Розголошення персональних даних в Україні: штраф до 34 000 грн або до 5 років ув’язнення

Передати чужий номер телефону без дозволу. Опублікувати адресу в соцмережі. Надіслати скан паспорта не тому одержувачу. Залежно від наслідків і умислу – це або адміністративний штраф, або кримінальна справа.

Розберемо, які санкції діють в Україні, хто реально ризикує і що робити, якщо ваші дані вже опинилися не там.*

Що вважається персональними даними

Закон України «Про захист персональних даних» (2010) відносить до персональних будь-які відомості, за якими можна ідентифікувати конкретну людину: ім’я, дата народження, адреса, телефон, паспортні дані, ідентифікаційний код, email, IP-адреса, фото.

Важливий нюанс: персональними є не лише окремі дані, а й їх комбінації. Ім’я + місце роботи + приблизний вік — уже достатньо для ідентифікації, навіть якщо кожен елемент окремо здається нейтральним.

Поширення таких даних — тобто їх передача третім особам у будь-якій формі — допускається лише за письмовою згодою людини або у випадках, прямо визначених законом (ст. 14 Закону).

Коли розголошення законне

Перш ніж говорити про відповідальність — важливо розуміти межу. Передача персональних даних без згоди особи є правомірною, якщо:

• це роблять суд, прокуратура, слідчі органи — у межах конкретного провадження;
• це передбачено іншим законом (наприклад, передача даних до Державного реєстру або ДПС);
• мета — захист національної безпеки або запобігання злочину;
• особа є публічним діячем, а інформація стосується її публічної діяльності.

Поза цими підставами — розголошення незаконне, навіть якщо дані «і так були десь доступні».

Адміністративна відповідальність: скільки коштує порушення

Стаття 188-39 Кодексу України про адміністративні правопорушення встановлює штрафи в розмірі неоподатковуваних мінімумів доходів громадян (НМДГ). Один НМДГ наразі дорівнює 17 гривням.*

Таблиця штрафів:

Хто фактично під ризиком адміністративної відповідальності:

• ФОП і компанії, що обробляють бази клієнтів без належного оформлення
• Держслужбовці, які передали дані з реєстрів без підстав
• HR-спеціалісти, що розголосили персональні дані кандидата або звільненого працівника
• Медичний персонал при розголошенні медичних даних пацієнта

Адміністративне провадження порушує Уповноважений Верховної Ради з прав людини (Омбудсмен) або суд за заявою потерпілого.

Кримінальна відповідальність: коли все серйозно

Стаття 182 Кримінального кодексу України — незаконний збір, зберігання, використання, знищення або поширення конфіденційної інформації про особу. Санкції:

• штраф до 50 неоподатковуваних мінімумів (850 грн) — як основне або додаткове покарання;
• виправні роботи або пробаційний нагляд;
• обмеження волі до 3 років або позбавлення волі до 5 років.

Кримінальний поріг настає, коли є умисел і коли дії завдали реальної шкоди: розкриття медичного діагнозу, публікація адреси з метою залякування, злив бази даних конкуренту.

Практичний орієнтир: якщо витік стався через недбалість і без умислу заподіяти шкоду — скоріш за все, це адміністративне правопорушення. Якщо була мета або очевидна вигода — кримінальна стаття.

Цивільний захист: що може зробити потерпілий

Окрім притягнення порушника до відповідальності, людина, чиї дані були розголошені, має право:

• вимагати через суд припинення поширення та видалення даних;
• стягнути матеріальну шкоду — якщо є доведений зв’язок між розголошенням і збитками;
• отримати компенсацію моральної шкоди — без доведення реальних збитків, за сам факт порушення права на приватність (ст. 23, 277, 301, 302 Цивільного кодексу).

Моральну шкоду суди в Україні присуджують навіть у справах, де матеріальних втрат не було, — якщо встановлено факт незаконного розголошення і його вплив на репутацію чи психологічний стан особи.

Реальний кейс: ЗМІ опублікувало фото адвоката – суд присудив 76 000 грн

Що сталося. У 2023 році адвокат брав участь як захисник в обшуку за гучною кримінальною справою — підзахисні були відомі публіці як учасники скандальних вечірок. Після обшуку співробітники ТЦК вручили адвокату повістку і сфотографували його поряд із підзахисними.

Популярне українське видання опублікувало цю фотографію разом із повним ім’ям і зареєстрованою адресою адвоката — без будь-якого погодження. Представник адвоката надіслав вимогу видалити матеріал. Редакція промовчала.

Що зробив адвокат. Звернувся до Печерського районного суду Києва з позовом про: визнання дій ЗМІ протиправними, видалення персональних даних, стягнення моральної шкоди.

Аргументи відповідача. Редакція наполягала на «суспільному інтересі» до теми публікації і стверджувала, що поширення персональних даних виправдане резонансом справи.

Позиція суду. Суд відхилив аргумент про суспільний інтерес. Публічна увага до кримінальної справи не є підставою для розголошення даних третіх осіб — зокрема захисника, який виконував свої процесуальні обов’язки.

Щодо видалення публікації: редакція прибрала матеріал уже після відкриття провадження, але це не звільнило її від відповідальності за вже завдану шкоду.

Доведені наслідки. Суд врахував конкретні факти, а не абстрактні страждання:

• під час введення прізвища адвоката в Google одним із перших результатів з’являлась стаття, де він фігурував поряд із «організаторами п’яних вечірок» — прямий вплив на залучення клієнтів;
• адвоката виключили з підприємницького клубу, членом якого він був;
• у публічних місцях він чув образливі вислови на свою адресу («насильник», «збоченець»);
• публікація позначилась на стосунках із дітьми через реакцію їхнього оточення.

Результат. Рішення Печерського районного суду м. Києва від 31.10.2023 (справа № 757/29660/23-ц):

• моральна шкода — 40 000 грн
• відшкодування витрат на правову допомогу та судовий збір — 36 000 грн
• Разом: 76 000 грн

Що цей кейс означає на практиці

Три висновки, які з нього виходять і яких немає в самому законі:

1. Google-видача є доказом шкоди. Суд безпосередньо вказав, що пошукова видача за ім’ям людини — з матеріалом, що компрометує, — є доказом репутаційного збитку. Скріншот з Google у 2023 році став частиною доказової бази.

2. «Суспільний інтерес» не захищає від відповідальності автоматично. Редакція скористалась найпоширенішим захисним аргументом медіа — і програла. Суд розмежував: суспільний інтерес до події не означає права розкривати персональні дані всіх, хто до неї дотичний.

3. Видалення публікації після позову не скасовує відповідальність. Поширені уявлення про те, що «якщо видалили — питань немає», не відповідають судовій практиці. Момент публікації вже створив шкоду — і суд це зафіксував.

Куди звертатися

Якщо ваші дані розголошені:

1. Омбудсмен (Уповноважений ВРУ з прав людини) — онлайн-звернення через сайт ombudsman.gov.ua; розглядає скарги на порушників у сфері персональних даних, може видавати обов’язкові приписи.
2. Суд — позов про відшкодування шкоди та/або заборону подальшого поширення. Якщо розголошення публічне (сайт, соцмережа) — можна подавати негайно.
3. Поліція — якщо є ознаки кримінального правопорушення за ст. 182 ККУ: умисел, систематичність, суттєва шкода.

Строки: позовна давність у цивільних справах — загальна, 3 роки від дня, коли особа дізналася про порушення. Для адміністративного провадження — 2 місяці з дня вчинення порушення.

Коротко про головне

Відповідальність за розголошення персональних даних в Україні — триступенева:

• Адміністративна — від 1 700 до 34 000 грн залежно від статусу порушника і кратності
• Кримінальна — до 5 років позбавлення волі при умисному розголошенні з наслідками
• Цивільна — компенсація матеріальної та моральної шкоди за рішенням суду

Головна помилка, якої припускаються ФОПи і малий бізнес: вважати, що «ми нікому не передавали дані навмисно» = «ми не порушували». Закон карає і за недбалий захист, і за відсутність повідомлення Омбудсмена, навіть якщо реального витоку ще не було.

*На момент публікації