Avitar

18/12/2025

https://www.facebook.com/share/1DVpXZny1w/

Запрошуємо 18 грудня на наступну онлайн-зустріч – з серії міжнародних вебінарів ITU Global Talks – на тему «Правові аспекти ведення технологічного бізнесу в США».

Спікер -компанії Мирослав Хмарський (партнер, спеціаліст з комплаєнсу електронної комерції в Avitar) розповість про:
💼 Як мислить і працює американський регулятор?
💼 Про що НЕ думає стартап, коли виходить на ринок США?
💼 AI Compliance, нові правила, які варто враховувати.
💼 Нюанси в маркетингу і продажах які варто врахувати.

Доєднуйтесь – реєстрація обовʼязкова (безоплатно): https://itukraine.org.ua/go/gz 🎫

04/12/2025

Глобальна перевірка дитячих застосунків: GPEN 2025

Понад 30 органів захисту даних із різних країн світу перевіряють, як сайти та мобільні додатки ставляться до приватності дітей. Ця ініціатива — GPEN Privacy Sweep 2025, що триває з 3 по 7 листопада, — стане однією з наймасштабніших глобальних акцій у сфері цифрової безпеки дітей.
Регулятори аналізують, чи дотримуються сервіси базових вимог: чи збирають лише мінімально необхідні дані, чи є механізми вікової перевірки, чи публікують зрозумілі політики конфіденційності та чи реально обмежують доступ до небажаного контенту.

Координують перевірку офіси комісарів Канади, Великої Британії та Гернсі. Особливу увагу приділено онлайн-відстеженню, профілюванню, персоналізованій рекламі та доступу дітей до неприйнятного контенту. Результати перевірки узагальнять у спільному звіті, який має стати дороговказом для подальшого вдосконалення політик дитячої приватності.

Компаніям, орієнтованим на дитячу або сімейну аудиторію, варто вже зараз перевірити відповідність своїх продуктів принципам “privacy by design” — 2025 стане роком активного моніторингу приватності дітей.

03/12/2025

Оформлення відносин із працівниками в ІТ — нова стаття в LIGA:ZAKON

Щойно вийшла стаття Євгена Савельєва, присвячена тому, як правильно оформлювати співпрацю з ІТ-фахівцями — через трудовий договір, ФОП чи гіг-контракт у режимі «Дія.City».

Головні тези:

✅ Український ІТ-сектор звик до гнучких моделей співпраці. Але ця гнучкість НЕ означає вседозволеність.
✅ Неправильно оформлені відносини можуть призвести до донарахувань податків, штрафів від Держпраці, перекваліфікації договорів та ризиків щодо IP.
✅ Проаналізовано три основні моделі співпраці:
— трудовий договір: повні соцгарантії, підпорядкування, стабільність;
— ФОП: найпопулярніша модель, але з ризиками перекваліфікації;
— гіг-контракти: баланс між гнучкістю та правовими гарантіями.
✅ Окремо пояснено важливі юридичні нюанси: NDA, non-compete, IP-права, використання AI та open source, а також ризики подвійного оподаткування при роботі на іноземних замовників.
✅ Розібрано позицію Верховного Суду щодо “прихованих трудових відносин”: назва договору не рятує, якщо по факту відносини — трудові.

Якщо ви юрист, айтішник, HR в ІТ або засновник компанії — ця тема критично важлива. Правильний формат співпраці — це не бюрократія, це елемент вашої корпоративної безпеки.

Якщо вам потрібен короткий розбір конкретної ситуації (ФОП? гіг? трудовий? міжнародна співпраця?) — звертайтесь в Avitar. Допоможемо!

https://ips.ligazakon.net/document/EA018711

Оформлення відносин із працівниками в ІТ-сфері від 01.12.2025. Стаття. ЛІГА:ЗАКОН. Зручний перегляд і пошук документів на LIGA:ZAKON.

03/12/2025

Європарламент прискорює кроскордонне застосування GDPR

Європарламент схвалив новий регламент, який суттєво змінює процедури розгляду скарг між наглядовими органами різних країн ЄС. Тепер лід-орган має 15 місяців на розслідування і підготовку рішення, а у нескладних справах — лише 12. Це покликано вирішити одну з головних проблем GDPR — надмірно тривалі кроскордонні кейси.

Вперше запроваджено спрощену процедуру врегулювання, якщо компанія припинила порушення, а скаржник не заперечує. Крім того, заявники отримають більше процесуальних прав: можливість бути почутими та отримувати інформацію про перебіг розслідування.

Цей крок — спроба зробити право на захист персональних даних реально дієвим, а не лише формальним. Регламент також стимулює національні органи до раннього узгодження позицій, що має підвищити передбачуваність і зменшити конфлікти між регуляторами.

Для бізнесу це означає: швидші розслідування, менше бюрократії та більший тиск дотримуватися вимог з самого початку.

02/12/2025

ЄС продовжує “адекватність” для Британії — з застереженнями

Європейська рада із захисту даних (EDPB) дала “зелене світло” на продовження чинності адекватності Великої Британії за GDPR та Директивою про правоохоронну діяльність до грудня 2031 року. Це означає, що передача персональних даних між ЄС і Великою Британією поки не потребує додаткових механізмів, як-от стандартних договірних клаузул.

Втім, EDPB висловила занепокоєння щодо кількох аспектів британського законодавства, зокрема Retained EU Law (Revocation and Reform) Act 2023, який може змінити баланс між урядовими повноваженнями та наглядом ICO. Також під питанням залишаються положення про Technical Capability Notices, які потенційно дозволяють втручання у шифровану комунікацію.

Попри ризики, Рада визнала, що загальна сумісність системи Британії з GDPR зберігається. Єврокомісія пообіцяла проводити регулярний моніторинг і готова переглянути рішення у разі суттєвих змін.

Для компаній, які передають дані у Британію, це сигнал стабільності — але водночас і попередження: подальша доля адекватності залежить від розвитку британських цифрових реформ.

01/12/2025

EDPS оновив настанови з генеративного ШІ для установ ЄС

Європейський наглядовий орган із захисту даних (EDPS) опублікував оновлені рекомендації щодо використання генеративного ШІ в інституціях ЄС. Документ деталізує, як застосовувати Regulation (EU) 2018/1725 до сучасних AI-систем, що генерують текст, зображення чи інші результати на основі даних.

Керівництво містить новий чек-лист відповідності, який допоможе установам оцінювати ризики, перевіряти правомірність обробки та забезпечувати прозорість. EDPS наголошує: обробка даних для тренування чи використання моделей має відповідати принципам мінімізації, законності, цільового обмеження і безпеки.

Також уперше окреслено, як контролери і процесори мають документувати свої дії, вести реєстри рішень і взаємодіяти з EDPS ще на етапі розробки AI-проєктів. Ці правила фактично формують базовий підхід до “AI compliance by design” — інтеграції приватності в саму архітектуру систем.

ЄС демонструє: навіть державний сектор має бути прикладом відповідального впровадження AI. Для бізнесу ці настанови — добрий орієнтир для майбутнього AI-комплаєнсу.

30/11/2025

Єврокомісія планує спростити правила cookie-згоди

Єврокомісія готує оновлення ePrivacy Directive (2009), щоб зменшити кількість набридливих cookie-банерів, які стали символом “банальної згоди”. Серед варіантів реформ — дозвіл налаштовувати преференції раз у браузері, або ж розширення винятків для технічно необхідних і базових аналітичних файлів.

Промислові учасники пропонують навіть інтегрувати cookie-регулювання до GDPR, замінивши модель суворої згоди на ризик-орієнтовану. Країни на кшталт Данії вже підтримали пом’якшення для неінвазивних cookies, тоді як правозахисні організації застерігають: надмірна лібералізація може дозволити непомітний таргетинг і стеження за користувачами.

Очікується, що ці зміни стануть частиною більшого пакета — Digital Fairness Act, спрямованого на боротьбу з маніпулятивним дизайном та агресивною рекламою.

Компаніям, які працюють з онлайн-рекламою та аналітикою, варто готуватися: у 2026 році правила cookie-згод можуть бути спрощені, але вимоги до прозорості — навпаки, посиляться.

29/11/2025

Нідерландський регулятор оштрафував Experian на €2,7 млн

Data Protection Authority (AP) Нідерландів наклала штраф у розмірі €2,7 млн на Experian Netherlands — відому компанію з кредитного скорингу, яка без законних підстав збирала персональні дані з відкритих і комерційних джерел.

До бази потрапляли відомості про борги, неплатежі, банкрутства та іншу фінансову інформацію, яка використовувалася для створення кредитних рейтингів. Це призвело до дискримінаційних рішень — деякі споживачі навіть не знали, що про них зроблено перевірку.

Регулятор встановив численні порушення принципів прозорості, законності, обмеження мети та точності даних. Після рішення AP компанія оголосила про повне припинення діяльності в Нідерландах і видалення бази даних до кінця року.

Цей кейс став нагадуванням: навіть великі дата-брокери не можуть збирати й передавати інформацію без законної підстави. GDPR вимагає прозорості, а контроль за цим — дедалі суворіший.

28/11/2025

noyb подає кримінальну скаргу проти Clearview AI: новий рівень боротьби за GDPR

Історія з Clearview AI — це вже класика порушення приватності у цифрову епоху. Компанія створила гігантську базу з понад 60 мільярдів фотографій, зібраних із соцмереж, сайтів та відео без згоди людей. Вона поєднувала обличчя з іменами, вебсторінками та метаданими — фактично створивши “Google для облич”.

Регулятори з Франції, Італії, Греції та Нідерландів наклали на Clearview штрафи на понад €100 млн і заборонили обробку даних європейців. Компанія майже не реагувала на ці рішення й продовжила працювати, ігноруючи заборони — демонструючи, наскільки безсилі адміністративні санкції, якщо компанія фізично перебуває поза юрисдикцією ЄС.

Тепер ситуація переходить у нову фазу. Австрійська організація noyb, відома позовами проти Big Tech, подала кримінальну скаргу проти Clearview AI. Правова база — §63 австрійського Закону про захист даних, який дозволяє переслідувати за тяжкі порушення GDPR у кримінальному порядку. Це може стати прецедентом: якщо справу відкриють, під кримінальну відповідальність можуть потрапити не лише компанія, а й керівники особисто, з реальними ризиками арештів при в’їзді в ЄС.

Цей кейс може стати першим, коли за масове порушення GDPR відповідатимуть не просто юридичні особи, а конкретні менеджери — і це суттєво змінить практику правозастосування.

26/11/2025

Топ-штрафи за GDPR у 2025 році: хто заплатив найдорожче за порушення приватності

2025 рік виявився рекордним за сумами штрафів у сфері захисту даних. За даними GDPR Enforcement Tracker, загальна сума санкцій перевищила 2,1 млрд євро, а серед порушників — не лише гіганти Big Tech, але й фінансові, медійні та телеком-компанії.

Найбільші штрафи року:
- Meta (Ірландія) — понад €700 млн за непрозору обробку персональних даних у рекламі та недостатню згоду користувачів.
- TikTok (Франція) — €210 млн за недоліки в захисті дитячих акаунтів і невідповідність політики cookie вимогам прозорості.
- Booking.com (Нідерланди) — €80 млн за витік даних клієнтів та несвоєчасне повідомлення про інцидент.
- Experian (Нідерланди) — €2,7 млн за незаконну обробку комерційних і відкритих даних.

Тенденція очевидна: регулятори фокусуються не лише на витоках даних, а й на системних порушеннях — профілюванні, таргетингу, cookie-банерах і прозорості.

Компаніям варто оцінити ризики — 2026 рік може стати часом посиленого контролю за AI-системами, алгоритмічною рекламою та “data brokers”.

25/11/2025

CJEU: компенсацію за порушення GDPR не можна замінити заборонним приписом

Суд ЄС (CJEU) у справі Quirin Privatbank (C-655/23) підтвердив, що кожен має право на компенсацію за нематеріальну шкоду у випадку незаконної обробки персональних даних. Це право є автономним і діє по всьому ЄС.

Суд уточнив: для отримання компенсації достатньо наявності трьох елементів — факту порушення, шкоди (навіть емоційної чи моральної) та причинного зв’язку. Немає вимоги доводити вину контролера чи мінімальний рівень страждання.

CJEU також пояснив, що заборонний припис (injunction) не є заміною компенсації. Припис має запобіжну функцію — він зупиняє подальшу незаконну обробку, але не компенсує вже завдану шкоду.
Суд наголосив: національні суди не можуть зменшувати чи скасовувати компенсацію лише тому, що потерпілий отримав заборону на майбутні дії порушника.

Рішення зміцнює позицію суб’єктів даних у спорах з компаніями — відтепер навіть мінімальний емоційний дискомфорт від порушення приватності може бути підставою для грошового відшкодування.

Для бізнесу це сигнал: будь-яке порушення GDPR, навіть без “фактичної шкоди”, може закінчитися компенсаційними позовами.

24/11/2025

Великий штраф у Британії: 1 млн спам-повідомлень = £200 000 покарання

Британський регулятор ICO оштрафував підприємця Бхарата Сінгха Чанда на £200 000 за масову розсилку 966 449 SMS-повідомлень без згоди отримувачів.

Чанд використовував SIM-ферми та фіктивні назви компаній, щоб приховати свою діяльність. Повідомлення не містили жодної інформації про відправника, а під час обшуку регулятор знайшов листування з інструкціями, як “обманювати ICO”.

Цей випадок показує, що навіть фізичні особи — не лише компанії — можуть нести серйозну фінансову відповідальність за порушення правил електронних комунікацій. ICO наголошує: спам-розсилки без згоди користувачів — порушення законів PECR (Privacy and Electronic Communications Regulations).

Бізнесу варто переконатися, що будь-яка маркетингова активність має чітку згоду користувачів — навіть один неправильний меседж може обійтися дорого.