EU4DigitalUA провів онлайн-тренінг із захисту персональних даних для стартапів

6-7 лютого проєкт EU4DigitalUA, що фінансується Європейським Союзом та імплементується FIIAPP, провів онлайн-тренінг, присвячений захисту персональних даних у рамках компонента «Захист даних». Організований у партнерстві з Офісом Омбудсмана України, тренінг був розроблений для представників стартап-спільноти України.

Під час дводенної сесії було надано практичні рекомендації щодо підготовки стартапів до ринку ЄС, поглиблено розуміння українського та європейського законодавства про захист даних, а також окреслено основні організаційні заходи для забезпечення відповідності. 

Перший день включав презентації щодо принципів обробки персональних даних, дорожньої карти GDPR та процедурних вимог, щоб допомогти компаніям виконувати необхідні юридичні зобов’язання під час виходу на ринок ЄС.

Марія Гастон Бетран, технічна інституційна координаторка FIIAPP для проєкту EU4DigitalUA, виступила з вітальним словом до понад 80 учасників: «Для стартапів, особливо тих, які прагнуть вийти на європейський ринок, дотримання стандартів захисту даних, таких як GDPR, має важливе значення. Розуміння цих норм не тільки допомагає уникнути юридичних ризиків і фінансових санкцій, але й створює довіру з боку міжнародних клієнтів, інвесторів і партнерів».

Також до учасників звернулася Представниця Уповноваженого з інформаційних прав Юлія Деркаченко, яка наголосила на зобов’язаннях України щодо забезпечення високого рівня захисту персональних даних згідно з Угодою про співробітництво з Європейською організацією з питань юстиції: «У сучасному світі інформаційні технології розвиваються дуже швидко. Це призводить до того, що накопичується багато персональних даних у різних сферах, і власники таких даних повинні подбати про захист цих даних на всіх етапах обробки. Ми прагнемо, щоб законодавство України про захист персональних даних було оновлено і відповідало європейським стандартам. У цьому контексті державним органам, приватним компаніям та установам слід ретельно організувати процес обробки даних і забезпечувати їх належну обробку на всіх етапах використання».

Як зазначили експерти під час виступів, регулювання персональних даних в ЄС будується на принципах законності, прозорості та мінімізації збору даних. Українським компаніям варто орієнтуватися на ці стандарти, якщо вони планують працювати на європейському ринку. Захист персональних даних – це не лише юридична вимога, а й питання довіри користувачів. Компанії, які дотримуються стандартів безпеки, отримують конкурентну перевагу.

Другий день розпочався з презентації, присвяченої розрахунку адміністративних штрафів за порушення GDPR. Учасники дізналися про рівні та критерії накладення санкцій, розглянули реальні кейси з практики європейських регуляторів, а також обговорили можливості, які відкриває для українських стартапів Єдиний цифровий ринок ЄС (EU Digital Single Market).

“Штрафи – це не головна мета регулювання. Європейська практика показує, що санкції – це лише крайній захід, а основна увага приділяється тому, щоб компанії дотримувалися прозорих правил обробки даних”, – зазначив Олександр Шевчук, кандидат юридичних наук, національний експерт з питань захисту персональних даних проєкту EU4DigitalUA FIIAPP.

Як наголосили експерти, GDPR має екстратериторіальну дію. Це означає, що українські компанії, які обробляють дані громадян ЄС або надають їм послуги, вже зараз зобов’язані відповідати європейським вимогам. Так, банківський сектор, маркетингові компанії та сфера телекомунікацій в Україні вже активно впроваджують стандарти GDPR, оскільки працюють із європейськими партнерами.

Окремо під час тренінгу приділили увагу етиці ШІ та приватності, на тему чого провів інформаційну сесію Андрій Ніколаєв, юрист, лідер компонента захисту персональних даних проєкту EU4DigitalUA FIIAPP. За його словами, GDPR та законодавство про ШІ мають взаємодоповнювати одне одного: “Якщо персональні дані використовуються для тренування алгоритмів, компанії повинні дотримуватися суворих вимог щодо їхньої конфіденційності. Також розвиток ШІ створює нові виклики у сфері кібербезпеки: ШІ може бути використаний як для захисту даних, так і для їх незаконного збору та аналізу. Одна з основних проблем при використанні штучного інтелекту – це прозорість алгоритмів. В AI Act (Регламент зі Штучного інтелекту) містить вимоги щодо пояснюваності рішень ШІ, особливо для високоризикових систем у фінансовому та медичному секторах. Дискусії в ЄС тривають щодо розробки деталізованих стандартів реалізації цих вимог та методів оцінки прозорості алгоритмів.”