витоком.

  1. 01

    Виявлення витоку чи незаконного збору

    Момент Х · Тригер

    Спам на ваш номер після купівлі в магазині. Дзвінок з банку, якому ви заявку не подавали. Скріншот вашого паспорта у Telegram-каналі. Загальний строк позовної давності — 3 роки (ст. 257 ЦК); для окремих немайнових вимог можуть діяти інші строки (ст. 268 ЦК) — уточніть з адвокатом.

    ст. 257 ЦК
  2. 02

    Фіксація доказів

    0–7 днів

    Скріншоти зі штампом часу (haveibeenpwned, скрін Telegram, запис дзвінка), логи СМС, копія договору, де ви не давали згоди на маркетинг. Без зафіксованих доказів володілець бази скаже «у нас усе чисто». Тут — розвилка: фіксувати самостійно чи через адвокатський запит за ст. 24 Закону № 5076-VI. Адвокатський запит має силу обов'язкового — за ігнорування передбачена відповідальність за ст. 212-3 КУпАП.

    Розвилка Зателефонувати +380 73 051 50 77
  3. 03

    Запит до володільця бази

    1–14 днів

    Письмовий запит за ст. 8 Закону № 2297-VI: вимагаєте підстави обробки, копію даних, видалення. Володілець має відповісти за 30 днів (ст. 16). Без письмового запиту скарга Уповноваженому не приймається — це обов'язковий доарбітражний крок.

    ст. 16 Закону 2297-VI
  4. 04

    Відповідь / мовчання володільця

    до 30 днів

    Дві стежки: (а) володілець відповідає і видаляє дані — інцидент закритий, можна вимагати моральну шкоду; (б) мовчання, відмова або формальна відписка — переходимо до скарги Уповноваженому ВРУ і паралельно до суду за ст. 1167 ЦК.

    Розвилка Зателефонувати +380 73 051 50 77
  5. 05

    Скарга Уповноваженому ВРУ з прав людини

    після відмови

    Скарга у письмовій або електронній формі через офіс Омбудсмана. Уповноважений має повноваження за ст. 23 — проводити перевірки, видавати приписи, складати протоколи за ст. 188-39 КУпАП. Адвокат готує скаргу з повним пакетом доказів.

    ст. 23 Закону 2297-VI
  6. 06

    Цивільний позов про моральну шкоду

    паралельно або після

    Позов до суду за ст. 1167 ЦК (моральна шкода) і ст. 23 ЦК (немайнова шкода). Розмір — обґрунтовується індивідуально (стрес, втрата довіри, час на відновлення репутації). Підсудність — за місцем проживання позивача або відповідача. Судовий збір — пільга для немайнових позовів.

    ст. 1167 ЦК
  7. 07

    Видалення з баз і виплата шкоди

    після рішення

    Володілець виконує припис Уповноваженого — видаляє ваші дані з бази, припиняє обробку, надсилає письмове підтвердження. За рішенням суду — виплачує моральну шкоду на ваш рахунок. Якщо є GDPR-вимір (компанія працює з ЄС) — паралельна скарга до національного DPA країни-резидента.

    Фінал
Сім прав суб'єкта даних

GDPR-дерево: ваші 7 прав за ст. 8 Закону 2297-VI

Усі сім прав незалежні — можна реалізувати будь-яке окремо. Кожне починається з письмового запиту до володільця бази. Без запиту і відповіді (або мовчання) скарга Уповноваженому не приймається.

Дерево семи прав суб'єкта персональних даних за ст. 8 Закону 2297-VI Суб'єкт даних (ви) ст. 8 Закону 2297-VI 01 · ЗНАТИ Право на інформацію мета, джерела, строки зберігання 02 · ОТРИМУВАТИ Копія даних читабельна форма, безоплатно 1 раз/рік 03 · ВИПРАВЛЯТИ Неточні або застарілі адреса, прізвище, статус, телефон 04 · ВИДАЛИТИ Right to be forgotten ключове право 05 · ОБМЕЖИТИ Заморозити обробку на час спору або перевірки 06 · ВІДКЛИКАТИ Згоду у будь-який момент, обробка має зупинитись 07 · СКАРГА Уповноваженому ВРУ або до суду розгляд — 30 днів, припис і штраф КЛЮЧОВИЙ СТРОК · СТ. 16 ЗАКОНУ 2297-VI Володілець має відповісти на ваш запит за 30 календарних днів
Кожне право реалізується через письмовий запит. Адвокат фонду готує запит так, щоб у володільця не залишилось підстав мовчати або відмовити.
Правило 1

Письмовий запит — завжди

Усне «видаліть мене» не рахується. Без письмового запиту з підписом або електронного через офіційний канал — скарга Уповноваженому не приймається.

Правило 2

Згода = відкликається

Згода — не довічна. Можна відкликати в будь-який момент. Після відкликання обробка зупиняється, дані видаляються (якщо немає іншої законної підстави).

Правило 3

Адмінштраф ≠ ваше відшкодування

Штраф КУпАП іде в держбюджет. Ваша моральна шкода — окремий цивільний позов за ст. 1167 ЦК. Це дві паралельні справи.

Знаєте, що ваші дані «гуляють», але не знаєте, з якого права починати? Адвокат побудує план запитів за 15 хвилин по телефону.

Скласти план запитів

Каталог справ напряму

П'ять напрямків справ з персональних даних. Натисніть категорію — побачите пояснення, норми і алгоритм дій.

  1. 01

    Витоки і незаконний збір

    Ваш номер «утік» у спам-розсилку, паспорт з'явився в Telegram, банк дзвонить без заявки. Фіксуємо витік і вимагаємо видалення.

    • Нормаст. 8, 16 Закону 2297-VI
    • Строк30 днів на відповідь
    • КатегоріяБазовий цикл
  2. 02

    Скарги Уповноваженому ВРУ

    Володілець мовчить або відмовляє. Подаємо скаргу Уповноваженому з прав людини — припис і протокол за ст. 188-39 КУпАП.

    • Нормаст. 22–23 Закону 2297-VI
    • Строк30 днів розгляду
    • КатегоріяАдміністративний шлях
  3. 03

    GDPR-комплаєнс для бізнесу

    Ваша компанія обробляє дані резидентів ЄС? Без GDPR-комплаєнсу — ризик штрафу до 20 млн € або 4% обороту.

    • НормаGDPR 2016/679
    • Штрафдо 20 млн € або 4%
    • КатегоріяПревенція
  4. 04

    Видалення з пошуку і соцмереж

    Право бути забутим — видалення з Google-видачі, Facebook, Telegram-каналів. Стандартні і нестандартні шляхи.

    • Нормаст. 8 Закону 2297-VI
    • Шляхзапит + скарга + суд
    • КатегоріяУправління репутацією
  5. 05

    Моральна шкода і кримінальна справа

    Витік торкнувся вашої репутації, роботи, родини? Цивільний позов за ст. 1167 ЦК + заява до Нацполіції за ст. 182 КК.

    • Нормаст. 1167 ЦК · ст. 182 КК
    • Строк3 роки (ст. 257)
    • КатегоріяСудовий процес

Не впевнені, з якого з 5 напрямків починати? Адвокат фонду визначить алгоритм за один дзвінок.

Визначити мій напрямок
Порівняння

Українське право vs GDPR — три рамки на одних і тих самих даних

Закон № 2297-VI — український базовий. Закон № 2657-XII — інформація з обмеженим доступом загалом. GDPR — для бізнесу з ЄС. На одній обробці можуть діяти всі три одночасно.

Порівняння трьох правових рамок захисту персональних даних
Критерій Закон № 2297-VI (UA)базовий, з 2011 року Альтернатива: GDPR 2016/679 (EU)для бізнесу з ЄС
На кого поширюєтьсяУсі володільці і розпорядники персональних даних на території України — компанії, ФОП, держорганиБудь-яка компанія, що обробляє дані резидентів ЄС, незалежно від країни реєстрації — extraterritorial scope
Орган контролюУповноважений ВРУ з прав людини (Омбудсман). Скарга — письмова або електронна; розгляд до 30 днівНаціональний DPA (Data Protection Authority) країни-резидента; для Ірландії — DPC; механізм one-stop-shop
Максимальний штрафДо 2000 нмдг за ст. 188-39 КУпАП (для посадових осіб/ФОП; для громадян — 100–500 нмдг). За ст. 182 КК: ч. 1 — штраф 500–1000 нмдг, виправні роботи до 2 років, арешт до 6 міс. або обмеження волі до 3 років; ч. 2 (повторно / тяжкі наслідки) — обмеження волі до 5 роківДо 20 млн € або 4% від річного світового обороту (що більше). У 2023–2024: LinkedIn 310 млн € (2024), Meta 251 млн € (2024), TikTok 345 млн € (2023, DPC за дитячі дані)
Права суб'єкта7 прав за ст. 8: знати, отримувати, виправляти, видаляти, обмежувати, відкликати згоду, скаржитись8 прав за GDPR (статті 15–22): access, rectification, erasure (right to be forgotten), restriction, data portability, object, automated decision-making
Підстави обробкист. 11: згода, договір, закон, виконання обов'язку, життєво важливі інтересиArt. 6 GDPR: consent, contract, legal obligation, vital interests, public task, legitimate interests. Згода має бути explicit, freely given, specific, informed
Строк відповіді на запит30 календарних днів з дня отримання запиту (ст. 16 Закону 2297-VI)1 місяць (Art. 12 GDPR), з можливістю продовження ще на 2 місяці для складних запитів — з письмовим обґрунтуванням
Wizard перевірки витоків

Чи витекли ваші дані — і що робити сьогодні

Перш ніж писати запити володільцям, перевірте, де ваші дані вже опинились. Два безоплатні інструменти + ручна перевірка месенджерів. Все, що знайдете — фіксуйте скріншотами зі штампом часу: це ваші майбутні докази.

Крок 1 · Email і паролі

haveibeenpwned.com

Безоплатний сервіс Troy Hunt'а. Введіть email — побачите перелік усіх breach'ів, у яких ваші дані фігурували. Якщо там LinkedIn, Adobe, Dropbox — час змінити паролі і повернути 2FA на всіх сервісах.

  • Що шукатиemail, телефон, ім'я користувача
  • Що зафіксуватискрін з датою breach'а, назва компанії
  • Що даліписьмовий запит компанії-джерелу + скарга
  • Підставаст. 8 Закону № 2297-VI
Крок 2 · Telegram-канали і боти

Перевірка месенджерів

Введіть свій номер у пошук Telegram (через бот @usinfobot, @search4grams_bot) — побачите, в яких каналах він згадується. Якщо знайдете свій паспорт, номер машини або скрін у «зливному» каналі — це ст. 182 КК (порушення недоторканності).

  • Що шукатиномер, ПІБ, фото паспорта, адреса
  • Що зафіксуватискрін з ID каналу/повідомлення + URL
  • Куди скаргаНацполіція (заява) + Telegram abuse
  • Підставаст. 182 КК + Закон № 2297-VI
Витік з державного реєстру

ЄДДР, банк, ТЦК — окремий протокол

Якщо ваші дані «втекли» з державного реєстру, банку або ТЦК — це ст. 362 КК (несанкціоновані дії з інформацією, яка оброблюється в ЕОМ, автоматизованих системах, комп'ютерних мережах). Заява до Нацполіції + до СБУ (якщо торкається національної безпеки) + цивільний позов до володільця бази за моральну шкоду. Адвокат фонду готує всі три документи паралельно.

Зателефонувати +380 73 051 50 77
Ключова норма

Згода — це не галочка в боті

Ст. 2 Закону № 2297-VI визначає, що згода суб'єкта персональних даних має бути добровільна, конкретна та свідома. Інакше обробка незаконна — і всі дії з даними є підставою для скарги і моральної шкоди.

Згода суб'єкта персональних даних — добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди.
Стаття 2 Закону України «Про захист персональних даних» Закон № 2297-VI від 01.06.2010 (чинна редакція 14.06.2025)
  1. Добровільність

    Згода без тиску і без умови «не даси — не отримаєш послугу». Якщо послуга можлива без обробки — згода не може бути обов'язковою умовою договору.

  2. Конкретність

    «Згода на маркетинг» — недостатньо конкретно. Має бути: на що саме (телефон/email/смс), для якої мети (новини/реклама/опитування), на який строк, з якими третіми сторонами.

  3. Свідомість

    Суб'єкт має знати: хто володілець, мета обробки, строк зберігання, права за ст. 8, як відкликати згоду. Без цієї інформації — згода не є інформованою.

Саме за цією нормою скасовуємо незаконні обробки

Підкажемо, чи має ваш випадок ознаки відсутньої або дефектної згоди, і допоможемо скласти запит про видалення.

Розібрати мою згоду
Як працюємо

П'ять кроків від дзвінка до видалення даних

На кожному кроці ви бачите перелік дій, документ на підпис і строк. Договір про правову допомогу укладається за ст. 27 Закону № 5076-VI.

  1. 01

    Зателефонуйте

    Опишіть ситуацію коротко — координатор зʼєднає з адвокатом профілю.

    +380 73 051 50 77
  2. 02

    Перша консультація

    По телефону — адвокат окреслить правову позицію, перевірить підстави обробки і строки.

    +380 73 051 50 77
  3. 03

    Фіксація і запит

    Скріни, логи, копії договорів. Складаємо запит до володільця за ст. 8 і адвокатський запит за ст. 24 Закону № 5076-VI.

    Ст. 24 Закону 5076-VI
  4. 04

    Договір про правничу допомогу

    Письмовий договір про правову допомогу — обсяг роботи, строк і оплата зафіксовані текстом договору.

    Ст. 27 Закону 5076-VI
  5. 05

    Видалення і відшкодування

    Скарга Уповноваженому, цивільний позов про моральну шкоду, кримінальна заява (за наявності ознак ст. 182 КК). 30–90 днів — адмін; до 6 міс — кримінальне провадження.

    Розпочати мій випадок
Юрист напряму

Хто веде захист персональних даних у фонді

Юрист фонду Шевель Ярослав Андрійович

Шевель Ярослав Андрійович

Юрист фонду · персональні дані та GDPR

Юрист фонду · спеціалізація «захист персональних даних» · команда «Не словом, а дією»

Питання персональних даних у фонді веде Ярослав — захист від витоку й незаконного використання даних, скарги до Уповноваженого ВРУ з прав людини, приведення бізнесу у відповідність, GDPR для роботи з ЄС.

Витік данихСкаргиGDPRКомплаєнс
  • Витоки і незаконний збір ст. 8, 11, 16 Закону № 2297-VI · ст. 1167 ЦК
  • Скарги Уповноваженому ВРУ ст. 22–23 Закону № 2297-VI · ст. 188-39 КУпАП
  • GDPR-комплаєнс GDPR 2016/679 · Art. 6, 7, 13, 15–22, 35
Питання

Часті запитання щодо захисту персональних даних

Прямо — рідко вдається встановити з першого разу. Але є метод вилучення: складіть список усіх місць, де ви залишали номер за останні 12 місяців (онлайн-магазини, медзаклади, сервіси, соцмережі). Згадайте, де давали згоду на маркетинг, а де — ні.

Далі — письмовий запит за ст. 8 Закону № 2297-VI до кожного з підозрюваних володільців: вимагаєте копію ваших даних, перелік третіх осіб, яким передавали, і підстави. За ст. 16 вони мають відповісти за 30 днів. Хто відмовить або змовчить — туди і йде скарга Уповноваженому ВРУ. Адвокат фонду готує пакет запитів і фіксує відповіді.

Знайти джерело витоку — +380 73 051 50 77

Алгоритм: (1) Знайдіть «Політику конфіденційності» (зазвичай у футері — Privacy Policy) — там має бути контакт DPO (Data Protection Officer — відповідальний за захист даних) або іншої відповідальної особи. (2) Напишіть письмовий запит на email або через офіційну форму: посилання на ст. 8 Закону № 2297-VI, чітко: «вимагаю видалити такі дані…». (3) Зробіть скрін відправлення з датою — це доказ для скарги. (4) Якщо за 30 днів немає відповіді — переходьте до скарги Уповноваженому ВРУ (див. FAQ далі).

Володілець має 30 днів. Якщо відмовив або проігнорував — скарга Уповноваженому з прав людини через офіс Омбудсмана з повним пакетом доказів. Уповноважений має повноваження за ст. 23 — провести перевірку, видати припис, скласти протокол за ст. 188-39 КУпАП.

Видалити мої дані — +380 73 051 50 77

Так, якщо ви обробляєте дані резидентів ЄС. GDPR має extraterritorial scope (Art. 3) — застосовується незалежно від країни реєстрації компанії. Тригери: продаєте товари/послуги клієнтам у ЄС, відстежуєте поведінку (analytics, cookies), маєте ЄС-співробітників.

Що треба: (1) Privacy policy з усіма обов'язковими пунктами Art. 13; (2) законна підстава обробки за Art. 6 (consent, contract, legitimate interest); (3) процедури для 8 прав суб'єкта (Art. 15–22); (4) DPA з підрядниками-обробниками; (5) DPIA для високих ризиків; (6) представник у ЄС (Art. 27) і, якщо профіль складний — DPO. Адвокат фонду робить GDPR-аудит і будує комплаєнс.

Запитати про GDPR-аудит — +380 73 051 50 77

Скарга подається у письмовій або електронній формі до офісу Уповноваженого ВРУ з прав людини. Електронно — через офіційну форму на сайті або email. Письмово — поштою або особисто за адресою у Києві.

У скарзі: ваші дані, дані володільця бази, опис порушення (хто, коли, що зробив), копія письмового запиту, який ви надсилали (і відповідь або підтвердження прострочення), правова кваліфікація — конкретна стаття Закону № 2297-VI. Розгляд — до 30 календарних днів, складні справи — продовжуються. Результат: припис володільцю, протокол за ст. 188-39 КУпАП, передача до суду.

Скласти скаргу — +380 73 051 50 77

Так — моральна шкода — позов за ст. 1167 ЦК (деліктна підстава) з посиланням на ст. 23 ЦК (загальний спосіб захисту). Розмір — обґрунтовується індивідуально: ступінь поширення даних, наслідки (стрес, втрата довіри, кібершахрайство), час на відновлення.

Важливо: штраф за ст. 188-39 КУпАП іде в держбюджет, не вам. Ваша компенсація — окремий цивільний позов. Подача — до місцевого суду за вашим місцем проживання або місцем відповідача. Загальна позовна давність — 3 роки (ст. 257 ЦК), відлік — з дня, коли ви дізналися або могли дізнатися про порушення (ст. 261 ЦК). Адвокат фонду готує позов з повним пакетом доказів і обґрунтуванням розміру.

Обговорити мій випадок — +380 73 051 50 77

І те, і те — паралельно. Кримінал: ст. 182 КК «Порушення недоторканності приватного життя» — незаконне збирання, зберігання, використання, поширення конфіденційної інформації про особу. Санкція: ч. 1 — штраф 500–1000 нмдг, виправні роботи до 2 років, арешт до 6 міс. або обмеження волі до 3 років; ч. 2 (повторно / тяжкі наслідки) — обмеження волі до 5 років. Заява до Нацполіції — за вашим місцем проживання або за місцем виявлення публікації; можна подати у будь-якому відділенні, далі справу передадуть територіально підслідному органу.

Цивільне: позов про моральну шкоду за ст. 1167 ЦК (з посиланням на ст. 23 ЦК як загальний спосіб захисту) + вимога видалення даних за ст. 15 Закону № 2297-VI і ст. 301 ЦК (право на особисте життя та його таємницю). Паралельно — скарга на abuse@telegram.org через офіційну форму, до Уповноваженого ВРУ та запит Google про видалення з пошуку. Адвокат фонду готує всі канали одночасно.

Заблокувати канал — +380 73 051 50 77

Тільки в межах необхідного для трудових відносин (ст. 6 Закону № 2297-VI — принцип мінімізації). Для трудового договору, ЄСВ, податкової — частина даних дійсно потрібна, а саме: ПІБ, дата народження, паспортні дані, РНОКПП (раніше ІПН), номер у Реєстрі застрахованих осіб ПФУ, контакти, освіта, попередні місця роботи.

Що НЕ можна вимагати без окремої згоди: дані про релігію, політичні погляди, стан здоров'я (поза медогляду за ст. 169 КЗпП), членство в профспілках, сексуальну орієнтацію — це чутливі дані за ст. 7 Закону. Збереження сканів — у захищеному форматі, доступ — обмеженому колу осіб. Якщо роботодавець вимагає більше або зберігає без захисту — скарга Уповноваженому + цивільний позов.

Перевірити обробку на роботі — +380 73 051 50 77

Залежить від аудиторії. Для ЄС-резидентів — обов'язково, GDPR + ePrivacy Directive. Стандартні вимоги: окрема згода на необхідні vs аналітичні vs маркетингові cookies, можливість відмови, доступний privacy policy, реєстр обробки.

Для українських користувачів — банер не є прямою вимогою Закону № 2297-VI, але обробка через cookies все одно потребує підстави за ст. 11. У 90% випадків — це згода. Тому банер з checkbox («необхідні/аналітика/маркетинг» окремо, не «прийняти все» одним кліком) — це best practice і захист від скарг. Адвокат фонду налаштовує банер під вашу аудиторію (UA-only, EU-mixed, B2B).

Налаштувати cookies — +380 73 051 50 77

За українським правом — батьки або інші законні представники для дітей до 14 років. У 14–18 років — згоду дає сама дитина, але з відома батьків (це випливає з неповної цивільної дієздатності фізичної особи у віці від 14 до 18 років за ст. 32 ЦК).

За GDPR (Art. 8) — згода від батьків обов'язкова для дітей до 16 років у контексті інформаційних послуг (країни-члени можуть знижувати вік до 13, але не нижче). Це торкається українських сервісів з ЄС-клієнтами. Спеціальні правила обробки даних дітей — у школах, лікарнях, спортивних секціях: підвищені вимоги до згоди, мінімізації, безпеки зберігання.

Перевірити обробку даних дитини — +380 73 051 50 77

Перша консультація з адвокатом фонду — конфіденційна, без обмежень за тривалістю і темою; фінансується з пожертв на статутну діяльність фонду. Подальша робота — за договором про правничу допомогу. Подальша робота — за договором про правничу допомогу за ст. 27 Закону № 5076-VI. Конкретні умови обговорюємо після того, як адвокат побачить обсяг роботи (видалення з однієї бази vs GDPR-комплаєнс на компанію). Вилку оплати адвокат називає одразу після першого аналізу.

Якщо потрібна безоплатна правнича допомога — для категорій, що мають таке право за ст. 14 Закону № 3460-VI (учасник бойових дій, особа з інвалідністю внаслідок війни, член сім'ї загиблого тощо), — складемо і подамо заяву до Центру безоплатної вторинної правничої допомоги.

Зателефонувати +380 73 051 50 77