В Україні презентували дослідження про відповідальність і санкції за порушення GDPR

12 лютого в Секретаріаті Уповноваженого Верховної Ради України з прав людини було презентовано дослідження «Відповідальність і санкції за порушення Загального регламенту про захист даних (GDPR)», підготовлене проєктом EU4DigitalUA, що фінансується Європейським Союзом та впроваджується FIIAPP в рамках компонента “Захист даних”. Документ підготовлено у співпраці з Офісом Омбудсмана України, ознайомитися із ним можна за посиланням: https://eu4digitalua.eu/wp-content/uploads/2025/02/gdprvidpovidalnist-i-sanktsii-3.pdf.

Захід відбувся у гібридному форматі за участі Представниці Уповноваженого з інформаційних прав Юлії Деркаченко, представників приватного сектору (Nova, Uklon, Deloitte, YouControl, Фармацевтична компанія «Дарниця») та державного сектору, зокрема ДАТ «Укрзалізниця».

Учасники заходу, зокрема експерти проєкту EU4DigitalUA та представники Департаменту моніторингу додержання інформаційних прав, роз’яснили:

– Методологію розрахунку адміністративних штрафів відповідно до GDPR.

– Методологію розслідувань наглядовим органом справ про порушення законодавства про захист даних.

– Практичні кейси з Європейського Союзу, що демонструють наслідки недотримання стандартів захисту персональних даних.

“Україна, як держава, яка обрала європейський вектор розвитку, взяла на себе зобов’язання гармонізувати своє законодавство відповідно до стандартів ЄС. Відповідно до Угоди про асоціацію, наша країна здійснює масштабні зміни в цій сфері, і важливим кроком на цьому шляху стане ухвалення законопроєкту “Про захист персональних даних”, – наголосив Андрій Ніколаєв, юрист, лідер компонента захисту персональних даних проєкту EU4DigitalUA FIIAPP.

За словами експертів, досвід ЄС показує, що спочатку наглядові органи проводять інформаційну та консультативну роботу, а лише потім переходять до застосування штрафів. Розрахунок штрафних санкцій відбуватиметься згідно з європейською методикою, що враховує обсяг порушення, його серйозність та економічний контекст.

У рамках заходу було обговорено законопроєкт про створення Національної комісії у сфері захисту персональних даних та доступу до публічної інформації. Як зазначила Лілія Олексюк, експертка проєкту EU4DigitalUA FIIAPP, цей орган відповідатиме за імплементацію норм GDPR в Україні та виконуватиме три основні функції: превентивні заходи та роз’яснювальну роботу; контрольні заходи щодо порушень; слідчі повноваження. При цьому важливим є механізм прозорого призначення інспекторів, які займатимуться перевірками та санкціями. Було наголошено, що головна роль цього органу – це не штрафи, а відновлення порушених прав.

Штрафні санкції набудуть чинності через рік після створення Національної комісії, що дасть бізнесу час на адаптацію до нових вимог. Протягом цього періоду буде проводитися просвітницька робота, а бізнесу надаватимуться рекомендації щодо відповідності новому законодавству.

Експерт з питань захисту персональних даних проєкту EU4DigitalUA FIIAPP Олександр Шевчук під презентації свого дослідження акцентував на важливості прозорих механізмів регулювання: “Створення ефективної системи захисту персональних даних неможливе без прозорих правил гри. Бізнес, громадяни та державні органи повинні чітко розуміти, як працює регулятор, які вимоги він висуває та яким чином накладаються санкції. Усі рішення щодо санкцій мають бути чітко аргументовані та публічно доступні.”

За результатами обговорення учасники зазначили про необхідність співпраці державного та приватного секторів для впровадження європейських стандартів захисту персональних даних в Україні.