Захист персональних даних у 2025 році: нові вимоги для українського бізнесу

Після ратифікації Конвенції 108+ та курсу на зближення із стандартами GDPR українські компанії зобов'язані суттєво переглянути свої підходи до обробки персональних даних. Нові вимоги торкаються практично кожного бізнесу — від невеликих інтернет-магазинів до великих корпорацій.

1. Що змінилось у законодавстві

Закон України «Про захист персональних даних» зазнав суттєвих змін. Ключові нововведення:

• Розширення прав суб'єктів даних — право на забуття, право на перенесення даних, право на обмеження обробки
• Обов'язкова оцінка впливу на захист даних (DPIA) для ризикованих видів обробки
• Призначення DPO (Data Protection Officer) для великих компаній та операторів критичної інфраструктури
• Повідомлення про витоки — протягом 72 годин з моменту виявлення

2. Хто підпадає під нові вимоги

Нові вимоги стосуються всіх суб'єктів, що обробляють персональні дані громадян України, зокрема:

• Інтернет-магазини та e-commerce платформи
• Медичні заклади та фармацевтичні компанії
• HR-системи та кадровий облік
• Маркетингові агентства та CRM-системи
• Фінансові установи та страхові компанії
• IT-компанії, що надають SaaS-послуги

3. Практичний чек-лист для бізнесу

1. Проведіть аудит усіх процесів обробки персональних даних
2. Оновіть Політику конфіденційності та Умови використання
3. Впровадьте механізм отримання та відкликання згоди
4. Підготуйте процедуру реагування на запити суб'єктів даних
5. Укладіть угоди про обробку даних з підрядниками (DPA)
6. Розробіть план реагування на витоки даних

Висновок

Ігнорування нових вимог щодо захисту персональних даних може призвести до суттєвих штрафів та репутаційних втрат. Фірма «Грітчин та партнери» надає послуги з комплаєнсу у сфері захисту даних — від аудиту до розробки внутрішніх політик та навчання персоналу.