Питання захисту персональних даних в Україні набуває дедалі більшого значення як для нашої держави, так і для бізнесу, що орієнтований на співпрацю з Європейським Союзом. З огляду на щораз більший обсяг транскордонного обміну інформацією відповідність національного законодавства стандартам ЄС — не лише питання правового суверенітету, але й важливий фактор цифрової інтеграції України в європейський простір. Утім, попри численні кроки назустріч ЄС, Україна досі не отримала рішення про відповідність режиму захисту персональних даних європейським вимогам. В чому ж полягають відповідні причини? Спробуємо розібратись.

Відсутність рішення про адекватність згідно з GDPR

Станом на 2025 рік Україна не включена до переліку країн, які Європейська комісія визнала такими, що забезпечують адекватний рівень захисту персональних даних відповідно до статті 45 Регламенту (ЄС) 2016/679 (GDPR). Це означає, що трансфер персональних даних з країн ЄС до України може здійснюватися виключно за умови запровадження додаткових юридичних гарантій, таких як стандартні договірні положення (Standard Contractual Clauses) або результати оцінки впливу передання даних (Data Transfer Impact Assessment).

Фактично така ситуація ставить українських отримувачів даних у менш вигідне положення, адже кожен акт передання вимагає додаткових зусиль і витрат. Водночас компанії з ЄС можуть відмовлятися від співпраці з українськими партнерами саме через відсутність рішення про адекватність, щоби уникнути регуляторних ризиків і можливих санкцій. Це також створює бар’єри для інтеграції українських технологічних компаній до європейських цифрових ринків.

Системні недоліки нормативного та інституційного середовища

Правове регулювання захисту персональних даних в Україні базується на Законі України «Про захист персональних даних» від 2010 року, який сформовано на основі вже нечинної Директиви 95/46/EC. Незважаючи на розроблення у 2022–2024 роках законопроєкту №  8153 з метою імплементації положень GDPR, на момент підготовки тез нове законодавство ще не набуло чинності. На інституційному рівні функції контролю залишаються за уповноваженим ВРУ з прав людини, який не є спеціалізованим органом із питань захисту даних, що суперечить вимогам до незалежного наглядового органу, встановленим GDPR.

Ці нормативні прогалини свідчать про затягування реформ у сфері захисту даних, яке не лише стримує інтеграцію України в цифрову Європу, але й залишає особисті дані громадян недостатньо захищеними. Брак спеціалізованого наглядового органу також ускладнює ефективний моніторинг і контроль за обробкою персональних даних, а отже, унеможливлює забезпечення принципу підзвітності, на якому базується GDPR. У майбутньому ухвалення оновленого закону і створення незалежного органу є обов’язковими передумовами для просування до статусу “адекватної країни».

Протягом останніх років Україна отримувала міжнародну технічну допомогу для модернізації системи захисту персональних даних. Зокрема, проєкт EU4DigitalUA, фінансований Європейським Союзом із загальним бюджетом у 10 млн євро, надавав експертну підтримку у розробці законопроєкту № 8153 «Про захист персональних даних», що був прийнятий у першому читанні Верховною Радою в листопаді 2024 року. Також у 2017 році реалізовано проєкт Twinning Ombudsman із бюджетом 1,5 млн євро, який мав на меті наблизити українське законодавство до міжнародних стандартів. Проте, попри наявність фінансування і участь кваліфікованих експертів, ефективність таких ініціатив залишається обмеженою. Без політичної волі, ефективного контролю за імплементацією норм та дієвих механізмів підзвітності навіть найкращі іноземні практики не приводять до сталих змін.

Практичні наслідки для транскордонного передання даних та прав громадян

Відсутність статусу «адекватної країни» істотно ускладнює правомірність передання персональних даних із території ЄС до України для суб’єктів господарювання, що працюють із європейськими контрагентами. Це потребує впровадження додаткових договірних механізмів та процедур управління ризиками передання, що підвищує адміністративне навантаження та знижує інвестиційну привабливість. Для громадян це означає відсутність повноцінних правових гарантій захисту персональних даних, порівнянних із європейськими стандартами, особливо в умовах дії правового режиму воєнного стану, що допускає обмеження низки прав і свобод.

В умовах війни проблема захисту персональних даних набуває ще більшої гостроти, адже мова йде не лише про конфіденційність, а й про безпеку. Відсутність реального контролю за доступом до даних та обмежена підзвітність органів влади можуть призводити до зловживань, які особливо болісно сприймаються в суспільстві, що перебуває у стані постійного стресу. У таких умовах держава мала б, навпаки, демонструвати підвищений рівень прозорості та захисту персональних даних як запоруку довіри громадян.

Роль судової практики у формуванні стандартів захисту персональних даних

Судова практика є важливим елементом розвитку правового режиму захисту персональних даних, оскільки дає змогу конкретизувати законодавчі положення та формувати сталі підходи до їх застосування. Як у країнах Європейського Союзу, так і в Україні суди дедалі частіше розглядають справи, пов’язані з порушенням цифрових прав громадян.

10 липня 2023 року Європейська комісія ухвалила нове рішення про адекватність щодо США, визнавши рівень захисту персональних даних, що забезпечується в цій країні, таким, що є адекватним рівню, який гарантується в Європейському Союзі. Це третє рішення про адекватність, ухвалене після резонансного рішення Суду Європейського Союзу у справі Schrems (2020), яким було скасовано попереднє рішення щодо США. Нове рішення потенційно може забезпечити певну правову визначеність для контролерів персональних даних, зокрема в частині трансатлантичних трансферів інформації.

В Україні також формується відповідна практика. Так, у постанові Верховного Суду від 21.10.2021 у справі № 826/10446/16 було встановлено порушення права на приватність через незаконне поширення персональних даних без згоди особи. У справі № 640/3230/20 (постанова від 02.03.2023) Суд зобов’язав державний орган обґрунтувати законність обробки персональних даних, навіть якщо йдеться про реалізацію публічних функцій.

Ці прецеденти свідчать про поступове формування практики захисту цифрових прав в Україні, однак наявна фрагментарність і слабка узгодженість із європейськими стандартами залишають простір для подальшого розвитку.

Передумови для подальшого зближення з європейськими стандартами

Для отримання Україною статусу країни з адекватним рівнем захисту персональних даних необхідними є:

• прийняття та впровадження нового законодавства, яке відповідає ключовим вимогам GDPR;
• створення незалежного спеціалізованого наглядового органу з достатніми повноваженнями та ресурсами;
• забезпечення ефективного правозастосування, судового та адміністративного захисту прав суб’єктів персональних даних;
• реалізація національної політики підвищення обізнаності та правової культури у сфері захисту персональних даних.

Усі ці пункти фактично окреслюють дорожню карту, яка дасть змогу Україні наблизитись до європейських стандартів у сфері приватності та цифрових прав. Передусім потрібно ухвалити новий закон, який врахує не лише буквальні вимоги GDPR, а й дух цієї системи — орієнтацію на права людини, прозорість та довіру до інститутів. Цей закон має не просто «відповідати формально», а стати реальною основою для якісної зміни практики роботи з персональними даними в Україні.

Створення незалежного наглядового органу — не менш важлива умова. Йдеться не лише про нову вивіску, а про орган, який буде мати реальні важелі впливу, кваліфікованих фахівців та авторитет. Без цього навіть найкращий закон залишиться декларативним. Також має бути чітка та доступна система захисту прав — як в адміністративному, так і в судовому порядку. Людина повинна знати, куди звертатися, коли її дані використали незаконно, і мати шанс реально захистити свої права.

Останній, але не менш важливий пункт — це просвітництво. Якщо громадяни не розуміють, навіщо взагалі захищати персональні дані, вони не будуть вимагати дотримання своїх прав. Тому політика держави має включати інформаційні кампанії, навчальні програми, підтримку ініціатив громадянського суспільства — усе, що формує нову культуру цифрової безпеки. Без активної участі суспільства жодні формальні зміни не працюватимуть у реальності.

Висновок

Наявність статусу країни з неадекватним рівнем захисту персональних даних ускладнює міжнародну правову взаємодію України в цифровій сфері, стримує інтеграцію у європейський цифровий ринок та знижує конкурентоспроможність українського бізнесу. Для подолання цього бар’єра необхідне всебічне оновлення нормативної бази, створення незалежного органу нагляду, а також послідовна реалізація політики правової просвіти та технічної модернізації. Отримання рішення про адекватність від Європейської комісії має бути стратегічною метою державної політики у сфері захисту персональних даних.

Це питання не є суто технічним або бюрократичним. Воно безпосередньо впливає на здатність країни брати участь у цифрових ланцюгах доданої вартості, розвивати інновації, залучати інвестиції у сфері ІТ та диджитал-послуг. У глобальному світі довіра до того, як країна працює з персональними даними, — це один із маркерів її правової зрілості, прозорості та прогнозованості.

Для України, яка прагне повноцінної інтеграції до Європейського Союзу, набуття статусу «адекватної» країни — це не просто технічна вимога, а лакмусовий папірець справжньої відданості принципам верховенства права та поваги до прав людини в цифрову епоху. Шлях до цього статусу буде непростим, але чітка стратегія, політична воля та міжсекторальна співпраця здатні зробити його реальністю.