ProHoster > Blog > administration > Datalækage i Ukraine. Paralleller med EU-lovgivningen

Datalækage i Ukraine. Paralleller med EU-lovgivningen

Datalækage i Ukraine. Paralleller med EU-lovgivningen

Skandalen med læk af kørekortdata gennem en Telegram-bot tordnede i hele Ukraine. Mistanker faldt oprindeligt på regeringstjenesteapplikationen "DIYA", men ansøgningens involvering i denne hændelse blev hurtigt afvist. Spørgsmål fra serien "hvem lækkede dataene og hvordan" vil blive overdraget til staten repræsenteret af det ukrainske politi, SBU og computer- og tekniske eksperter, men spørgsmålet om overholdelse af vores lovgivning om beskyttelse af personoplysninger med realiteterne i den digitale æra blev overvejet af forfatteren til publikationen, Vyacheslav Ustimenko, en konsulent hos advokatfirmaet Icon Partners.

Ukraine stræber efter at blive medlem af EU, og det indebærer vedtagelse af europæiske standarder for beskyttelse af personoplysninger.

Lad os simulere en sag og forestille os, at en non-profit organisation fra EU lækkede den samme mængde kørekortdata, og dette faktum blev fastslået af lokale retshåndhævende myndigheder.

I EU er der i modsætning til Ukraine en forordning om beskyttelse af persondata – GDPR.

Lækagen indikerer overtrædelser af principperne beskrevet i:

  • Artikel 25 GDPR Persondatabeskyttelse ved design og som standard;
  • Artikel 32 GDPR. Behandlingssikkerhed;
  • Artikel 5 paragraf 1.f GDPR. Princippet om integritet og fortrolighed.

I EU beregnes bøder for overtrædelse af GDPR individuelt, i praksis ville de blive idømt en bøde på 200,000+ euro.

Hvad skal ændres i Ukraine

Den praksis, der er opnået i processen med at støtte it- og online-virksomheder både i Ukraine og i udlandet, har vist problemerne og resultaterne af GDPR.

Nedenfor er seks ændringer, der bør indføres i ukrainsk lovgivning.

#Tilpas de lovgivningsmæssige rammer til den digitale æra

Siden underskrivelsen af ​​associeringsaftalen med EU har Ukraine udviklet ny databeskyttelseslovgivning, og GDPR er blevet et ledelys.

At vedtage en lov om beskyttelse af personoplysninger var ikke så let. Det ser ud til, at der er et "skelet" i form af GDPR-forordningen, og du skal bare bygge "kødet" op (tilpasse normerne), men der opstår mange kontroversielle spørgsmål, både fra praksis og lovgivningsmæssigt synspunkt. .

For eksempel:

  • vil åbne data blive betragtet som personlige,
  • vil loven gælde for retshåndhævende myndigheder,
  • hvad er ansvaret for overtrædelse af loven, vil bødebeløbet kunne sammenlignes med europæiske mv.

Det centrale er, at lovgivningen skal tilpasses og ikke kopieres fra GDPR. Der er stadig mange uløste problemer i Ukraine, som ikke er typiske for EU-lande.

#Forene terminologi

Bestem, hvad der er personlige data og fortrolige oplysninger. Ukraines forfatning, artikel 32, forbyder behandling af fortrolige oplysninger. Definitionen af ​​fortrolig information er indeholdt i mindst tyve love.

Citater fra den originale kilde på ukrainsk her

  • oplysninger om nationalitet, uddannelse, familiekultur, religiøse ændringer, sundhedsstatus, adresser, fødselsdato og -sted (del 2 af artikel 11 i Ukraines lov "om information");
  • oplysninger om bopælsstedet (del 8 i artikel 6 i Ukraines lov "Om overførselsfrihed og frit valg af bopæl i Ukraine");
  • information om samfundslivets særegenheder, opnået fra brutalisering af samfund (artikel 10 i Ukraines lov "Om brutalisering af samfund");
  • de primære data, der er fjernet i processen med at gennemføre befolkningstællingen (artikel 16 i Ukraines lov "om den al-ukrainske befolkningstælling");
  • erklæringer, der indgives af ansøgeren om anerkendelse som flygtning eller særlig beskyttelse, som vil kræve yderligere beskyttelse (del 10, artikel 7 i Ukraines lov "Om flygtninge og særlig beskyttelse, som vil kræve yderligere eller rettidig beskyttelse");
  • oplysninger om pensionsindskud, pensionsudbetalinger og investeringsindkomst (overskud), der henføres til en pensionskassedeltagers individuelle pensionskonto, pensionsdepot for fysiske aktiver ib, kontrakter om forsikring af førtidspension (del 3 i artikel 53 i Ukraines lov "om ikke-statslig pensionsforsikring") ;
  • oplysninger om tilstanden af ​​pensionsaktiver investeret i den forsikredes akkumulerede pensionskonto (del 1 af artikel 98 i Ukraines lov "om den juridiske statspensionsforsikring");
  • oplysninger om emnet for kontrakten om udvikling af videnskabelig forskning eller forskning og udvikling og teknologiske robotter, deres fremskridt og resultater (artikel 895 i Ukraines civile lovbog)
  • Oplysninger, der kan bruges til at identificere en mindreårig lovovertræders person, eller hvad der udgør kendsgerningen af ​​den mindreåriges selvmord (del 3 af artikel 62 i Ukraines lov "om tv og radiokommunikation");
  • Oplysninger om den afdøde (artikel 7 i Ukraines lov "Om begravelsestjenester");
    erklæringer om betaling af arbejdskraft (artikel 31 i Ukraines lov "Om betaling af arbejdskraft" Erklæringer om betaling af arbejdskraft udstedes kun i tilfælde af lovgivning, men også efter arbejdstagerens skøn);
  • ansøgninger og materialer til udstedelse af patenter (artikel 19 i Ukraines lov "om beskyttelse af rettigheder til produkter og modeller");
  • oplysninger, der kan findes i teksterne til retsafgørelser og gør det muligt at identificere en fysisk person, herunder: navne (navne, ifølge fars kaldenavn) på fysiske personer; bopæl eller fysisk aktivitet fra angivne adresser, telefonnumre og andre kontaktoplysninger, e-mailadresser, identifikationsnumre (koder); registreringsnumre på transportkøretøjer (artikel 7 i Ukraines lov "Om adgang til skibsbeslutninger").
  • data om en person, der er blevet beskyttet af straffesager (artikel 15 i Ukraines lov "Om sikring af sikkerheden for personer, der deltager i straffesager");
  • materialer af ansøgningen fra en fysisk eller juridisk person til registrering af Roslin-sorten, resultaterne af undersøgelsen af ​​Roslin-sorten (artikel 23 i Ukraines lov "om beskyttelse af rettigheder til Roslin-sorter");
  • data om advokaten til retten eller det retshåndhævende organ, taget under beskyttelse (artikel 10 i Ukraines lov "Om suveræn beskyttelse af politibetjente til domstolene og retshåndhævende myndigheder");
  • et sæt optegnelser om personer, der har været udsat for vold (personoplysninger), der findes i registret, samt oplysninger med delt adgang. (Del 10, artikel 16 i Ukraines lov "om forebyggelse og forebyggelse af vold i hjemmet");
  • Oplysninger om fortroligheden af ​​varer, der bevæger sig gennem Ukraines militærafspærring (del 1 af artikel 263 i Ukraines militærkodeks);
  • Oplysninger, der skal inkluderes i ansøgningen om statslig registrering af lægemidler og tillæg til dem (del 8 i artikel 9 i Ukraines lov "om lægemidler");

#Kom væk fra evaluerende koncepter

GDPR indeholder mange evaluerende begreber. Værdibegreber i et land uden præcedens lovgivning (hvilket betyder Ukraine) er mere et rum til at "undgå ansvar" end nyttige for befolkningen og landet som helhed.

#Introducer konceptet DPO

Databeskyttelsesrådgiver (DPO) er en uafhængig databeskyttelsesekspert. Lovgivningen skal klart og uden vurderende begreber regulere behovet for obligatorisk beskikkelse af en ekspert til stillingen som DPO. Hvordan de gør det i EU skrevet her.

#Bestemme ansvarsniveauet for krænkelser inden for persondataområdet, differentiere bøder afhængigt af virksomhedens størrelse (profit).

  • 34 tusind Hryvnia

    Der er stadig ingen kultur for beskyttelse af personlige data i Ukraine; den nuværende lov "om beskyttelse af personlige data" siger, at "en overtrædelse medfører ansvar fastsat ved lov." Bøden i henhold til den administrative kodeks for ulovlig adgang til personlige data og for krænkelse af forsøgspersoners rettigheder er op til UAH 34,000.

  • 20 millioner euro

    Bøden for overtrædelse af GDPR er den største i verden - op til 20,000,000 euro, eller op til 4% af virksomhedens samlede årlige omsætning for det foregående regnskabsår. Google modtog sin første bøde på 50 millioner euro for krænkelser af databeskyttelse, der involverede franske statsborgere.

  • 114 millioner euro

    GDPR fejrede sit 2-års jubilæum i maj og indkasserede 114 millioner euro i bøder. Regulatorer er ofte rettet mod gigantiske virksomheder med millioner af brugerdata.

    Hotelkæden Marriott International og British Airways får bøder på flere millioner dollars i år for databrud, der forventes at slå Google ud for de højeste bøder. De britiske tilsynsmyndigheder har advaret om, at de planlægger at straffe dem for i alt anslået 366 millioner dollars.

    Bøder med seks nuller udstedes til globale virksomheder, hvis tjenester vi bruger hver dag. Det betyder dog ikke, at små, ukendte virksomheder ikke er underlagt bøder.

    Et østrigsk postfirma modtog en bøde på 18 millioner euro for at oprette og sælge profiler på 3 millioner mennesker, der indeholdt oplysninger om adresser, personlige præferencer og politiske tilhørsforhold.

    En betalingstjeneste i Litauen slettede ikke klienters personlige data, da der ikke længere var behov for behandling, og fik en bøde på 61,000 euro.

    En non-profit organisation i Belgien sendte direkte e-mail-marketing, selv efter at modtagerne havde fravalgt det og modtog en bøde på €1000.

    1000 euro er ingenting sammenlignet med skaden på omdømmet.

#Lykke er ikke i bøder

"Den, der ønsker at vide information om mig, vil finde ud af det alligevel, på trods af loven" - det er, hvad mange mennesker siger i Ukraine og SNG-landene, desværre.

Men færre og færre mennesker tror på misforståelsen om "de vil stjæle et pasfoto og optage et lån i mit navn", for selv med originalen af ​​en andens pas i dine hænder er det juridisk umuligt at gøre dette.

Folk er opdelt i 2 lejre:

  • "paranoider", der tror på religionen personlige data, tænker sig om, før de markerer en boks og giver samtykke til databehandling.
  • "dem, der er ligeglade", eller folk, der automatisk lækker deres personlige data til netværket, tænker ikke over konsekvenserne. Og så bliver deres kreditkort stjålet, de tilmelder sig tilbagevendende betalinger, deres messenger-konti bliver stjålet, deres e-mails bliver hacket, eller cryptocurrency bliver trukket fra deres pung.

Frihed og demokrati

Beskyttelse af personoplysninger handler om en persons valgfrihed, samfundskultur og demokrati. Det er lettere at styre samfundet med flere data; det er muligt at forudsige en persons valg og skubbe ham til den ønskede handling. Det er svært for en person at gøre, som han vil, hvis han bliver overvåget, personen bliver komfortabel, og som et resultat kontrolleret, det vil sige, at personen ubevidst ikke gør, som han vil, men som han blev overbevist om at gøre.

GDPR er ikke perfekt, men det opfylder hovedideen og målet i EU - europæere har indset, at en uafhængig person selvstændigt ejer og administrerer sine personlige data.

Ukraine er kun i begyndelsen af ​​sin rejse, jorden er ved at blive forberedt. Fra staten vil indbyggerne modtage en ny lovtekst, højst sandsynligt et uafhængigt tilsynsorgan, men ukrainerne skal selv komme til moderne europæiske værdier og forståelsen af, at demokrati i 2020 også bør eksistere i det digitale rum.

PS Jeg skriver på sociale medier. netværk om retspraksis og it-virksomhed. Jeg vil blive glad, hvis du abonnerer på en af ​​mine konti. Dette vil helt sikkert tilføje motivation til at udvikle din profil og arbejde med indhold.

Facebook
Instagram

Kun registrerede brugere kan deltage i undersøgelsen. Log ind, Vær venlig.

Skriv om lovgivningen i Den Russiske Føderation om personlige data?

  • 51,4 %Ja 19

  • 48,6 %hellere vælge et andet emne18

37 brugere stemte. 19 brugere undlod at stemme.

Kilde: www.habr.com

Tilføj en kommentar