Як нове регулювання даних у 2025 змінює глобальний бізнес-ландшафт

Персональні дані стали новою валютою у світі, де обсяги їх обробки стрімко зростають, штучний інтелект прискорює цифрову трансформацію, а кіберзагрози продовжують ставати дедалі складнішими. У відповідь на ці виклики регулятори у США, ЄС та Україні впроваджують нові законодавчі ініціативи, які докорінно змінюють правила гри для бізнесу.

У цій статті ми розглянемо ключові зміни в регулюванні персональних даних, їхній вплив на бізнес і те, як компанії мають адаптуватися, щоб відповідати новим вимогам і уникнути санкцій від регуляторів.

ЄС

2025 рік у Європейському Союзі став періодом суттєвих змін у правозастосуванні регуляторних вимог щодо персональних даних. У центрі уваги – реалізація ключових положень GDPR та впровадження супутніх законодавчих актів. Значна увага приділяється роз’ясненням і рекомендаціям, які Європейська рада із захисту даних (EDPB) оприлюднила в рамках свого робочого плану на 2024–2025 роки.

Що нового в законодавстві ЄС у 2025 році

CEF 2025: Реалізація права на видалення даних (стаття 17 GDPR)

У 2025 році EDPB запускає скоординовану дію для перевірки виконання права на видалення даних. З першого півріччя 2025 року регулятори почнуть активно аналізувати, як компанії виконують запити користувачів на видалення їхніх персональних даних.

Рекомендації щодо псевдонімізації даних

Рекомендації 01/2025, видані EDPB, деталізують, як правильно застосовувати псевдонімізацію для захисту персональних даних при передачі та обробці. Ці рекомендації встановлюють нові стандарти для компаній, що працюють із персональними даними.

Робоча програма EDPB 2024–2025

У межах цієї програми регулятори посилять контроль за дотриманням GDPR у таких секторах:

• Обробка та зберігання персональних даних у хмарі.
• Дотримання GDPR при наданні фінансових послуг.
• Перевірка на відповідність GDPR підходів до обробки даних у системах штучного інтелекту.

Впровадження Data Act

Хоча цей закон не є частиною GDPR, він безпосередньо впливає на управління даними. Закон направлений на посилення контролю регуляторами  прозорості та справедливості обміну даними між компаніями, користувачами та державними органами.

Впровадження актів DORA та директиви NIS2 спрямовані на посилення кібербезпеки в ЄС

DORA: Регулює питання пов’язані з кібербезпекою у фінансовому секторі (банки, страхові компанії, інвестиційні фонди). Передбачає обов'язкові вимоги до кіберзахисту, швидкого реагування на інциденти та регулярних аудитів.

NIS2: Охоплює ширший спектр критичних секторів (енергетика, транспорт, охорона здоров’я, хмарні сервіси тощо). Вводить вимоги до управління кіберризиками, звітності про інциденти та підвищує відповідальність керівництва компаній.

Якщо у вас компанія в ЄС, доведеться оновити політики обробки даних, посилити кіберзахист і адаптувати свої договори відповідно до нових вимог, інакше вони ризикують зіткнутися з суворими санкціями. Але окрім політик треба адаптувати свої процеси до нових вимог щодо захисту даних та кібербезпеки. Це включає перегляд політик обробки даних, впровадження сучасних технічних рішень, таких як псевдонімізація, та забезпечення чіткого виконання прав користувачів. Компанії повинні посилити кіберзахист, створити процедури швидкого реагування на інциденти, проводити регулярні аудити безпеки та переглянути угоди щодо обміну даними відповідно до Data Act. Навчання персоналу та залучення керівництва до цих процесів є критично важливими, оскільки своєчасна підготовка і адаптація бізнес процесів допоможе уникнути значних штрафів від регуляторів.

США

У 2025 році Сполучені Штати продовжують реформувати своє законодавство про захист персональних даних. Основні зміни спрямовані на зменшення фрагментованості законодавства між штатами, посилення прав громадян та регулювання використання даних у нових технологіях, зокрема штучному інтелекті.

Що нового в законодавстві США у 2025 році

Ухвалення нових законів у восьми штатах

У 2025 році вісім штатів США ухвалили нові закони про конфіденційність даних. Нижче наведено перелік цих штатів із відповідними датами набуття чинності законів та посиланнями на офіційні документи:

1. Делавер:Закон набуває чинності 1 січня 2025 року.
2. Айова: Закон набуває чинності 1 січня 2025 року.
3. Меріленд:Закон набуває чинності 1 січня 2025 року.
4. Мінесота: Закон набуває чинності 1 липня 2025 року.
5. Небраска:Закон набуває чинності 1 січня 2025 року.
6. Нью гемпшир: Закон набуває чинності 1 січня 2025 року.
7. Нью джерсі:Закон набуває чинності 1 січня 2025 року.
8. Теннессі: Закон набуває чинності1 липня 2025 року.

Ці закони розширюють права громадян на доступ, виправлення та видалення їхніх персональних даних, зобов’язують бізнес інформувати про збір і обробку таких даних та встановлюють штрафи за порушення.

Збільшення штрафів за порушення

Нові закони передбачають суворіші санкції для компаній, які порушують правила конфіденційності. Наприклад у Каліфорнії штрафи за порушення CCPA (California Consumer Privacy Act) збільшено. Наприклад, збільшено до $7,500 за кожний інцидент, що стосується даних дітей.

Американським компаніям доведеться не лише дотримуватися місцевих законів, але й проактивно адаптувати свої бізнес-процеси, щоб уникнути ризиків.  Бізнес має терміново провести аудит обробки персональних даних, оновити внутрішні політики та процедури, впровадити механізми для надання користувачам прав доступу, виправлення та видалення даних, а також забезпечити навчання співробітників щодо нових правил конфіденційності. Невиконання цих вимог може спричинити значні штрафи та репутаційні втрати.

Україна

З метою адаптації українського законодавства до європейських стандартів, Верховна Рада 20 листопада 2024 року прийняла за основу новий законопроєкт №8153. Цей законопроєкт є оновленою редакцією чинного закону і має на меті привести українські норми у відповідність до вимог GDPR, підвищити рівень захисту персональних даних громадян та сприяти інтеграції України в правове поле ЄС. Що змінюється:

• Надається терміни персональних, біометричніих генетичних даних, згода на обробку, знеособлення та порушення безпеки даних.
• Встановлено нові правила обробки даних, включаючи заборону використання чутливих даних без правових підстав.
• Встановлюється, що обробка для не визначених цілей заборонена.
• Призначення відповідальної особи з питань захисту даних, нові стандарти безпеки у певних випадках, наприклад: при обробці даних державними органами, у випадках систематичної обробки даних, при обробці чутливих даних, при масштабній обробці даних.
• Збільшено розміри штрафів за недотримання законодавства. Для юр осіб - до 30 мільйонів гривень, залежно від серйозності та характеру порушення. Для фіз осіб також передбачені штрафи, але вони значно залежать від характеру порушення.

Український бізнес має готуватися до впровадження нових стандартів і слідкувати за остаточними змінами законодавства. Цей законопроєкт є лише проєктом, який перебуває на стадії розгляду. Враховуючи можливі зміни та доопрацювання до його остаточного ухвалення, бізнесу рекомендується уважно слідкувати за його розвитком і своєчасно імплементувати необхідні зміни у процеси обробки даних, щоб забезпечити відповідність новим вимогам після набрання законом чинності

Глобальні виклики для бізнесу

У 2025 році ключовими завданнями для бізнесу стають:

• впровадження інструментів для захисту даних, таких як псевдонімізація і системи швидкого реагування на кіберінциденти.
• проведення аудитів, оновлення процедур і контрактів.
• навчання персоналу і залучення керівництва до впровадження нових правил.

Регуляторний ландшафт 2025 року вимагає від компаній швидких і проактивних дій. Адаптація до нових норм не лише захистить бізнес від санкцій, але й зміцнить його репутацію на ринку, де довіра до обробки персональних даних стає визначальним фактором конкурентоспроможності.

‍

Андрій Мельник,

юрист практики Технологій та інвестицій в Juscutum