Захист персональних даних для фінансових компаній та fintech-проєктів в Україні

Інформація
21 Січ 2026
Дата публікації
Data privacy compliance
Категорія
Автори
Євгеній Кандирал
Молодший Рrivacy юрист в Legal IT Group

Щодня мільйони українців користуються фінансовими та фінтех-продуктами, які обробляють персональні дані своїх користувачів. У цій статті ми розберемо, які вимоги щодо захисту даних існують для фінансових компаній в Україні, та як побудувати комплаєнс із секторальним законодавством.

Персональні дані як передумова роботи фінансового сектору

Перш за все, необхідно зрозуміти, навіщо фінансовим та фінтех-компаніям будувати архітектуру обробки персональних даних із врахуванням вимог про приватність. Такий підхід не лише вбереже компанію від санкцій, а й допоможе побудувати довіру із користувачем. Адже клієнти довіряють таким компаніям не лише свої фінанси чи проведення операцій із ними, а також і персональні дані, які є необхідними для роботи продукту. Мова йде не лише про зрозумілі всім дані про ім’я, дату народження чи місце проживання. Існування та функціонування фінансового бізнесу вимагає обробки великих масивів персональних даних різного ступеню чутливості, а тому на нього в Україні поширюється дія Закону України “Про захист персональних даних”.

Комплаєнс із ЗУ “Про захист персональних даних”

Цей закон є основним документом, який регулює питання обробки персональних даних в Україні. Він надає визначення персональних даних, встановлює правові підстави обробки, права суб’єктів персональних даних, вимоги до обробки тощо.

Перед аналізом приписів законодавства, важливо визначити роль Вашої компанії в контексті обробки персональних даних:

  • якщо Ви визначаєте мету обробки персональних даних, встановлюєте склад цих даних та процедури їх обробки, тоді Ви – володілець персональних даних;
  • якщо Ви обробляєте персональні дані від імені володільця – Ви є розпорядником персональних даних.

Володілець може доручити обробку персональних даних розпоряднику уклавши з ним договір у письмовій формі, відповідно розпорядник може обробляти персональні дані лише з тією метою та в тому обсязі, який визначено в договорі.

Нижче наводимо приклади компаній, які зазвичай є володільцями та розпорядниками:

  • Володільці: банки, страхові компаніЇ. інвестиційні компанії, мікрофінансові організації.
  • Розпорядники: платіжні системи, еквайрингові компанії, скорингові системи тощо.

Права суб’єктів персональних даних

Закон передбачає для суб’єктів персональних даних перелік прав, які є невід’ємними та непорушними:

  • право знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця чи розпорядника персональних даних;
  • право отримувати інформацію про умови надання доступу до персональних даних третім особам;
  • право на доступ до своїх персональних даних;
  • право надсилати запит щодо обробки своїх персональних даних та отримувати відповідь протягом 30 днів;
  • право заперечити проти обробки своїх персональних даних;
  • право вимагати зміну або знищення своїх персональних даних, якщо вони обробляються незаконно або є недостовірними;
  • право відкликати згоду на обробку персональних даних;
  • право на захист від автоматизованого рішення, яке має для нього правові наслідки;
  • та інші.

Як володілець та розпорядник персональних даних, Ви зобов’язані дотримуватись законних вимог суб’єкта персональних даних та допомагати реалізовувати ці права. Деякі з них особливо потребують уваги зі сторони фінансових компаній, зокрема право на захист від автоматизованого рішення та право знати про обробку персональних даних. Більше того, створення точки контакту для реалізації прав суб’єктів даних є не лише зручним з практичної точки зору, а ще й є індикатором для регулятора, що Ваша компанія турбується про приватність клієнтів.

Підстави обробки персональних даних

ЗУ “Про захист персональних даних” передбачає 6 підстав для обробки персональних даних.

Для фінансових та фінтех-компаній найчастішими підставами є згода суб’єкта персональних даних на обробку та укладення та виконання правочину, стороною якого є суб’єкт персональних даних.

Часто, в фінтех-бізнесів та фінансових установ є законодавчий обов’язок обробляти дані для проходження процедур AML та KYC – в такому випадку застосовуватиметься підстава необхідності виконання обов’язку володільця персональних даних, який передбачений законом.

Також в Законі існує особливий вид згоди – однозначна згода. Така згода необхідна в певних ситуаціях, коли виникає серйозний ризик для захисту персональних даних, наприклад при обробці персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних. Вимог “звичайної” згоди вже буде недостатньо, тому суб’єкт даних повинен явно заявити про свою згоду, наприклад письмовим шляхом.

Вимоги щодо безпеки персональних даних

Закон вказує, що зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них. Отже, компаніям необхідно впровадити належні організаційні та технічні заходи для забезпечення безпеки персональних даних. Такі заходи обираються самостійно володільцем та розпорядником персональних даних з урахуванням секторального законодавства.

Наприклад, Положення про Систему BankID Національного банку України зобов’язує абонентів цієї системи (банки та надавачів платіжних послуг з обслуговування рахунку) використовувати криптографічний протокол захисту на транспортному рівні, розробити та затвердити внутрішній документ, що описує процес управління криптографічними ключами, впровадити системи управління інформаційною безпекою відповідно до стандарту ISO/IEC 27001:2022 тощо.

Так само, надавачі фінансових послуг відповідно до Положення про організацію заходів із забезпечення інформаційної безпеки та кіберзахисту надавачами фінансових послуг, прийнятого НБУ, зобов’язані вживати заходів із забезпечення інформаційної безпеки та кіберзахисту на всіх стадіях життєвого циклу інформаційно-комунікаційних систем та запровадити процес управління кіберризиками та ризиками інформаційної безпеки.

Отже, фінансовим компаніям важливо пам’ятати про спеціальні вимоги щодо безпеки персональних даних, оскільки операції таких компаній потребують підвищеної уваги до захисту персональних даних.

Практичні поради щодо комплаєнсу

Після аналізу основних вимог, яких повинні дотримуватись фінансові та фінтех-компанії, варто розказати про те, як на практичному досвіді імплементувати усі необхідні зміни, щоб відповідати законодавству.

  • Проведіть аудит усіх процесів обробки персональних даних у Вашій компанії – таким чином буде можливо проаналізувати окремі процеси на відповідність законодавству.
  • Перегляньте, оновіть та за потреби створіть документацію щодо приватності та кібербезпеки – це не лише дозволить систематизувати обробку персональних даних, а ще й зробить обробку даних прозорою та доступною для верифікації регулятором.
  • Зробіть ревізію організаційних та технічних заходів – вони повинні бути належними та відповідати вимогам регулятора.
  • Зверніться до Legal IT Group – досвідчена команда ІТ-юристів допоможе Вам із комплаєнсом. Ми супроводжуємо фінансові та фінтех-проєкти та допомагаємо створити довіру між користувачами та бізнесом.
Є запитання до юристів?
до 500 символів
Сталася помилка
Запит надіслано Дякуємо за ваше повідомлення! Ми обробимо його якнайшвидше.

Статті по темі

Data privacy compliance
Відповідність GDPR: як досягти за 10 кроків у 2026 році
Зоряна Буравцова
21 Січня, 17:36
Data privacy compliance
Marketing compliance. Як продавати і не порушувати приватність
Соломія Бельська
20 Січня, 12:58
Data privacy compliance
Торговельна марка для fashion бренду у США. Бренд для Amazon
Legal IT Group
19 Січня, 11:54
Data privacy compliance
Чому варто провести IP аудит продуктів ІТ компанії вже зараз?
Андрій Желтов Legal IT Group
Андрій Желтов
19 Січня, 10:29
Data privacy compliance
Background check в контексті захисту персональних даних: як його проводити в Україні?
Анастасія Полтавцева
16 Січня, 15:51

Топ публікацій

Data privacy compliance
GDPR Compliance: від теорії до практики
Intellectual property
IP-документація для ІТ: як убезпечити свій бізнес
Спори та суди
NDA працює? ІТ-адвокати відповідають. Судова практика
Intellectual property
Дія. Сіті: алгоритм реєстрації та вимоги до компанії
Data privacy compliance
GDPR-навчання для юридичного департаменту компанії
Анастасія Полтавцева
24 Грудня, 10:47
Data privacy compliance
Політика конфіденційності для додатку та сайту. Як об’єднати і зробити ефективною?
Соломія Бельська
23 Грудня, 11:33
Data privacy compliance
Територія застосування GDPR
Legal IT Group
17 Грудня, 09:46
Data privacy compliance
Захист персональних даних у Бразилії: особливості сфери дії LGPD та нова штрафна практика
Legal IT Group
16 Грудня, 17:45
Data privacy compliance
MedTech у США: головні правила гри для роботи з медданими
Антон Демчук Legal IT Group
Антон Демчук
15 Грудня, 16:27
Перейти до блогу