Реалії адаптації національного законодавства у сфері захисту персональних даних до GDPR

Національне законодавство не адаптовано до вимог Регламенту (GDPR)

У сучасній економіці зростання обсягів бізнесу та посилення його конкурентоздатності безпосередньо пов’язані з опрацюванням персональних даних фізичних осіб. Це допомагає у вдосконаленні бізнес-операцій та наданні індивідуальних послуг клієнтам. З огляду на отримання Україною статусу кандидата на вступ до ЄС та прагнення вітчизняного бізнесу розширити свою діяльність на ринки Європейського Союзу, важливим кроком в цьому напрямку є дотримання вимог європейського законодавства у сфері захисту персональних даних.

Найважливішим законодавчим стандартом у ЄС, який встановлює суворі правила захисту персональної інформації та гарантує її відповідальне використання є GDPR – Загальний регламент про захист даних (далі Регламент).

Оскільки, станом на 2025 рік національне законодавство не адаптовано до вимог Регламенту, а приведені у відповідність до європейського права законопроекти у сфері захисту персональних даних готуються Верховною Радою України до розгляду, сфера захисту персональних даних в Україні регламентується та гарантується чинним законодавством України, а саме: Законом України «Про захист персональних даних» від 01.06.2010р. №2297-VI із змінами, нормативно-правовими актами у сфері захисту персональних даних, а також ратифікованими Україною правовими документами Ради Європи, Організації Об’єднаних Націй (ООН) та міжнародними актами.

Відповідно до Регламенту, суб’єкти господарської діяльності, які опрацьовують персональні дані громадян Європейського Союзу та фізичних осіб, які перебувають на території ЄС, зобов’язані дотримуватись вимог Регламенту.

Під дію Регламенту підпадають:

• • юридичні/фізичні особи, які мають представництво в Євросоюзі або надають товари та послуги громадянам ЄС;
  • юридичні/фізичні особи, які мають клієнтів, користувачів або контакти в Євросоюзі (навіть якщо компанія не має прямих представництв в ЄС, але опрацьовує персональні дані громадян Євросоюзу через вебсайти, додатки або інші засоби);
  • юридичні/фізичні особи, які здійснюють систематичну та широкомасштабну моніторингову діяльність (збирають велику кількість даних через аналітику, маркетингові дослідження, профілювання суб’єктів персональних даних які перебувають у ЄС);
  • юридичні/фізичні особи, що обробляють особливі категорії даних (дані, які стосуються расової чи етнічної приналежності, політичних поглядів, релігійних чи філософських переконань, генетичних даних, біометричних даних суб’єктів персональних даних які перебувають у Євросоюзі).

Враховуючи принцип екстериторіальності Регламенту, його вимоги поширюються на всіх суб’єктів господарської діяльності, незалежно від їх фактичного місцезнаходження та резидентства, при умові опрацювання персональних даних як громадян Євросоюзу так і фізичних осіб які перебувають на території ЄС.