ProHoster > блог > адміністраванне > Уцечка дадзеных у Украіне. Паралелі з заканадаўствам ЕС

Уцечка дадзеных у Украіне. Паралелі з заканадаўствам ЕС

Уцечка дадзеных у Украіне. Паралелі з заканадаўствам ЕС

Скандал з уцечкай звестак вадзіцельскіх пасведчанняў праз Telegram-бота прагрымеў на ўсю Украіну. Падазрэнні першапачаткова ўпалі на дадатак дзяржаўных паслуг “ДІЯ”, але дачыненне дадатку да гэтага інцыдэнту хутка абверглі. Пытанні з серыі "хто і як зліў дадзеныя" даверым дзяржаве ў асобе ўкраінскай паліцыі, СБУ і кампутарна-тэхнічных экспертаў, але вось пытанне адпаведнасці нашага заканадаўства аб абароне персанальных дадзеных рэаліям дыджытал эпохі разгледзеў аўтар публікацыі Вячаслаў Усціменка, кансультант юрыдычнай кампаніі Icon Partners.

Украіна імкнецца ў ЕС, і гэта мае на ўвазе прыняцце еўрапейскіх стандартаў абароны персанальных дадзеных.

Давайце змадэлюем кейс і ўявім, што некамерцыйная арганізацыя з ЕС дапусціла ўцечку такога ж аб'ёму дадзеных вадзіцельскіх пасведчанняў і гэты факт устанавілі мясцовыя праваахоўныя органы.

У ЕС, у адрозненне ад Украіны, дзейнічае рэгламент па абароне персанальных дадзеных - GDPR.

Уцечка сведчыць аб парушэннях прынцыпаў апісаных у:

  • Артыкул 25 GDPR Абарона персанальных дадзеных праектаваная і па змаўчанні;
  • Артыкул 32 GDPR. Бяспека апрацоўкі;
  • Артыкул 5 п.1.f GDPR. Прынцып цэласнасці і канфідэнцыйнасці.

У ЕС штрафы за парушэнне GDPR разлічваюцца індывідуальна, на практыцы - аштрафавалі б на 200,000+ еўра.

Што варта змяніць ва Украіне

Практыка атрыманая ў працэсе суправаджэння IT і анлайн бізнесу як ва Украіне, так і за межамі, паказала праблемы і дасягненні GDPR.

Ніжэй шэсць змен якія варта ўкараніць у Украінскае заканадаўства.

#Адаптаваць заканадаўчую базу пад дыджытал эпоху

З моманту падпісання Пагаднення аб асацыяцыі з ЕС ва Украіне распрацоўваецца новае заканадаўства па абароне даных, а GDPR стаў пуцяводнай зоркай.

Прыняць закон аб абароне персанальных дадзеных аказалася не так проста. Накшталт бы ёсць "шкілет" у выглядзе рэгламенту GDPR і трэба толькі нарасціць "мяса" (прыстасаваць нормы), але ўзнікае шмат спрэчных момантаў, як з пункту гледжання практыкі, так і закону.

Напрыклад:

  • ці будуць лічыцца персанальнымі адкрытыя дадзеныя,
  • ці будзе закон распаўсюджвацца на праваахоўныя органы,
  • якая адказнасць за парушэнне закону, ці будзе памер штрафаў супастаўны з еўрапейскімі і інш.

Ключавы момант - трэба адаптаваць заканадаўства, а не капіяваць GDPR. Ва Украіне пакуль шмат нявырашаных праблем, якія не ўласцівыя краінам ЕС.

#Уніфікаваць тэрміналогію

Вызначыць што з'яўляецца персанальнымі дадзенымі, канфідэнцыйнай інфармацыяй. Канстытуцыя Украіны, артыкул 32, забараняе апрацоўваць канфідэнцыйную інфармацыю. Вызначэнне канфідэнцыйнай інфармацыі змяшчаецца мінімум у дваццаці Законах.

Цытаты з першакрыніцы на ўкраінскай мове тут

  • звесткі пра нацыянальнасць, адукацыю, сямейны стан, рэлігійныя перакананні, стан здароўя, адрасы, дату і месца нараджэння (ч.2 арт. 11 Закона Украіны «Пра інфармацыю»);
  • звесткі пра месца пражывання (ч.8 арт. 6 Закона Украіны «Аб свабодзе перасоўвання і свабодным выбаре пражывання ў Украіне»);
  • звесткі аб асабістай жыцця грамадзян, атрыманых з зваротаў грамадзян (арт.10 Закона Украіны «Аб зваротах грамадзян»);
  • першасныя дадзеныя, полученыя ў працэсе правядзення Перапісу насельніцтва (арт. 16 Закона Украіны «Пра Усеўкраінскі перапіс насельніцтва»);
  • звесткі, якія падаюцца заяўнікам на прызнанне бежанцам або асобай, якая патрабуе дадатковай абароны (ч.10 арт. 7 Закона Украіны «Пра бежанцаў і асоб, якія патрабуюць дадатковай або часовай абароны»);
  • інфармацыя аб пенсійных унёсках, пенсійных выплатах і інвестыцыйнай прыбытку (убытку), што аблікоўваецца на індывідуальным пенсійным рахунку ўдзельніка пенсійнага фонду, пенсійных дэпазітных рахунках фізічных асоб, дагаворы страхавання довічної пенсії (ч.3 арт. 53 Закона Украіны «Аб нядзяржаўнае пенсійнае страхаванне») ;
  • інфармацыя пра стан пенсійных актываў, аблікаваных на назапашвальным пенсійным рахунку застрахаванай асобіны (ч.1 арт. 98 Закона Украіны «Аб агульнаабавязковым дзяржаўным пенсійным страхаванні»);
  • звесткі аб прадмете дагавора на выкананне навукова-даследчых або доследна-канструктарскіх і тэхналагічных работ, ход іх выканання і вынікі (арт. 895 Грамадскага кодэкса Украіны)
  • інфармацыя якая можа спрыяць ідэнтыфікацыі асобы непаўналітняга правапарушніка або якая тычыцца факту самагубства непаўналітняга (ч. 3 арт. 62 Закона Украіны «Пра тэлебачанне і радыёмоўленне»);
  • інфармацыя пра памерлага (арт. 7 Закона України «Пра пахаванне і пахавальную справу»);
    звесткі аб аплаце працы работніка (арт. 31 Закона Украіны «Пра аплату працы» Відомасці аб аплаце працы прадастаўляюцца толькі ў выпадках, якія прадугледжаны заканадаўствам, або згодна з патрабаваннем работніка);
  • заяўкі і матэрыялы на выдачу патэнтаў ( арт.19 Закону Украіны «Пра ахову правоў на изобретены і карысныя мадэлі»);
  • звесткі, якія змяшчаюцца ў тэкстах судовых рашэнняў і даюць магчымасць ідэнтыфікаваць фізічную асобу, у тым ліку: імёны (ім'я, па бацьку, мянушку) фізічных асоб; месца пражывання або знаходжання фізічных асоб з указаннем адраса, нумароў тэлефонаў ці іншых сродкаў сувязі, адрасы электроннай пошты, идентіфікацыйных нумароў (коды); рэгістрацыйныя нумары транспартных сродкаў (арт. 7 Закона України "Аб доступе да судовых рішень").
  • дадзеныя пра асобу ўзятую пад абарону ў крымінальным судачынстве (арт. 15 Закона Украіны «Аб забеспячэнні бяспекі асоб, якія ўдзельнічаюць у крымінальным судачынстве»);
  • матэрыялы заяўкі фізічної або юридичної особи на рэгістрацыю гатунку раслін, вынікі экспертызы гатунку раслін (арт. 23 Закона Украіны «Пра ахову правоў на гатункі раслін»);
  • дадзеныя пра работніка суду або праваахоўнага органа, узятага пад абарону (арт. 10 Закона Украіны «Пра дзяржаўную абарону работнікаў суду і праваахоўных органаў»);
  • сукупнасць звестак пра фізічныя асобы, якія пацярпелі ад гвалту (персанальныя дадзеныя), якія змяшчаюцца ў Рэестры, є інфармацыяй з абмежаваным доступам. (ч.10 арт.16 Закона Украіны «Пра запобігання та протидію хатняму гвалту»);
  • інфармацыя, што тычыцца мытні кошту тавараў, што перамяшчаюцца праз мытні кардон Украіны (ч.1 арт. 263 Таможнага кодэкса Украіны);
  • інфармацыя, якая змяшчаецца ў заяве пра дзяржаўную рэгістрацыю лекавага сродку і дадатку да іх (ч.8 арт. 9 Закона України «Пра лекавыя сродкі»);

#Адысці ад ацэначных паняццяў

У GDPR шмат ацэначных паняццяў. Ацэначныя паняцці ў краіне без прэцэдэнтнага права (маецца на ўвазе Украіна) - хутчэй прастора для "сыходу ад адказнасці", чым карысць для насельніцтва і краіны ў цэлым.

#Увесці паняцце DPO

Data protection officer (DPO) - незалежны эксперт па абароне дадзеных. У заканадаўстве неабходна дакладна і без ацэначных паняццяў рэгламентаваць неабходнасць абавязковага прызначэння эксперта на пасаду DPO. Як робяць у Еўразвязе напісана тут.

#Вызначыць узровень адказнасці за парушэнне ў сферы персанальных дадзеных, дыферэнцаваць штрафы ў залежнасці ад памеру (прыбытку) кампаніі.

  • 34 тысячы грыўняў

    Культуры абароны персанальных дадзеных у Украіне да гэтага часу няма, дзеючы Закон "Аб абароне персанальных дадзеных" кажа што "парушэнне цягне за сабой адказнасць, устаноўленую законам". Штраф па адмін кодэксу за незаконны доступ да персанальных дадзеных і за парушэнне правоў суб'ектаў да 34,000 грн.

  • 20 мільёнаў еўра

    Штраф за парушэнне GDPR самы вялікі ў свеце - да 20,000,000 еўра, або да 4% ад агульнага гадавога абароту кампаніі за папярэдні фінансавы год. Першы штраф у 50 мільёнаў еўра за парушэнні прыватнасці дадзеных, якія тычацца грамадзян Францыі, атрымаў Google.

  • 114 мільёнаў еўра

    GDPR у траўні святкаваў 2-х годдзе і сабраў 114 мільёнаў еўра штрафаў. Пад прыцэлам у рэгулятараў часцей кампаніі-гіганты з мільёнамі карыстацкіх дадзеных.

    Гасцінічнай сеткі Marriott International і авіякампаніі British Airways у гэтым годзе пагражаюць шматмільённыя штрафы за дапушчаныя ўцечкі дадзеных, якія, па папярэдніх дадзеных, апярэдзяць Google у баі за самыя высокія штрафы. Рэгулятары Вялікабрытаніі папярэдзілі, што плануюць пакараць іх на агульную суму прыкладна 366 мільёнаў долараў.

    Штрафы з шасцю нулямі выпісваюцца глабальным кампаніям, паслугамі якіх карыстаемся кожны дзень. Аднак, гэта не гаворыць аб тым, што невялікія малазнаёмыя кампаніі не падпадаюць пад пакаранні.

    Аўстрыйская паштовая кампанія атрымала штраф у памеры 18 мільёнаў еўра за стварэнне і продаж профіляў 3 мільёнаў чалавек, у якіх змяшчалася інфармацыя аб адрасах, асабістых перавагах і палітычнай прыналежнасці.

    Плацежны сэрвіс у Літве не выдаліў персанальныя дадзеныя кліентаў, калі патрэба ў апрацоўцы адпала і атрымаў штраф 61,000 эўра.

    Некамерцыйная арганізацыя ў Бельгіі праводзіла прамую маркетынгавую рассылку на электронную пошту нават пасля таго, як атрымальнікі адмовіўся ад атрымання рассылкі, і атрымала штраф 1000 еўра.

    1000 еўра нішто ў параўнанні з шкодай рэпутацыі.

#Не ў штрафах шчасце

"Хто захоча даведацца пра мяне інфу, і так даведаецца, нягледзячы на ​​закон" - так кажуць ва Украіне і краінах СНД, на жаль, многія.

А вось у зман наконт "скрадуць фота пашпарты і возьмуць крэдыт на маё імя" верыць усё менш людзей, бо нават з арыгіналам чужога пашпарта ў руках юрыдычна гэта зрабіць нерэальна.

Людзі дзеляцца на 2 лагеры:

  • "параноікі" якія вераць у рэлігію персанальных дадзеных, думаюць перш чым паставіць галачку і даць згоду на апрацоўку дадзеных.
  • "тыя каму пляваць", ці людзі якія на аўтамаце зліваюць свае персанальныя дадзеныя ў сетку, не задумваецца аб наступствах. А потым у іх карткі крэдытныя крадуць, падпісваюць на рэкурэнтныя плацяжы, адводзяць акаўнты ў месэнджарах, пошты ўзломваюць або здымаюць з кашалька крыптавалюту.

Свабода і дэмакратыя

Абарона персанальных дадзеных - гэта аб свабодзе выбару чалавека, культуры грамадства і дэмакратыі. Таварыствам лягчэй кіраваць маючы больш дадзеных, можна прадказваць выбар чалавека, падштурхнуць да патрэбнага дзеяння. Чалавеку складана паступаць як ён жадае калі за ім сочаць, чалавек становіцца зручным, як следства кіраваным, гэта значыць чалавек падсвядома робіць не бо жадае сам, а бо яго пераканалі рабіць.

GDPR не ідэальны, але галоўную ідэю і мэту ў ЕС выконвае - еўрапейцы ўсвядомілі, што незалежны чалавек самастойна валодае і кіруе сваімі персанальнымі дадзенымі.

Украіна толькі ў пачатку шляху, глеба рыхтуецца. Ад дзяржавы жыхары атрымаюць новы тэкст закону, хутчэй за ўсё незалежны рэгулятарны орган, але прыйсці да сучасных еўрапейскіх каштоўнасцяў і разумення таго, што дэмакратыя ў 2020 годзе павінна быць і ў дыджытал прасторы, украінцы павінны самі.

PS Пішу ў сац. сетках пра юрыспрудэнцыю і IT бізнэс. Мне будзе прыемна, калі падпішыцеся на адзін з маіх акаўнтаў. Гэта, безумоўна, дадасць матывацыі развіваць профіль і працаваць над кантэнтам.

Facebook
Instagram

Толькі зарэгістраваныя карыстачы могуць удзельнічаць у апытанні. Увайдзіце, Калі ласка.

Напісаць пра заканадаўства РФ аб персанальных дадзеных?

  • 51,4%да19

  • 48,6%лепш абраць іншую тему18

Прагаласавалі 37 карыстальнікаў. Устрымаліся 19 карыстальнікаў.

Крыніца: habr.com

Дадаць каментар