Олег Горецький: як проєкт Цивільного кодексу №15150 інституціоналізує приватність юридичних осіб і відкриває браму корупційному реваншу

28 квітня 2026 року Верховна Рада 254 голосами підтримала у першому читанні проєкт Цивільного кодексу №15150. Документ обсягом понад 800 сторінок, авторами якого позиціонується як підсумок семи років роботи понад 300 юристів, пройшов парламент у режимі, що змусив hromadske присвоїти йому влучну характеристику — "за 22 хвилини". Менш ніж за три тижні від реєстрації законопроєкту 9 квітня до голосування за основу. Профільний комітет встиг за добу видати експертний висновок. Міністерство юстиції на момент голосування взагалі не оприлюднило своєї позиції.

Цей темп сам собою є першою юридичною аномалією. Кодифікаційний акт такого масштабу у європейській правовій традиції готується десятиліттями і проходить публічні обговорення, що вимірюються роками, а не тижнями. Французький Code civil 1804 року перекроював континентальне право; нідерландський Burgerlijk Wetboek 1992 року писали понад сорок років; німецький BGB 1900 року виношували два покоління пандектистів. Проєкт №15150 пройшов перше читання за 19 днів.

Втім, темп — лише обкладинка проблеми. Зміст значно гірший. Юристи компанії YouControl опублікували розгорнутий розбір норм проєкту, які прямо знищують екосистему відкритих даних в Україні. Висновок категоричний: проєкт у нинішній редакції відкине Україну на 10 років назад у сфері прозорості та протидії корупції. Розгляньмо ці тези крізь призму acquis ЄС, прецедентного права Суду справедливості Європейського Союзу (CJEU) та зобов'язань України у переговорах про вступ.

Стаття 328: "право на забуття" без європейських запобіжників

Стаття 328 проєкту закріплює конструкцію, яку автори декларують як рецепцію європейського "right to be forgotten". На рівні риторики — так. На рівні юридичної техніки — ні.

Європейський прототип цієї норми, стаття 17 Регламенту (ЄС) 2016/679 (GDPR), будується на закритому переліку шести підстав для видалення даних. Жодна з них не оперує невизначеним поняттям "втрата суспільного інтересу". Натомість стаття 17(3) GDPR містить ретельно прописану систему винятків, які нейтралізують право на видалення у п'яти ситуаціях: реалізація права на свободу вираження; виконання правового зобов'язання; виконання завдання в публічному інтересі; цілі публічного здоров'я; архівування, наукові та статистичні дослідження; встановлення або захист правових вимог. Ці винятки — серцевина балансу між приватністю та свободою інформації.

Проєкт №15150 у статті 328 пропонує принципово іншу конструкцію: фізична особа може вимагати видалення інформації про себе не лише у разі недостовірності, але й якщо така інформація просто "втратила суспільний інтерес". Жодного закритого переліку винятків, аналогічного статті 17(3) GDPR, проєкт не містить. Це не "європейський стандарт" — це його каркас без несівних балок.

Критерій "втрати суспільного інтересу" є абсолютно непридатним для застосування: він не визначений, не має критеріїв оцінки, не передбачає процедури встановлення. У цивільно-правовому позові це означає оціночне поняття на розсуд місцевих судів — чия незалежність від політичних та комерційних впливів залишається предметом окремої євроінтеграційної розмови.

Рішення CJEU у справі Google Spain SL v. Agencia Española de Protección de Datos (C-131/12) від 13 травня 2014 року — власне прецедент, з якого виросло європейське "право на забуття" — прямо окреслює межі: це право не є абсолютним і відступає, коли особа відіграє роль у публічному житті такого характеру, що "втручання у її основоположні права виправдане переважним інтересом громадськості мати доступ до відповідної інформації". CJEU застосував багатофакторний тест балансування. Жодного з цих критеріїв стаття 328 проєкту не містить.

Практичний наслідок: колишній народний депутат, фігурант "плівок Деркача" чи учасник схеми "Велике будівництво" зможе через п'ять років звернутися з позовом до медіа-розслідувачів, OSINT-агрегаторів, аналітичних систем перевірки контрагентів. Аргументація проста: суспільний інтерес "втратив актуальність". Доказування протилежного покладається на відповідача — журналіста, аналітика, оператора сервісу due diligence.

Що пропонує YouControl: повернутися до моделі статті 8 Закону "Про захист персональних даних" та обмежити право на видалення інформації із загальнодоступних джерел випадками незаконної обробки або недостовірності інформації.

Статті 345 і 353: "приватність юридичної особи" як юридичний оксиморон

Якщо стаття 328 створює дисбаланс, то статті 345 і 353 проєкту створюють правовий нонсенс. Ідеться про надання юридичним особам права на "цифровий образ" з вимогою отримувати їхню згоду на обробку відповідних даних.

Це положення не має аналогів ані в GDPR, ані в Конвенції 108+ Ради Європи, ані в законодавстві будь-якої держави-члена ЄС. GDPR, recital 14, прямо встановлює: "Цей Регламент не охоплює обробку персональних даних, що стосуються юридичних осіб." Концепція права на приватність є невіддільною від концепції людської гідності — юридична особа є правовою фікцією, яка за визначенням не має приватного життя.

Практичні наслідки — катастрофічні для системи фінансового моніторингу. Вимоги KYC та AML, імплементовані в Україні Законом №361-IX, ґрунтуються на можливості агрегувати відкриті дані про юридичну особу, її кінцевих бенефіціарних власників, пов'язаних осіб, історію судових проваджень та податкову поведінку. Якщо обробка "цифрового образу" юридичної особи потребуватиме її згоди, банк, проводячи перевірку контрагента, буде змушений запитати у потенційно сумнівної компанії "дозвіл" на формування досьє про неї.

Прецедент CJEU у справі WM and Sovim SA v. Luxembourg Business Registers (C-37/20 та C-601/20) від 22 листопада 2022 року визнав недійсним необмежений публічний доступ до бенефіціарних реєстрів, але чітко зберіг його для журналістів, громадянського суспільства та осіб, що працюють у сфері протидії відмиванню коштів. Українська норма рухається у протилежному напрямі: замість тонкого балансу вона запроваджує абсолютну вимогу згоди.

Що пропонує YouControl: чітко зафіксувати, що обробка даних щодо цифрового образу юридичної особи (за винятком електронних підписів і печаток) не потребує згоди юридичної особи.

Статті 321, 332, 336: смерть автоматизованої аналітики через "цифровий профіль"

Стаття 336 визначає "цифровий образ" особи як охоплюючий "будь-які форми її представлення в цифровому середовищі, включно з цифровими профілями", і обумовлює їхню обробку згодою особи.

Сучасні аналітичні системи — YouControl, OpenDataBot, Clarity Project — функціонують за єдиним принципом: вони агрегують дані з відкритих державних реєстрів (ЄДР, ЄРСР, декларації НАЗК, реєстр майна під санкціями, Prozorro тощо) і формують структуроване досьє — той самий "цифровий профіль". Стаття 336 без винятку включає такий профіль до сфери, що потребує згоди суб'єкта. Це означає: створення аналітичного досьє на корупціонера або ризикового контрагента без його згоди стає порушенням Цивільного кодексу.

Принципова відмінність від GDPR: стаття 6(1)(f) передбачає обробку на підставі "законного інтересу" без згоди суб'єкта. Recital 47 GDPR та практика наглядових органів держав-членів ЄС прямо визнають, що обробка персональних даних з відкритих джерел в інтересах журналістики, антикорупційного контролю та due diligence є діяльністю на підставі законного інтересу. Стаття 336 проєкту такого механізму не передбачає.

Якщо норма буде ухвалена в нинішній редакції, виникне колізія між Цивільним кодексом і Законом "Про доступ до публічної інформації". У застосуванні lex posterior derogat legi priori Цивільний кодекс як акт пізніший і кодифікований переважатиме.

Що пропонує YouControl: обмежити визначення "цифрового образу" виключно тими акаунтами, профілями і сторінками, які особисто створені самою особою; прямо передбачити, що ця стаття не обмежує обробку даних з державних реєстрів та відкритих джерел журналістами, дослідниками, аналітичними системами та суб'єктами первинного фінансового моніторингу; додати концепцію "законного інтересу" в дусі статті 6(1)(f) GDPR.

Стаття 337: "інформаційний спокій" як ліцензія на SLAPP-позови

Стаття 337 "Право на інформаційний спокій" — четвертий і, можливо, найвитонченіший за своєю шкідливістю елемент проєкту. Концептуально норма запозичена з трудового права деяких європейських країн, де вона захищає право працівника не відповідати на робочі повідомлення у вихідні дні ("right to disconnect" — французький Кодекс праці, 2017 рік; бельгійське законодавство, 2022 рік). У вузькому контексті трудових відносин це обґрунтована конструкція.

Проте проєкт переносить цю норму у площину загальних цивільних прав — тобто робить "право на інформаційний спокій" такою ж захищуваною категорією, як право на ім'я, честь, гідність, ділову репутацію. Юридичний наслідок: будь-яка особа, до якої журналіст звертається із запитом або антикорупційна організація надсилає вимогу пояснень, отримує підставу для позову про порушення права на "інформаційний спокій".

Це гарантована рецептура для SLAPP-позовів — стратегічних позовів проти участі громадськості, феномена, який ЄС з 2024 року регулює Директивою 2024/1069 "Про захист осіб, які беруть участь у громадській діяльності, від явно безпідставних позовів". Україна як країна-кандидат зобов'язана імплементувати цю директиву до 2027 року. Звіт Єврокомісії про розширення 2025 року прямо зазначає: "випадки SLAPP-позовів, пов'язані з журналістськими розслідуваннями, залишаються проблемою в Україні".

Стаття 337 не просто не імплементує Директиву 2024/1069 — вона створює новий інструмент для SLAPP-позивачів. Замість захищати журналістів від судового тиску, нова норма надає підсанкційному олігарху або корумпованому посадовцю окрему позовну підставу: журналістський запит порушив його "інформаційний спокій".

Українська судова практика SLAPP-позовів уже містить промовисті кейси: позови Андрія Портнова проти Руху ЧЕСНО; справа Bihus.Info та розслідування про Олександра Семочка, що закінчилася арештом банківських рахунків редакції; численні позови проти "Слідства.Інфо"; кейс журналістів програми "Схеми" щодо колишньої судді Людмили Арестової.

Що пропонує YouControl: або вилучити концепцію "права на інформаційний спокій" з проєкту повністю, або обмежити її застосування виключно сферою трудових відносин.

Контекст євроінтеграції: чому №15150 у нинішній редакції є кроком назад від acquis

Проєкт №15150 у нинішній редакції створює одночасну колізію з трьома фундаментальними блоками acquis communautaire. По-перше, з Регламентом 2016/679 (GDPR) — розширює захист даних на юридичних осіб, скорочує винятки з права на видалення, не передбачає механізму "законного інтересу". По-друге, з 4-ю та 5-ю AML-Директивами та рішенням CJEU у справі WM and Sovim — вимога згоди юридичної особи унеможливлює функціонування KYC та due diligence. По-третє, з Anti-SLAPP Директивою 2024/1069 — "право на інформаційний спокій" є інструментом SLAPP у розумінні статті 4 Директиви.

Якщо мета авторів справді полягала в "наближенні до європейських стандартів", документ мав би у статті 328 містити повний перелік винятків зі статті 17(3) GDPR; у нормах про юридичних осіб — вилучити "цифровий образ" зі сфери обов'язкової згоди; у нормах про "цифровий профіль" — запровадити концепцію законного інтересу; "інформаційний спокій" — або не запроваджувати у Цивільному кодексі, або жорстко обмежити трудовими відносинами. Жодного з цих рішень проєкт не містить.

Питання, на яке мають відповісти автори: cui prodest?

Норми, які розглядаються, не є продуктом європейської правової традиції. Вони не виникають з логіки балансу між приватністю та свободою інформації — бо саме цей баланс вони руйнують. Вони не вирішують жодної реальної правової проблеми пересічного громадянина: у статті 8 чинного Закону "Про захист персональних даних" видалення незаконно оброблюваних або недостовірних даних уже передбачене, а право на честь і гідність уже захищене статтями 297–299 чинного Цивільного кодексу.

Норма "втрати суспільного інтересу" відкриває пряму дорогу для деіндексації матеріалів про фігурантів "Pandora Papers", розслідувань про схеми "Великого будівництва", звітів НАБУ. Вимога згоди юридичної особи переводить агрегування даних про російський слід у структурі власності в сіру правову зону. Стаття 337 — юридичне дзеркало для SLAPP-позивача. Цей висновок прямо випливає з юридичного аналізу, а не з конспірології.

Що має бути зроблено до другого читання

Парламент проголосував за продовження строків підготовки до другого читання. Це означає 21 день, достатній для виправлення кількох критичних норм. По статті 328: замінити критерій "втрата суспільного інтересу" на закритий перелік підстав за статтею 17(1) GDPR; додати повний перелік винятків за статтею 17(3) GDPR. По статтях 345 і 353: прямо зафіксувати, що "цифровий образ" юридичної особи не потребує її згоди; узгодити з recital 14 GDPR. По статтях 321, 332, 336: обмежити "цифровий образ" фізичної особи акаунтами, особисто створеними нею; прямо виключити обробку даних з державних реєстрів із-під дії норми; додати концепцію "законного інтересу" за статтею 6(1)(f) GDPR. По статті 337: вилучити або жорстко обмежити трудовими відносинами, виключивши журналістські запити та діяльність суб'єктів фінансового моніторингу.

Кодифікація приватного права — подія, яка трапляється раз на покоління. Чинний Цивільний кодекс України 2003 року був результатом десятирічної роботи групи Анатолія Довгерта і визначав правовий ландшафт країни понад двадцять років. Те, що Верховна Рада ухвалить у другому читанні, визначатиме правила гри на наступні десятиліття.

Юристи YouControl, експерти hromadske, "Слідства.Інфо", правозахисні організації, представники бізнесу звертаються до парламенту з одним закликом: не дозволити перетворити Цивільний кодекс на кодекс захисту тіньового капіталу. У редакції 28 квітня 2026 року проєкт №15150 робить саме це.

Європейська інтеграція — не у формальному запозиченні термінів "право на забуття" і "цифровий образ". Вона — у запобіжниках статті 17(3) GDPR, у тесті Costeja, у прецеденті WM and Sovim, у Anti-SLAPP Директиві 2024/1069. Це той зміст, без якого форма перестає бути європейською — і починає бути інструментом проти будь-якого журналіста, аналітика, активіста.

До другого читання залишилося менше місяця. Відповідальність за те, чим стане Цивільний кодекс — інструментом захисту прав громадян чи правовим щитом тіньового капіталу — тепер лежить на тих, хто його доопрацьовуватиме. Історія напише прізвища.