Захист даних · Витоки

Витік персональних даних
— 6 кроків захисту

Ваші дані злили в мережу — це порушення закону.

  • Володілець зобов'язаний був забезпечити захист ваших даних (ст. 24 ЗУ № 2297-VI).
  • Ви маєте право знати про витік і вимагати видалення (ст. 8, 15).
  • Наглядовий орган — Уповноважений ВРУ з прав людини; хакерський злам — ст. 361 КК.

Адвокат фонду фіксує винного і рахує компенсацію — моральну шкоду за ст. 1167 ЦК.

Перша консультація по телефону — безкоштовна, конфіденційна.

30
календарних днів на відповідь володільця про обробку ваших даних
з дня надходження вашого запиту
24
обов'язок володільця забезпечити захист даних
захист від втрати, знищення, незаконного доступу
361
кримінал за несанкціоноване втручання із витоком інформації
якщо злам призвів до витоку — до 8 років позбавлення волі
188-39
адмінштраф на компанію за порушення захисту персональних даних
накладає Уповноважений ВРУ з прав людини
Як діємо

Чотири кроки після витоку даних

Кожен крок вибудовуємо під ваш випадок: що саме витекло, хто володілець бази, чи є фінансова шкода. Адвокат називає план дій до того, як мине критичний час.

Фіксуємо витік

Робимо скріншоти бази у відкритому доступі, зберігаємо посилання і дату, архівні копії. Це доказова база для скарги, кримінальної справи і позову.

  • Що робимодокази витоку
  • Навіщооснова для позову

Запит володільцю бази

Письмова вимога повідомити обсяг витоку і видалити ваші дані. Володілець зобов'язаний відповісти за 30 календарних днів (ст. 8) і забезпечувати захист (ст. 24).

  • Нормаст. 8, 15, 24
  • Строк30 днів

Скарга і заява

Скарга Уповноваженому ВРУ (адмінштраф компанії за ст. 188-39 КУпАП) плюс заява в кіберполіцію, якщо був злам системи (ст. 361 КК) чи умисне поширення (ст. 182 КК).

  • Уповноважений ВРУст. 188-39 КУпАП
  • Кіберполіціяст. 361, 182 КК

Позов про моральну шкоду

Готуємо цивільний позов до винуватця витоку. Підстава — незаконна обробка ваших даних; розмір моральної шкоди визначає суд (ст. 23, 1167 ЦК) залежно від наслідків.

  • Нормаст. 23, 1167 ЦК
  • Відповідачволоділець бази

Не знаєте, з чого почати після витоку? Перша консультація по телефону безкоштовна. За 15 хвилин розкладемо ваш випадок і назвемо порядок дій.

Зателефонувати
Хронологія

Анатомія справи — від виявлення витоку до компенсації

Реальна хронологія: п'ять контрольних точок, де адвокат фонду включається або страхує вас від помилки в перші дні.

  1. 01

    Виявлення витоку і фіксація доказів

    День 1

    Ви надсилаєте посилання на базу, скріншоти, дату виявлення. Адвокат фіксує доказову базу — скріншоти, архівні копії, метадані. Це основа для скарги, кримінальної справи і позову. Передзвонюємо того ж дня з першим розбором.

    Фіксація
  2. 02

    Технічний захист і зупинка шкоди

    Дні 1–2

    Якщо витекли платіжні дані — блокування карток через банк, зміна паролів, двофакторна автентифікація. Мета — обірвати ланцюг шкоди, поки нею можна керувати. Паралельно оцінюємо, що саме витекло і наскільки це чутливо.

    Захист
  3. 03

    Запит володільцю або скарга Уповноваженому

    Дні 1–30

    Письмова вимога володільцю бази: повідомити обсяг витоку і видалити ваші дані (ст. 8, 15 ЗУ № 2297-VI), строк відповіді — 30 календарних днів. Якщо володілець ігнорує або витік масовий — скарга Уповноваженому ВРУ з прав людини. Тут — розвилка: адмінтиск чи кримінал.

    Розвилка
  4. 04

    Кіберполіція і розслідування

    1–6 міс.

    Якщо був злам системи — заява в кіберполіцію за ст. 361 КК; якщо дані злив конкретний зловмисник — ст. 182 КК (незаконне поширення приватної інформації). Адвокат супроводжує внесення відомостей до ЄРДР і тисне на хід розслідування.

    Розслідування
  5. 05

    Позов про моральну шкоду і рішення суду

    Рішення

    Цивільний позов до винуватця витоку про відшкодування моральної шкоди (ст. 23, 1167 ЦК). Розмір визначає суд залежно від глибини страждань і наслідків — гарантованих сум немає. Прораховуємо перспективу до подачі і супроводжуємо до рішення.

    Результат
Порівняння

Самостійно або з адвокатом — два сценарії після витоку

Що ви отримаєте у кожному з варіантів — у перші дні після витоку і через кілька місяців.

Порівняння двох сценаріїв реагування на витік персональних даних
Що буде Самостійно або без дійБез адвоката Альтернатива: З адвокатом фондуКоординатор + профільний адвокат
Фіксація доказівСкріншот «на потім» — база зникає, доказів для суду немаєФіксуємо базу, посилання, дату і метадані — доказова база для позову
Запит володільцюДзвінок на гарячу лінію — обіцяють «розібратися» і мовчатьЮридична вимога з посиланням на ст. 8, 15 ЗУ № 2297-VI — відповідають за 30 днів
Скарга Уповноваженому ВРУНе подаєте — компанія не несе адмінвідповідальностіСкарга з доказами — Уповноважений може накласти штраф за ст. 188-39 КУпАП
КіберполіціяЗаява без супроводу — справа роками «висить» без рухуАдвокат супроводжує ЄРДР і тисне на розслідування за ст. 361, 182 КК
КомпенсаціяНе подаєте позов — витік просто приймаєте як фактСтягуємо моральну шкоду з винуватця за ст. 23, 1167 ЦК
ПідсумокВитік прийняли, винний безкарнийВинного зафіксовано, компанія покарана, шкоду стягнуто
Закон

Норма, на якій тримається ваш захист

Одна норма перекладає відповідальність за витік на того, хто зберігав ваші дані: не ви винні, що базу злили — володілець мав її захистити.

Володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
Закон України «Про захист персональних даних» № 2297-VI ч. 1 ст. 24
  1. Обов'язок володільця

    Захист даних — прямий обов'язок того, хто ними володіє (банк, телеком, магазин, держорган), а не «побажання». Не забезпечив — відповідає.

  2. Не лише хакер

    Закон охоплює і випадкову втрату, і недбале зберігання, і незаконний доступ. Тому відповідальність компанії настає навіть без зловмисника.

  3. Наглядовий орган — Уповноважений ВРУ

    В Україні немає окремого «дата-регулятора». Контроль за захистом персональних даних здійснює Уповноважений Верховної Ради України з прав людини (ст. 22–23).

Ваші дані вже в мережі

Знайшли себе у злитій базі? Зафіксуємо витік і назвемо порядок дій — за 15 хвилин на телефоні.

Зателефонувати
Документи

Шаблони для реагування на витік даних

Усі шаблони — для розуміння обсягу роботи. Адвокат фонду адаптує текст під ваш випадок — не використовуйте їх самостійно без правки.

  • Вимога володільцю бази про обсяг витоку і видалення даних

    ст. 8, 15 ЗУ № 2297-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [найменування володільця бази — банк / оператор / магазин], код ЄДРПОУ [номер], [адреса].

    Від: [П.І.Б. суб'єкта персональних даних], [адреса для листування], тел. [номер].

    ВИМОГА про надання інформації щодо обробки персональних даних та їх видалення.

    Мені стало відомо про витік бази персональних даних, володільцем якої ви є ([опис події, джерело, дата виявлення]). Серед оприлюднених даних наявні мої персональні дані: [перелік — ПІБ, телефон, ІПН, паспортні дані, платіжна інформація тощо].

    Відповідно до ст. 8 Закону України «Про захист персональних даних» суб'єкт персональних даних має право знати про джерела збирання, мету обробки та третіх осіб, яким передавалися його дані, а також отримати відповідь протягом 30 календарних днів.

    Прошу:

    • повідомити обсяг і склад моїх персональних даних, що зазнали витоку, та обставини інциденту;
    • видалити / знищити мої персональні дані з ваших систем на підставі ст. 15 Закону (відкликання згоди на обробку);
    • надати письмову відповідь у строк, установлений ч. 2 ст. 8 Закону.

    Додатки: копії доказів витоку (скріншоти, посилання) — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Скарга Уповноваженому ВРУ з прав людини на порушення захисту даних

    ст. 22–23 ЗУ № 2297-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: Уповноважений Верховної Ради України з прав людини, вул. Інститутська, 21/8, м. Київ, 01008.

    Від: [П.І.Б.], [адреса], тел. [номер], e-mail [адреса].

    СКАРГА на порушення законодавства у сфері захисту персональних даних.

    [Найменування володільця], код ЄДРПОУ [номер], як володілець бази персональних даних допустив витік моїх персональних даних ([опис події, дата, джерело оприлюднення]). Тим самим порушено обов'язок забезпечити захист даних, установлений ст. 24 Закону України «Про захист персональних даних».

    Контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини (ст. 22–23 Закону).

    Прошу:

    • провести перевірку додержання [найменування володільця] законодавства про захист персональних даних;
    • вжити заходів реагування, зокрема скласти протокол про адміністративне правопорушення за ст. 188-39 КУпАП;
    • зобов'язати володільця усунути порушення та видалити мої дані.

    Додатки: копії доказів витоку, копія вимоги до володільця та відповіді (за наявності) — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Заява в кіберполіцію про несанкціоноване втручання (злам системи)

    ст. 361 КК

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: Департамент кіберполіції Національної поліції України / [територіальний підрозділ], [адреса].

    Від: [П.І.Б.], [адреса], тел. [номер].

    ЗАЯВА про вчинення кримінального правопорушення.

    Повідомляю про несанкціоноване втручання в роботу інформаційної системи [найменування володільця / ресурсу], унаслідок якого сталися витік і незаконне поширення персональних даних, серед яких мої: [перелік даних]. Дані оприлюднено [де, коли, посилання].

    У діях невстановлених осіб убачаються ознаки кримінального правопорушення, передбаченого ст. 361 Кримінального кодексу України (несанкціоноване втручання в роботу інформаційних систем, що призвело до витоку інформації), а за наявності умисного поширення — ст. 182 КК.

    Прошу:

    • внести відомості до Єдиного реєстру досудових розслідувань за ст. 214 КПК України;
    • провести досудове розслідування, встановити осіб, причетних до витоку;
    • визнати мене потерпілим у кримінальному провадженні.

    Додатки: скріншоти, посилання, інші докази — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Заява про порушення недоторканності приватного життя (ст. 182 КК)

    ст. 182 КК

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [найменування органу поліції / підрозділу], [адреса].

    Від: [П.І.Б.], [адреса], тел. [номер].

    ЗАЯВА про вчинення кримінального правопорушення, передбаченого ст. 182 КК України.

    [П.І.Б. або «невстановлена особа»] незаконно зібрав(ла), зберігав(ла) і поширив(ла) конфіденційну інформацію про мене без моєї згоди: [перелік даних — фото, листування, документи, контакти]. Інформацію оприлюднено [де, коли].

    Зазначені дії містять ознаки кримінального правопорушення, передбаченого ст. 182 Кримінального кодексу України (порушення недоторканності приватного життя).

    Прошу:

    • внести відомості до ЄРДР за ст. 214 КПК України;
    • провести розслідування і встановити особу, яка поширила мої дані;
    • визнати мене потерпілим у провадженні.

    Додатки: докази поширення (скріншоти, посилання, свідчення) — на [кількість] арк.

    [Дата]. [П.І.Б., підпис].

  • Цивільний позов про відшкодування моральної шкоди за витік

    ст. 23, 1167 ЦК

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    До: [найменування] районного суду [міста], [адреса].

    Позивач: [П.І.Б.], [адреса], тел. [номер].

    Відповідач: [найменування володільця бази / П.І.Б. зловмисника], код ЄДРПОУ [номер], [адреса].

    ПОЗОВНА ЗАЯВА про відшкодування моральної шкоди, завданої витоком персональних даних.

    Відповідач як володілець персональних даних не забезпечив їх захист (ст. 24 Закону № 2297-VI), унаслідок чого мої персональні дані ([перелік]) опинилися у відкритому доступі [обставини, дата]. Це завдало мені моральної шкоди: [душевні страждання, тривога за безпеку коштів і рідних, репутаційні наслідки, час і зусилля на усунення наслідків].

    Відповідно до ст. 23 і ст. 1167 ЦК України моральна шкода, завдана неправомірними діями чи бездіяльністю, відшкодовується особою, яка її завдала. Розмір відшкодування визначається судом з урахуванням глибини страждань і вимог розумності та справедливості.

    Прошу суд:

    • стягнути з відповідача на мою користь відшкодування моральної шкоди у розмірі [сума] грн;
    • стягнути судові витрати.

    Додатки: докази витоку, докази наслідків, розрахунок вимог, доказ сплати судового збору — на [кількість] арк.

    [Дата]. Представник позивача — адвокат [П.І.Б.].

  • Адвокатський запит про обставини і винних у витоку

    ст. 24 ЗУ № 5076-VI

    Дзвонити
    Зразок структури — заповнюється під ваш ППР

    Кому: [найменування володільця бази / держоргану], [адреса].

    Від: адвокат [П.І.Б.], свідоцтво про право на заняття адвокатською діяльністю № [номер] від [дата], [адреса], тел. [номер].

    АДВОКАТСЬКИЙ ЗАПИТ про надання інформації щодо інциденту з витоку персональних даних.

    Запит подається на підставі ст. 24 Закону України «Про адвокатуру та адвокатську діяльність» (№ 5076-VI) в інтересах клієнта [П.І.Б.] відповідно до договору про надання правової допомоги від [дата] та ордера № [номер].

    Прошу надати:

    • інформацію про факт, дату і обсяг витоку персональних даних клієнта;
    • відомості про заходи захисту даних, що вживалися до інциденту (ст. 24 Закону № 2297-VI);
    • інформацію про повідомлення Уповноваженого ВРУ та вжиті заходи реагування.

    Правові підстави відповіді: запит підлягає розгляду у строк не більше п'яти робочих днів. Відмова допускається лише у випадках, прямо передбачених законом.

    Додатки: копія ордера, копія свідоцтва адвоката — на [кількість] арк.

    [Дата]. Адвокат — [П.І.Б., підпис].

Який документ потрібен саме вам — підкаже адвокат після розбору ситуації.

Зателефонувати
Кому це підходить

Три ситуації, коли після витоку варто звернутися

Якщо ваш кейс схожий — телефонуйте. Координатор знайде профільного адвоката за 15 хвилин.

Команда

Хто веде вашу справу

Усі — члени Національної асоціації адвокатів України (НААУ) з чинним свідоцтвом і записом у Єдиному реєстрі. Координатор фонду підбирає адвоката під ваш випадок: що витекло, хто винний, чи є фінансова шкода.

Захист персональних даних

Адвокат фонду

свідоцтво НААУ (за запитом)

Ведемо вимоги до володільців баз, скарги Уповноваженому ВРУ, домагаємось видалення даних і адмінвідповідальності компанії.

ст. 8 ЗУ № 2297-VI · ст. 24 · ст. 188-39 КУпАП

Кіберзлочини

Адвокат фонду

свідоцтво НААУ (за запитом)

Супроводжуємо заяви в кіберполіцію, внесення до ЄРДР і розслідування зламів систем та незаконного поширення приватної інформації.

ст. 361 КК · ст. 182 КК · ст. 214 КПК

Стягнення шкоди

Адвокат фонду

свідоцтво НААУ (за запитом)

Готуємо цивільні позови про моральну і майнову шкоду від витоку, доводимо провину володільця бази, супроводжуємо до рішення суду.

ст. 23 ЦК · ст. 1167 ЦК · ст. 1166 ЦК

Перша консультація

Адвокат фонду

свідоцтво НААУ (за запитом)

Приймає перший дзвінок, оцінює ситуацію, визначає пріоритети реагування і з'єднує з профільним адвокатом у межах 1–2 робочих днів.

оцінка ситуації · маршрутизація · строки

Питання

Часті запитання про витік персональних даних

Перевірте email на сервісах агрегації витоків, пошукайте своє ПІБ і телефон у відкритих каналах, стежте за новинами про витоки в Україні.

Ви також маєте право письмово запитати володільця бази, чи обробляє він ваші дані і за яких умов (ст. 8 ЗУ № 2297-VI) — відповідь зобов'язані дати за 30 днів. Адвокат може зробити повну перевірку і зафіксувати витік.

Перевірити мій випадок — +380 73 051 50 77

Компанія-володілець завжди відповідає за безпеку ваших даних (ст. 24 ЗУ № 2297-VI) — цей обов'язок настає навіть без зловмисника, за саму лише недбалість.

Хакер відповідає додатково і кримінально. Цивільну компенсацію зазвичай стягуємо з компанії — у неї є кошти і доведена бездіяльність.

Визначити винного — +380 73 051 50 77

Так. Ви можете відкликати згоду на обробку і вимагати видалити або знищити ваші дані (ст. 15 ЗУ № 2297-VI).

Вимога подається письмово володільцю бази; він зобов'язаний відреагувати. Ми не обіцяємо «видалити з усього інтернету за день» — але юридична вимога і скарга Уповноваженому реально примушують володільця діяти.

Скласти вимогу — +380 73 051 50 77

Наглядовий орган у сфері персональних даних в Україні — Уповноважений Верховної Ради України з прав людини (омбудсмен). Окремого «дата-регулятора» в Україні немає.

Скарга Уповноваженому може закінчитися адмінштрафом на компанію за ст. 188-39 КУпАП. Якщо був злам або умисне поширення — паралельно заява в кіберполіцію.

Подати скаргу — +380 73 051 50 77

Ні. Правило про повідомлення регулятора протягом 72 годин — це норма GDPR (ст. 33 Регламенту ЄС 2016/679), яка діє в Європейському Союзі. Чинний в Україні Закон № 2297-VI жорсткого 72-годинного дедлайну не встановлює.

Натомість він дає вам право на відповідь володільця про обробку ваших даних протягом 30 календарних днів (ч. 2 ст. 8 ЗУ № 2297-VI).

Уточнити строки — +380 73 051 50 77

Моральну шкоду — за ст. 23 і ст. 1167 ЦК; майнову (наприклад, викрадені гроші) — за ст. 1166 ЦК.

Розмір моральної шкоди визначає суд залежно від глибини страждань і наслідків — гарантованих сум немає, будь-хто, хто обіцяє «точну суму», вводить в оману. Адвокат прораховує реалістичну перспективу до подачі позову.

Оцінити компенсацію — +380 73 051 50 77

Так. Несанкціоноване втручання в роботу інформаційних систем — окреме кримінальне правопорушення (ст. 361 КК); якщо злам призвів до витоку інформації — покарання суворіше (до 8 років позбавлення волі за ч. 3).

Умисне поширення приватної інформації кваліфікується ще й за ст. 182 КК. Подаємо заяву в кіберполіцію і супроводжуємо розслідування.

Подати заяву — +380 73 051 50 77

Першу консультацію по телефону координатор проводить безкоштовно — на ній ви чуєте чесну оцінку перспективи і обсягу роботи. Подальші умови — у договорі, без сюрпризів.

Якщо маєте право на безоплатну правничу допомогу за ст. 14 Закону № 3460-VI — допомагаємо подати заяву.

Зателефонувати +380 73 051 50 77
Перший крок

Витік — це не «трапилося». Це порушення закону — і закон дає вам інструменти

Адвокат фонду перевірив · оновлено 06.07.2026. Опишіть, що і де витекло — за 15 хвилин на телефоні адвокат зафіксує ситуацію, назве порядок дій і перспективу компенсації.

або заповніть форму нижче — передзвонимо за 15 хв

Перша консультація по телефону — безкоштовна. Не передаємо ваші дані третім особам.

Заявка на консультацію — Не словом, а дією
БО «Не словом, а дією»
ЄДРПОУ 45079342 · Київ