ProHoster > Bloc > Administració > Fuga de dades a Ucraïna. Paral·lelisme amb la legislació de la UE

Fuga de dades a Ucraïna. Paral·lelisme amb la legislació de la UE

Fuga de dades a Ucraïna. Paral·lelisme amb la legislació de la UE

L'escàndol amb la filtració de dades del carnet de conduir a través d'un bot de Telegram va tronar a tot Ucraïna. Les sospites van caure inicialment sobre l'aplicació de serveis governamentals "DIYA", però la participació de l'aplicació en aquest incident es va negar ràpidament. Les preguntes de la sèrie "qui va filtrar les dades i com" seran confiades a l'estat representat per la policia ucraïnesa, la SBU i experts informàtics i tècnics, però el tema del compliment de la nostra legislació sobre protecció de dades personals amb les realitats de l'era digital va ser considerada per l'autor de la publicació, Vyacheslav Ustimenko, consultor del despatx d'advocats Icon Partners.

Ucraïna s'està esforçant per unir-se a la UE, i això implica l'adopció d'estàndards europeus per a la protecció de dades personals.

Simulem un cas i imaginem que una organització sense ànim de lucre de la UE va filtrar la mateixa quantitat de dades del carnet de conduir i aquest fet va ser determinat per les agències locals d'aplicació de la llei.

A la UE, a diferència d'Ucraïna, hi ha una regulació sobre la protecció de dades personals - GDPR.

La filtració indica violacions dels principis descrits a:

  • Article 25 GDPR Protecció de dades personals per disseny i per defecte;
  • Article 32 GDPR. Seguretat del tractament;
  • Article 5 clàusula 1.f del RGPD. Principi d'integritat i confidencialitat.

A la UE, les multes per violació del GDPR es calculen individualment, a la pràctica serien multades amb més de 200,000 euros.

Què s'hauria de canviar a Ucraïna

La pràctica adquirida en el procés de suport a les empreses de TI i en línia tant a Ucraïna com a l'estranger ha mostrat els problemes i els assoliments del GDPR.

A continuació es mostren sis canvis que s'han d'introduir a la legislació ucraïnesa.

#Adaptar el marc legislatiu a l'era digital

Des de la signatura de l'Acord d'Associació amb la UE, Ucraïna ha estat desenvolupant una nova legislació de protecció de dades, i el GDPR s'ha convertit en un punt de referència.

Aprovar una llei de protecció de dades personals no va ser tan fàcil. Sembla que hi ha un "esquelet" en forma de regulació GDPR i només cal construir la "carn" (adaptar les normes), però sorgeixen moltes qüestions polèmiques, tant des del punt de vista de la pràctica com de la llei. .

Per exemple:

  • les dades obertes es consideraran personals,
  • s'aplicarà la llei a les forces de l'ordre,
  • quina és la responsabilitat d'infringir la llei, la quantia de les multes serà equiparable a les europees, etc.

El punt clau és que la legislació s'ha d'adaptar i no copiar-se del GDPR. Encara hi ha molts problemes sense resoldre a Ucraïna que no són típics dels països de la UE.

#Unificar terminologia

Determineu què són dades personals i informació confidencial. L'article 32 de la Constitució d'Ucraïna prohibeix el tractament d'informació confidencial. La definició d'informació confidencial està continguda en almenys vint lleis.

Cites de la font original en ucraïnès aquí

  • informació sobre nacionalitat, educació, cultura familiar, canvis religiosos, estat de salut, adreces, data i lloc de naixement (part 2 de l'article 11 de la Llei d'Ucraïna "Sobre la informació");
  • informació sobre el lloc de residència (part 8 de l'article 6 de la Llei d'Ucraïna "Sobre la llibertat de transferència i la lliure elecció de residència a Ucraïna");
  • informació sobre les peculiaritats de la vida de les comunitats, obtinguda a partir de la brutalització de les comunitats (article 10 de la Llei d'Ucraïna "Sobre la brutalització de les comunitats");
  • les dades primàries eliminades en el procés de realització del cens de població (article 16 de la Llei d'Ucraïna "Sobre el cens de població tot ucraïnès");
  • declaracions presentades pel sol·licitant per al reconeixement com a refugiat o protecció especial, que requerirà protecció addicional (part 10, article 7 de la Llei d'Ucraïna "Sobre refugiats i protecció especial, que requerirà protecció addicional o oportuna");
  • informació sobre dipòsits de pensions, pagaments de pensions i ingressos d'inversió (excedent) que s'assignen al compte de pensions individual d'un participant en fons de pensions, compte de dipòsits de pensions d'actius físics ib, contractes d'assegurança de pensions anticipades (part 3 de l'article 53 de la Llei d'Ucraïna sobre l'assegurança de pensions no governamentals;
  • informació sobre l'estat dels actius de pensions invertits al compte de pensions acumulades de la persona assegurada (Part 1 de l'article 98 de la Llei d'Ucraïna "Sobre l'assegurança legal de pensions de l'Estat");
  • informació sobre l'objecte del contracte per al desenvolupament de la investigació científica o la recerca i el disseny i els robots tecnològics, el seu progrés i resultats (article 895 del Codi civil d'Ucraïna)
  • Informació que es pot utilitzar per identificar la persona d'un menor delinqüent o què constitueix el fet del suïcidi del menor (Part 3 de l'article 62 de la Llei d'Ucraïna "En comunicacions de televisió i ràdio");
  • Informació sobre el difunt (article 7 de la Llei d'Ucraïna "Sobre serveis funeraris");
    declaracions sobre el pagament del treball (article 31 de la Llei d'Ucraïna "Sobre el pagament del treball" Les declaracions sobre el pagament del treball només s'emeten en casos de legislació, però també a criteri del treballador);
  • aplicacions i materials per a l'emissió de patents (article 19 de la Llei d'Ucraïna "Sobre la protecció dels drets sobre productes i models");
  • informació que es pot trobar en els textos de les decisions judicials i que permet identificar una persona física, incloent: noms (noms, segons pare, sobrenom) de persones físiques; lloc de residència o activitat física des d'adreces designades, números de telèfon i altres dades de contacte, adreces de correu electrònic, números d'identificació (codis); números de matrícula dels vehicles de transport (article 7 de la Llei d'Ucraïna "Sobre l'accés a les decisions dels vaixells").
  • dades sobre una persona preses sota protecció de procediments penals (article 15 de la Llei d'Ucraïna "Sobre garantir la seguretat de les persones que participen en procediments penals");
  • materials de la sol·licitud d'una persona física o jurídica per al registre de la varietat Roslin, els resultats de l'examen de la varietat Roslin (article 23 de la Llei d'Ucraïna "Sobre la protecció dels drets de les varietats Roslin");
  • dades sobre l'advocat al tribunal o a l'agència d'aplicació de la llei, preses sota protecció (article 10 de la Llei d'Ucraïna "Sobre la protecció sobirana dels agents de policia al tribunal i les agències d'aplicació de la llei");
  • un conjunt de registres sobre persones que han patit violència (dades personals) que es troben al Registre, així com informació amb accés compartit. (Part 10, article 16 de la Llei d'Ucraïna "Sobre la prevenció i la prevenció de la violència domèstica");
  • Informació sobre la confidencialitat de les mercaderies que es mouen pel cordó militar d'Ucraïna (Part 1 de l'article 263 del Codi Militar d'Ucraïna);
  • Informació que s'ha d'incloure a la sol·licitud de registre estatal de medicaments i suplements (part 8 de l'article 9 de la Llei d'Ucraïna "Sobre medicaments");

#Allunya't dels conceptes avaluatius

Hi ha molts conceptes avaluadors al GDPR. Els conceptes de valoració en un país sense lleis precedents (és a dir, Ucraïna) són més un espai per “evadir la responsabilitat” que útils per a la població i el conjunt del país.

#Introdueix el concepte de DPO

El responsable de protecció de dades (DPO) és un expert independent en protecció de dades. La legislació ha de regular de manera clara i sense conceptes avaluatius la necessitat del nomenament obligatori d'un expert per al càrrec de DPD. Com ho fan a la Unió Europea escrit aquí.

#Determinar el nivell de responsabilitat per violacions en l'àmbit de les dades personals, diferenciar les multes en funció de la mida (benefici) de l'empresa.

  • 34 mil hryvnia

    Encara no hi ha una cultura de protecció de dades personals a Ucraïna; l'actual Llei "de protecció de dades personals" diu que "una violació comporta una responsabilitat establerta per la llei". La multa segons el Codi Administratiu per accés il·legal a dades personals i per violació dels drets dels subjectes és de fins a 34,000 UAH.

  • 20 milions d'euros

    La multa per infringir el GDPR és la més gran del món: fins a 20,000,000 d'euros, o fins al 4% de la facturació anual total de l'empresa durant l'exercici anterior. Google va rebre la seva primera multa de 50 milions d'euros per violacions de la privadesa de dades de ciutadans francesos.

  • 114 milions d'euros

    El GDPR va celebrar el seu 2n aniversari al maig i va recaptar 114 milions d'euros en multes. Els reguladors sovint es dirigeixen a empreses gegants amb milions de dades d'usuaris.

    La cadena hotelera Marriott International i British Airways s'enfronten a multes multimilionàries aquest any per infraccions de dades que s'espera que superin Google per les multes més altes. Els reguladors del Regne Unit han advertit que tenen previst sancionar-los amb un total estimat de 366 milions de dòlars.

    Les multes amb sis zeros s'emeten a empreses globals els serveis de les quals fem servir cada dia. Tanmateix, això no vol dir que les empreses petites i desconegudes no estiguin subjectes a sancions.

    Una empresa postal austríaca va rebre una multa de 18 milions d'euros per crear i vendre perfils de 3 milions de persones que contenien informació sobre adreces, preferències personals i afiliacions polítiques.

    Un servei de pagament a Lituània no va eliminar les dades personals dels clients quan ja no hi havia necessitat de processament i va rebre una multa de 61,000 euros.

    Una organització sense ànim de lucre a Bèlgica va enviar màrqueting directe per correu electrònic fins i tot després que els destinataris s'haguessin desactivat i hagin rebut una multa de 1000 euros.

    1000 euros no són res comparat amb el dany a la reputació.

La #felicitat no està en les multes

"Qui vulgui saber informació sobre mi ho sabrà de totes maneres, malgrat la llei", això és el que diuen moltes persones a Ucraïna i als països de la CEI, malauradament.

Però cada cop són menys les persones que creuen la idea errònia sobre "robaran una foto del passaport i demanaran un préstec al meu nom", perquè fins i tot amb l'original del passaport d'una altra persona a les mans, és legalment impossible fer-ho.

Les persones es divideixen en 2 campaments:

  • Els "paranoics" que creuen en la religió de les dades personals pensen abans de marcar una casella i consentir el tractament de les dades.
  • "els que no els importa", o les persones que automàticament filtren les seves dades personals a la xarxa, no pensen en les conseqüències. I llavors se'ls roben les targetes de crèdit, s'inscriuen per fer pagaments recurrents, se'ls roben els comptes de missatgeria, els seus correus electrònics són piratejats o la criptomoneda es retira de la seva cartera.

Llibertat i democràcia

La protecció de dades personals es refereix a la llibertat d'elecció d'una persona, la cultura de la societat i la democràcia. És més fàcil gestionar la societat amb més dades; és possible predir l'elecció d'una persona i empènyer-la a l'acció desitjada. És difícil que una persona faci el que vol si està sent observada, la persona es posa còmoda, i en conseqüència, controlada, és a dir, la persona inconscientment no fa el que vol, sinó com estava convençuda de fer.

El GDPR no és perfecte, però compleix la idea i l'objectiu principal a la UE: els europeus s'han adonat que una persona independent posseeix i gestiona de manera independent les seves dades personals.

Ucraïna és només al començament del seu viatge, el terreny s'està preparant. De l'estat, els residents rebran un nou text de la llei, probablement un organisme regulador independent, però els mateixos ucraïnesos han d'arribar als valors europeus moderns i a la comprensió que la democràcia el 2020 també hauria d'existir a l'espai digital.

PD Escric a les xarxes socials. xarxes sobre jurisprudència i negoci informàtic. Estaré encantat si us subscriviu a un dels meus comptes. Això sens dubte afegirà motivació per desenvolupar el vostre perfil i treballar el contingut.

Facebook
Instagram

Només els usuaris registrats poden participar en l'enquesta. Inicia sessiósi us plau.

Escriu sobre la legislació de la Federació Russa sobre dades personals?

  • 51,4%sí 19

  • 48,6%millor triar un altre tema18

Han votat 37 usuaris. 19 usuaris es van abstenir.

Font: www.habr.com

Afegeix comentari