Витік персональних даних
— 6 кроків захисту
Ваші дані злили в мережу — це порушення закону.
- Володілець зобов'язаний був забезпечити захист ваших даних (ст. 24 ЗУ № 2297-VI).
- Ви маєте право знати про витік і вимагати видалення (ст. 8, 15).
- Наглядовий орган — Уповноважений ВРУ з прав людини; хакерський злам — ст. 361 КК.
Адвокат фонду фіксує винного і рахує компенсацію — моральну шкоду за ст. 1167 ЦК.
Перша консультація по телефону — безкоштовна, конфіденційна.
Чотири кроки після витоку даних
Кожен крок вибудовуємо під ваш випадок: що саме витекло, хто володілець бази, чи є фінансова шкода. Адвокат називає план дій до того, як мине критичний час.
Фіксуємо витік
Робимо скріншоти бази у відкритому доступі, зберігаємо посилання і дату, архівні копії. Це доказова база для скарги, кримінальної справи і позову.
- Що робимодокази витоку
- Навіщооснова для позову
Запит володільцю бази
Письмова вимога повідомити обсяг витоку і видалити ваші дані. Володілець зобов'язаний відповісти за 30 календарних днів (ст. 8) і забезпечувати захист (ст. 24).
- Нормаст. 8, 15, 24
- Строк30 днів
Скарга і заява
Скарга Уповноваженому ВРУ (адмінштраф компанії за ст. 188-39 КУпАП) плюс заява в кіберполіцію, якщо був злам системи (ст. 361 КК) чи умисне поширення (ст. 182 КК).
- Уповноважений ВРУст. 188-39 КУпАП
- Кіберполіціяст. 361, 182 КК
Позов про моральну шкоду
Готуємо цивільний позов до винуватця витоку. Підстава — незаконна обробка ваших даних; розмір моральної шкоди визначає суд (ст. 23, 1167 ЦК) залежно від наслідків.
- Нормаст. 23, 1167 ЦК
- Відповідачволоділець бази
Не знаєте, з чого почати після витоку? Перша консультація по телефону безкоштовна. За 15 хвилин розкладемо ваш випадок і назвемо порядок дій.
ЗателефонуватиАнатомія справи — від виявлення витоку до компенсації
Реальна хронологія: п'ять контрольних точок, де адвокат фонду включається або страхує вас від помилки в перші дні.
-
01
Виявлення витоку і фіксація доказів
День 1
Ви надсилаєте посилання на базу, скріншоти, дату виявлення. Адвокат фіксує доказову базу — скріншоти, архівні копії, метадані. Це основа для скарги, кримінальної справи і позову. Передзвонюємо того ж дня з першим розбором.
Фіксація -
02
Технічний захист і зупинка шкоди
Дні 1–2
Якщо витекли платіжні дані — блокування карток через банк, зміна паролів, двофакторна автентифікація. Мета — обірвати ланцюг шкоди, поки нею можна керувати. Паралельно оцінюємо, що саме витекло і наскільки це чутливо.
Захист -
03
Запит володільцю або скарга Уповноваженому
Дні 1–30
Письмова вимога володільцю бази: повідомити обсяг витоку і видалити ваші дані (ст. 8, 15 ЗУ № 2297-VI), строк відповіді — 30 календарних днів. Якщо володілець ігнорує або витік масовий — скарга Уповноваженому ВРУ з прав людини. Тут — розвилка: адмінтиск чи кримінал.
Розвилка -
04
Кіберполіція і розслідування
1–6 міс.
Якщо був злам системи — заява в кіберполіцію за ст. 361 КК; якщо дані злив конкретний зловмисник — ст. 182 КК (незаконне поширення приватної інформації). Адвокат супроводжує внесення відомостей до ЄРДР і тисне на хід розслідування.
Розслідування -
05
Позов про моральну шкоду і рішення суду
Рішення
Цивільний позов до винуватця витоку про відшкодування моральної шкоди (ст. 23, 1167 ЦК). Розмір визначає суд залежно від глибини страждань і наслідків — гарантованих сум немає. Прораховуємо перспективу до подачі і супроводжуємо до рішення.
Результат
Самостійно або з адвокатом — два сценарії після витоку
Що ви отримаєте у кожному з варіантів — у перші дні після витоку і через кілька місяців.
| Що буде | Самостійно або без дійБез адвоката | Альтернатива: З адвокатом фондуКоординатор + профільний адвокат |
|---|---|---|
| Фіксація доказів | Скріншот «на потім» — база зникає, доказів для суду немає | Фіксуємо базу, посилання, дату і метадані — доказова база для позову |
| Запит володільцю | Дзвінок на гарячу лінію — обіцяють «розібратися» і мовчать | Юридична вимога з посиланням на ст. 8, 15 ЗУ № 2297-VI — відповідають за 30 днів |
| Скарга Уповноваженому ВРУ | Не подаєте — компанія не несе адмінвідповідальності | Скарга з доказами — Уповноважений може накласти штраф за ст. 188-39 КУпАП |
| Кіберполіція | Заява без супроводу — справа роками «висить» без руху | Адвокат супроводжує ЄРДР і тисне на розслідування за ст. 361, 182 КК |
| Компенсація | Не подаєте позов — витік просто приймаєте як факт | Стягуємо моральну шкоду з винуватця за ст. 23, 1167 ЦК |
| Підсумок | Витік прийняли, винний безкарний | Винного зафіксовано, компанія покарана, шкоду стягнуто |
Норма, на якій тримається ваш захист
Одна норма перекладає відповідальність за витік на того, хто зберігав ваші дані: не ви винні, що базу злили — володілець мав її захистити.
Володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
-
Обов'язок володільця
Захист даних — прямий обов'язок того, хто ними володіє (банк, телеком, магазин, держорган), а не «побажання». Не забезпечив — відповідає.
-
Не лише хакер
Закон охоплює і випадкову втрату, і недбале зберігання, і незаконний доступ. Тому відповідальність компанії настає навіть без зловмисника.
-
Наглядовий орган — Уповноважений ВРУ
В Україні немає окремого «дата-регулятора». Контроль за захистом персональних даних здійснює Уповноважений Верховної Ради України з прав людини (ст. 22–23).
Ваші дані вже в мережі
Знайшли себе у злитій базі? Зафіксуємо витік і назвемо порядок дій — за 15 хвилин на телефоні.
Шаблони для реагування на витік даних
Усі шаблони — для розуміння обсягу роботи. Адвокат фонду адаптує текст під ваш випадок — не використовуйте їх самостійно без правки.
-
Вимога володільцю бази про обсяг витоку і видалення даних
Зразок структури — заповнюється під ваш ППРКому: [найменування володільця бази — банк / оператор / магазин], код ЄДРПОУ [номер], [адреса].
Від: [П.І.Б. суб'єкта персональних даних], [адреса для листування], тел. [номер].
ВИМОГА про надання інформації щодо обробки персональних даних та їх видалення.
Мені стало відомо про витік бази персональних даних, володільцем якої ви є ([опис події, джерело, дата виявлення]). Серед оприлюднених даних наявні мої персональні дані: [перелік — ПІБ, телефон, ІПН, паспортні дані, платіжна інформація тощо].
Відповідно до ст. 8 Закону України «Про захист персональних даних» суб'єкт персональних даних має право знати про джерела збирання, мету обробки та третіх осіб, яким передавалися його дані, а також отримати відповідь протягом 30 календарних днів.
Прошу:
- повідомити обсяг і склад моїх персональних даних, що зазнали витоку, та обставини інциденту;
- видалити / знищити мої персональні дані з ваших систем на підставі ст. 15 Закону (відкликання згоди на обробку);
- надати письмову відповідь у строк, установлений ч. 2 ст. 8 Закону.
Додатки: копії доказів витоку (скріншоти, посилання) — на [кількість] арк.
[Дата]. [П.І.Б., підпис].
-
Скарга Уповноваженому ВРУ з прав людини на порушення захисту даних
Зразок структури — заповнюється під ваш ППРКому: Уповноважений Верховної Ради України з прав людини, вул. Інститутська, 21/8, м. Київ, 01008.
Від: [П.І.Б.], [адреса], тел. [номер], e-mail [адреса].
СКАРГА на порушення законодавства у сфері захисту персональних даних.
[Найменування володільця], код ЄДРПОУ [номер], як володілець бази персональних даних допустив витік моїх персональних даних ([опис події, дата, джерело оприлюднення]). Тим самим порушено обов'язок забезпечити захист даних, установлений ст. 24 Закону України «Про захист персональних даних».
Контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений Верховної Ради України з прав людини (ст. 22–23 Закону).
Прошу:
- провести перевірку додержання [найменування володільця] законодавства про захист персональних даних;
- вжити заходів реагування, зокрема скласти протокол про адміністративне правопорушення за ст. 188-39 КУпАП;
- зобов'язати володільця усунути порушення та видалити мої дані.
Додатки: копії доказів витоку, копія вимоги до володільця та відповіді (за наявності) — на [кількість] арк.
[Дата]. [П.І.Б., підпис].
-
Заява в кіберполіцію про несанкціоноване втручання (злам системи)
Зразок структури — заповнюється під ваш ППРКому: Департамент кіберполіції Національної поліції України / [територіальний підрозділ], [адреса].
Від: [П.І.Б.], [адреса], тел. [номер].
ЗАЯВА про вчинення кримінального правопорушення.
Повідомляю про несанкціоноване втручання в роботу інформаційної системи [найменування володільця / ресурсу], унаслідок якого сталися витік і незаконне поширення персональних даних, серед яких мої: [перелік даних]. Дані оприлюднено [де, коли, посилання].
У діях невстановлених осіб убачаються ознаки кримінального правопорушення, передбаченого ст. 361 Кримінального кодексу України (несанкціоноване втручання в роботу інформаційних систем, що призвело до витоку інформації), а за наявності умисного поширення — ст. 182 КК.
Прошу:
- внести відомості до Єдиного реєстру досудових розслідувань за ст. 214 КПК України;
- провести досудове розслідування, встановити осіб, причетних до витоку;
- визнати мене потерпілим у кримінальному провадженні.
Додатки: скріншоти, посилання, інші докази — на [кількість] арк.
[Дата]. [П.І.Б., підпис].
-
Заява про порушення недоторканності приватного життя (ст. 182 КК)
Зразок структури — заповнюється під ваш ППРКому: [найменування органу поліції / підрозділу], [адреса].
Від: [П.І.Б.], [адреса], тел. [номер].
ЗАЯВА про вчинення кримінального правопорушення, передбаченого ст. 182 КК України.
[П.І.Б. або «невстановлена особа»] незаконно зібрав(ла), зберігав(ла) і поширив(ла) конфіденційну інформацію про мене без моєї згоди: [перелік даних — фото, листування, документи, контакти]. Інформацію оприлюднено [де, коли].
Зазначені дії містять ознаки кримінального правопорушення, передбаченого ст. 182 Кримінального кодексу України (порушення недоторканності приватного життя).
Прошу:
- внести відомості до ЄРДР за ст. 214 КПК України;
- провести розслідування і встановити особу, яка поширила мої дані;
- визнати мене потерпілим у провадженні.
Додатки: докази поширення (скріншоти, посилання, свідчення) — на [кількість] арк.
[Дата]. [П.І.Б., підпис].
-
Цивільний позов про відшкодування моральної шкоди за витік
Зразок структури — заповнюється під ваш ППРДо: [найменування] районного суду [міста], [адреса].
Позивач: [П.І.Б.], [адреса], тел. [номер].
Відповідач: [найменування володільця бази / П.І.Б. зловмисника], код ЄДРПОУ [номер], [адреса].
ПОЗОВНА ЗАЯВА про відшкодування моральної шкоди, завданої витоком персональних даних.
Відповідач як володілець персональних даних не забезпечив їх захист (ст. 24 Закону № 2297-VI), унаслідок чого мої персональні дані ([перелік]) опинилися у відкритому доступі [обставини, дата]. Це завдало мені моральної шкоди: [душевні страждання, тривога за безпеку коштів і рідних, репутаційні наслідки, час і зусилля на усунення наслідків].
Відповідно до ст. 23 і ст. 1167 ЦК України моральна шкода, завдана неправомірними діями чи бездіяльністю, відшкодовується особою, яка її завдала. Розмір відшкодування визначається судом з урахуванням глибини страждань і вимог розумності та справедливості.
Прошу суд:
- стягнути з відповідача на мою користь відшкодування моральної шкоди у розмірі [сума] грн;
- стягнути судові витрати.
Додатки: докази витоку, докази наслідків, розрахунок вимог, доказ сплати судового збору — на [кількість] арк.
[Дата]. Представник позивача — адвокат [П.І.Б.].
-
Адвокатський запит про обставини і винних у витоку
Зразок структури — заповнюється під ваш ППРКому: [найменування володільця бази / держоргану], [адреса].
Від: адвокат [П.І.Б.], свідоцтво про право на заняття адвокатською діяльністю № [номер] від [дата], [адреса], тел. [номер].
АДВОКАТСЬКИЙ ЗАПИТ про надання інформації щодо інциденту з витоку персональних даних.
Запит подається на підставі ст. 24 Закону України «Про адвокатуру та адвокатську діяльність» (№ 5076-VI) в інтересах клієнта [П.І.Б.] відповідно до договору про надання правової допомоги від [дата] та ордера № [номер].
Прошу надати:
- інформацію про факт, дату і обсяг витоку персональних даних клієнта;
- відомості про заходи захисту даних, що вживалися до інциденту (ст. 24 Закону № 2297-VI);
- інформацію про повідомлення Уповноваженого ВРУ та вжиті заходи реагування.
Правові підстави відповіді: запит підлягає розгляду у строк не більше п'яти робочих днів. Відмова допускається лише у випадках, прямо передбачених законом.
Додатки: копія ордера, копія свідоцтва адвоката — на [кількість] арк.
[Дата]. Адвокат — [П.І.Б., підпис].
Який документ потрібен саме вам — підкаже адвокат після розбору ситуації.
ЗателефонуватиТри ситуації, коли після витоку варто звернутися
Якщо ваш кейс схожий — телефонуйте. Координатор знайде профільного адвоката за 15 хвилин.
Знайшли себе у злитій базі банку чи телекому
Ваше ПІБ, телефон, ІПН, адреса або дані картки з'явилися у Telegram-каналі чи на форумі разом з мільйонами інших записів. Володілець бази мовчить або відмахується — а ризик шахрайства і кредитів на ваше ім'я росте щодня.
ЗателефонуватиДані злив колишній партнер або інсайдер
Це не «системний витік», а цілеспрямоване поширення: фото, листування, документи, контакти — як помста чи тиск. Тут окремий склад (ст. 182 КК) плюс цивільний позов і термінове блокування каналів поширення.
ЗателефонуватиПісля витоку списали гроші з картки
Витік плюс шахрайство — найгірша комбінація. Потрібно терміново блокувати картку, повертати кошти через банк (chargeback) і паралельно фіксувати винного: кіберполіція (ст. 361 КК) і позов до володільця бази.
ЗателефонуватиХто веде вашу справу
Усі — члени Національної асоціації адвокатів України (НААУ) з чинним свідоцтвом і записом у Єдиному реєстрі. Координатор фонду підбирає адвоката під ваш випадок: що витекло, хто винний, чи є фінансова шкода.
Часті запитання про витік персональних даних
Перевірте email на сервісах агрегації витоків, пошукайте своє ПІБ і телефон у відкритих каналах, стежте за новинами про витоки в Україні.
Ви також маєте право письмово запитати володільця бази, чи обробляє він ваші дані і за яких умов (ст. 8 ЗУ № 2297-VI) — відповідь зобов'язані дати за 30 днів. Адвокат може зробити повну перевірку і зафіксувати витік.
Перевірити мій випадок — +380 73 051 50 77Компанія-володілець завжди відповідає за безпеку ваших даних (ст. 24 ЗУ № 2297-VI) — цей обов'язок настає навіть без зловмисника, за саму лише недбалість.
Хакер відповідає додатково і кримінально. Цивільну компенсацію зазвичай стягуємо з компанії — у неї є кошти і доведена бездіяльність.
Визначити винного — +380 73 051 50 77Так. Ви можете відкликати згоду на обробку і вимагати видалити або знищити ваші дані (ст. 15 ЗУ № 2297-VI).
Вимога подається письмово володільцю бази; він зобов'язаний відреагувати. Ми не обіцяємо «видалити з усього інтернету за день» — але юридична вимога і скарга Уповноваженому реально примушують володільця діяти.
Скласти вимогу — +380 73 051 50 77Наглядовий орган у сфері персональних даних в Україні — Уповноважений Верховної Ради України з прав людини (омбудсмен). Окремого «дата-регулятора» в Україні немає.
Скарга Уповноваженому може закінчитися адмінштрафом на компанію за ст. 188-39 КУпАП. Якщо був злам або умисне поширення — паралельно заява в кіберполіцію.
Подати скаргу — +380 73 051 50 77Ні. Правило про повідомлення регулятора протягом 72 годин — це норма GDPR (ст. 33 Регламенту ЄС 2016/679), яка діє в Європейському Союзі. Чинний в Україні Закон № 2297-VI жорсткого 72-годинного дедлайну не встановлює.
Натомість він дає вам право на відповідь володільця про обробку ваших даних протягом 30 календарних днів (ч. 2 ст. 8 ЗУ № 2297-VI).
Уточнити строки — +380 73 051 50 77Моральну шкоду — за ст. 23 і ст. 1167 ЦК; майнову (наприклад, викрадені гроші) — за ст. 1166 ЦК.
Розмір моральної шкоди визначає суд залежно від глибини страждань і наслідків — гарантованих сум немає, будь-хто, хто обіцяє «точну суму», вводить в оману. Адвокат прораховує реалістичну перспективу до подачі позову.
Оцінити компенсацію — +380 73 051 50 77Так. Несанкціоноване втручання в роботу інформаційних систем — окреме кримінальне правопорушення (ст. 361 КК); якщо злам призвів до витоку інформації — покарання суворіше (до 8 років позбавлення волі за ч. 3).
Умисне поширення приватної інформації кваліфікується ще й за ст. 182 КК. Подаємо заяву в кіберполіцію і супроводжуємо розслідування.
Подати заяву — +380 73 051 50 77Першу консультацію по телефону координатор проводить безкоштовно — на ній ви чуєте чесну оцінку перспективи і обсягу роботи. Подальші умови — у договорі, без сюрпризів.
Якщо маєте право на безоплатну правничу допомогу за ст. 14 Закону № 3460-VI — допомагаємо подати заяву.
Зателефонувати +380 73 051 50 77Витік — це не «трапилося». Це порушення закону — і закон дає вам інструменти
Адвокат фонду перевірив · оновлено 06.07.2026. Опишіть, що і де витекло — за 15 хвилин на телефоні адвокат зафіксує ситуацію, назве порядок дій і перспективу компенсації.
або заповніть форму нижче — передзвонимо за 15 хв
Перша консультація по телефону — безкоштовна. Не передаємо ваші дані третім особам.
ЄДРПОУ 45079342 · Київ