ProHoster > Blog > διαχείριση > Διαρροή δεδομένων στην Ουκρανία. Παραλληλισμός με τη νομοθεσία της Ε.Ε

Διαρροή δεδομένων στην Ουκρανία. Παραλληλισμός με τη νομοθεσία της Ε.Ε

Διαρροή δεδομένων στην Ουκρανία. Παραλληλισμός με τη νομοθεσία της Ε.Ε

Το σκάνδαλο με τη διαρροή στοιχείων άδειας οδήγησης μέσω bot Telegram βρόντηξε σε όλη την Ουκρανία. Οι υποψίες έπεσαν αρχικά στην εφαρμογή κυβερνητικών υπηρεσιών «DIYA», αλλά η εμπλοκή της εφαρμογής σε αυτό το περιστατικό γρήγορα απορρίφθηκε. Ερωτήσεις από τη σειρά "ποιος διέρρευσε τα δεδομένα και πώς" θα ανατεθούν στο κράτος που εκπροσωπείται από την ουκρανική αστυνομία, την SBU και ειδικούς υπολογιστών και τεχνικούς, αλλά το ζήτημα της συμμόρφωσης της νομοθεσίας μας για την προστασία των προσωπικών δεδομένων με την πραγματικότητα η ψηφιακή εποχή θεωρήθηκε από τον συγγραφέα της έκδοσης Vyacheslav Ustimenko, σύμβουλο στο δικηγορικό γραφείο Icon Partners.

Η Ουκρανία προσπαθεί να ενταχθεί στην ΕΕ και αυτό συνεπάγεται την υιοθέτηση ευρωπαϊκών προτύπων για την προστασία των προσωπικών δεδομένων.

Ας προσομοιώσουμε μια περίπτωση και ας φανταστούμε ότι ένας μη κερδοσκοπικός οργανισμός από την ΕΕ διέρρευσε τον ίδιο αριθμό δεδομένων άδειας οδήγησης και αυτό το γεγονός καθορίστηκε από τις τοπικές αρχές επιβολής του νόμου.

Στην ΕΕ, σε αντίθεση με την Ουκρανία, υπάρχει κανονισμός για την προστασία των προσωπικών δεδομένων - GDPR.

Η διαρροή υποδηλώνει παραβιάσεις των αρχών που περιγράφονται στο:

  • Άρθρο 25 ΓΚΠΔ Προστασία προσωπικών δεδομένων εξ ορισμού και εξ ορισμού.
  • Άρθρο 32 ΓΚΠΔ. Ασφάλεια επεξεργασίας;
  • Άρθρο 5 ρήτρα 1.στ GDPR. Αρχή της ακεραιότητας και της εμπιστευτικότητας.

Στην ΕΕ τα πρόστιμα για παραβίαση του GDPR υπολογίζονται μεμονωμένα, στην πράξη θα τους επιβάλλονταν πρόστιμο 200,000+ ευρώ.

Τι πρέπει να αλλάξει στην Ουκρανία

Η πρακτική που αποκτήθηκε στη διαδικασία υποστήριξης επιχειρήσεων πληροφορικής και διαδικτυακών επιχειρήσεων τόσο στην Ουκρανία όσο και στο εξωτερικό έχει δείξει τα προβλήματα και τα επιτεύγματα του GDPR.

Ακολουθούν έξι αλλαγές που πρέπει να εισαχθούν στην ουκρανική νομοθεσία.

#Προσαρμογή του νομοθετικού πλαισίου στην ψηφιακή εποχή

Από την υπογραφή της Συμφωνίας Σύνδεσης με την ΕΕ, η Ουκρανία αναπτύσσει νέα νομοθεσία για την προστασία των δεδομένων και ο GDPR έχει γίνει καθοδηγητικό φως.

Η ψήφιση νόμου για την προστασία των προσωπικών δεδομένων δεν ήταν τόσο εύκολη. Φαίνεται ότι υπάρχει ένας «σκελετός» με τη μορφή του κανονισμού GDPR και πρέπει απλώς να δημιουργήσετε το «κρέας» (να προσαρμόσετε τους κανόνες), αλλά προκύπτουν πολλά αμφιλεγόμενα ζητήματα, τόσο από την άποψη της πρακτικής όσο και από την άποψη του νόμου .

Για παράδειγμα:

  • τα ανοιχτά δεδομένα θα θεωρηθούν προσωπικά,
  • θα ισχύει ο νόμος για τις υπηρεσίες επιβολής του νόμου,
  • ποια είναι η ευθύνη για παράβαση του νόμου, το ύψος των προστίμων θα είναι συγκρίσιμο με τα ευρωπαϊκά κ.λπ.

Το βασικό σημείο είναι ότι η νομοθεσία πρέπει να προσαρμοστεί και να μην αντιγραφεί από τον GDPR. Υπάρχουν ακόμη πολλά ανεπίλυτα προβλήματα στην Ουκρανία που δεν είναι τυπικά για τις χώρες της ΕΕ.

#Ενοποιήστε την ορολογία

Προσδιορίστε τι είναι προσωπικά δεδομένα και εμπιστευτικές πληροφορίες. Το Σύνταγμα της Ουκρανίας, άρθρο 32, απαγορεύει την επεξεργασία εμπιστευτικών πληροφοριών. Ο ορισμός των εμπιστευτικών πληροφοριών περιέχεται σε τουλάχιστον είκοσι Νόμους.

Αποσπάσματα από την αρχική πηγή στα ουκρανικά εδώ

  • πληροφορίες σχετικά με την εθνικότητα, την εκπαίδευση, την οικογενειακή κουλτούρα, τις θρησκευτικές αλλαγές, την κατάσταση της υγείας, τις διευθύνσεις, την ημερομηνία και τον τόπο γέννησης (Μέρος 2 του άρθρου 11 του νόμου της Ουκρανίας «Περί πληροφοριών»).
  • πληροφορίες σχετικά με τον τόπο διαμονής (Μέρος 8 του άρθρου 6 του νόμου της Ουκρανίας «Περί ελευθερίας μεταφοράς και ελεύθερης επιλογής διαμονής στην Ουκρανία»)·
  • πληροφορίες σχετικά με τις ιδιαιτερότητες της ζωής των κοινοτήτων, που προκύπτουν από τη βάναυση βία των κοινοτήτων (άρθρο 10 του νόμου της Ουκρανίας «Σχετικά με την κτηνωδία των κοινοτήτων»).
  • τα πρωτογενή δεδομένα που αφαιρέθηκαν κατά τη διαδικασία διεξαγωγής της απογραφής πληθυσμού (άρθρο 16 του νόμου της Ουκρανίας «Σχετικά με την Ουκρανική Απογραφή Πληθυσμού»)·
  • δηλώσεις που υποβάλλονται από τον αιτούντα για αναγνώριση ως πρόσφυγας ή ειδικής προστασίας, η οποία θα απαιτήσει πρόσθετη προστασία (Μέρος 10, άρθρο 7 του νόμου της Ουκρανίας «Περί προσφύγων και ειδική προστασία, που θα απαιτήσει πρόσθετη ή έγκαιρη προστασία»).
  • πληροφορίες σχετικά με τις καταθέσεις συντάξεων, τις πληρωμές συντάξεων και το εισόδημα από επενδύσεις (πλεόνασμα) που κατανέμεται στον ατομικό συνταξιοδοτικό λογαριασμό ενός συμμετέχοντος συνταξιοδοτικού ταμείου, λογαριασμό καταθέσεων συντάξεων φυσικών περιουσιακών στοιχείων ib, συμβόλαια ασφάλισης σύνταξης προγήρανσης (Μέρος 3 του άρθρου 53 του ο νόμος της Ουκρανίας «Για τη μη κυβερνητική συνταξιοδοτική ασφάλιση»).
  • πληροφορίες σχετικά με την κατάσταση των συνταξιοδοτικών περιουσιακών στοιχείων που επενδύθηκαν στον λογαριασμό σωρευτικής σύνταξης του ασφαλισμένου (Μέρος 1 του άρθρου 98 του νόμου της Ουκρανίας «Σχετικά με τη νόμιμη ασφάλιση συντάξεων του κράτους»)·
  • πληροφορίες σχετικά με το αντικείμενο της σύμβασης για την ανάπτυξη επιστημονικής έρευνας ή έρευνας και ανάπτυξης και τεχνολογικών ρομπότ, την πρόοδο και τα αποτελέσματά τους (άρθρο 895 του Αστικού Κώδικα της Ουκρανίας)
  • Πληροφορίες που μπορούν να χρησιμοποιηθούν για την αναγνώριση του ατόμου ενός ανήλικου δράστη ή τι συνιστά το γεγονός της αυτοκτονίας του ανηλίκου (Μέρος 3 του άρθρου 62 του νόμου της Ουκρανίας «Σχετικά με τις τηλεοπτικές και ραδιοφωνικές επικοινωνίες»).
  • Πληροφορίες για τον αποθανόντα (άρθρο 7 του νόμου της Ουκρανίας «Περί κηδειών»).
    δηλώσεις σχετικά με την πληρωμή της εργασίας (άρθρο 31 του νόμου της Ουκρανίας «Περί πληρωμής εργασίας» Οι δηλώσεις σχετικά με την πληρωμή της εργασίας εκδίδονται μόνο σε περιπτώσεις νομοθεσίας, αλλά και κατά την κρίση του εργαζομένου).
  • αιτήσεις και υλικά για την έκδοση διπλωμάτων ευρεσιτεχνίας (άρθρο 19 του νόμου της Ουκρανίας «για την προστασία των δικαιωμάτων σε προϊόντα και μοντέλα»)·
  • πληροφορίες που μπορούν να βρεθούν στα κείμενα των δικαστικών αποφάσεων και καθιστούν δυνατή την ταυτοποίηση ενός φυσικού προσώπου, συμπεριλαμβανομένων: ονομάτων (ονόματα, σύμφωνα με τον πατέρα, ψευδώνυμο) φυσικών προσώπων. τόπος διαμονής ή φυσικής δραστηριότητας από καθορισμένες διευθύνσεις, αριθμούς τηλεφώνου και άλλα στοιχεία επικοινωνίας, διευθύνσεις ηλεκτρονικού ταχυδρομείου, αριθμούς αναγνώρισης (κωδικούς)· αριθμούς κυκλοφορίας οχημάτων μεταφοράς (άρθρο 7 του νόμου της Ουκρανίας «Σχετικά με την πρόσβαση στις αποφάσεις πλοίων»).
  • δεδομένα σχετικά με ένα άτομο που έχει τεθεί υπό προστασία από ποινικές διαδικασίες (άρθρο 15 του νόμου της Ουκρανίας «Σχετικά με τη διασφάλιση της ασφάλειας των προσώπων που συμμετέχουν σε ποινικές διαδικασίες»)·
  • υλικά της αίτησης φυσικού ή νομικού προσώπου για την καταχώριση της ποικιλίας Roslin, τα αποτελέσματα της εξέτασης της ποικιλίας Roslin (άρθρο 23 του νόμου της Ουκρανίας «Σχετικά με την προστασία των δικαιωμάτων στις ποικιλίες Roslin»)·
  • δεδομένα σχετικά με τον δικηγόρο στο δικαστήριο ή την υπηρεσία επιβολής του νόμου, τα οποία ελήφθησαν υπό προστασία (άρθρο 10 του νόμου της Ουκρανίας «Σχετικά με την κυριαρχική προστασία των αστυνομικών στο δικαστήριο και τις υπηρεσίες επιβολής του νόμου»).
  • ένα σύνολο αρχείων για άτομα που έχουν υποστεί βία (προσωπικά δεδομένα) που βρίσκονται στο Μητρώο, καθώς και πληροφορίες με κοινή πρόσβαση. (Μέρος 10, άρθρο 16 του νόμου της Ουκρανίας «για την πρόληψη και την πρόληψη της ενδοοικογενειακής βίας»).
  • Πληροφορίες σχετικά με την εμπιστευτικότητα των εμπορευμάτων που διακινούνται μέσω του στρατιωτικού κλωβού της Ουκρανίας (Μέρος 1 του άρθρου 263 του Στρατιωτικού Κώδικα της Ουκρανίας).
  • Πληροφορίες που πρέπει να περιλαμβάνονται στην αίτηση για κρατική καταχώριση φαρμάκων και συμπληρωμάτων σε αυτά (μέρος 8 του άρθρου 9 του Νόμου της Ουκρανίας «Περί φαρμακευτικών προϊόντων»).

#Φύγετε από τις αξιολογικές έννοιες

Υπάρχουν πολλές έννοιες αξιολόγησης στον GDPR. Οι έννοιες αποτίμησης σε μια χώρα χωρίς προηγούμενο νόμο (εννοεί την Ουκρανία) είναι περισσότερο χώρος για «αποφυγή ευθυνών» παρά χρήσιμες για τον πληθυσμό και τη χώρα συνολικά.

#Εισαγάγετε την έννοια του DPO

Ο υπεύθυνος προστασίας δεδομένων (DPO) είναι ανεξάρτητος εμπειρογνώμονας προστασίας δεδομένων. Η νομοθεσία πρέπει να ρυθμίζει ξεκάθαρα και χωρίς αξιολογικές έννοιες την ανάγκη υποχρεωτικού διορισμού εμπειρογνώμονα στη θέση του ΥΠΔ. Πώς το κάνουν στην Ευρωπαϊκή Ένωση γραμμένο εδώ.

#Προσδιορίστε το επίπεδο ευθύνης για παραβιάσεις στον τομέα των προσωπικών δεδομένων, διαφοροποιούν τα πρόστιμα ανάλογα με το μέγεθος (κέρδος) της εταιρείας.

  • 34 χιλιάδες εθνικού νομίσματος

    Δεν υπάρχει ακόμη κουλτούρα προστασίας των προσωπικών δεδομένων στην Ουκρανία· ο ισχύων νόμος «Για την προστασία των προσωπικών δεδομένων» λέει ότι «μια παράβαση συνεπάγεται ευθύνη που καθορίζεται από το νόμο». Το πρόστιμο βάσει του Διοικητικού Κώδικα για παράνομη πρόσβαση σε προσωπικά δεδομένα και για παραβίαση των δικαιωμάτων των υποκειμένων ανέρχεται σε 34,000 UAH.

  • 20 εκατ. ευρώ

    Το πρόστιμο για παραβίαση του GDPR είναι το μεγαλύτερο στον κόσμο – έως 20,000,000 ευρώ, ή έως και 4% του συνολικού ετήσιου κύκλου εργασιών της εταιρείας για το προηγούμενο οικονομικό έτος. Η Google έλαβε το πρώτο της πρόστιμο ύψους 50 εκατομμυρίων ευρώ για παραβιάσεις απορρήτου δεδομένων που αφορούσαν Γάλλους πολίτες.

  • 114 εκατ. ευρώ

    Το GDPR γιόρτασε τη 2η επέτειό του τον Μάιο και εισέπραξε 114 εκατομμύρια ευρώ σε πρόστιμα. Οι ρυθμιστικές αρχές στοχεύουν συχνά μεγάλες εταιρείες με εκατομμύρια δεδομένα χρηστών.

    Η αλυσίδα ξενοδοχείων Marriott International και η British Airways αντιμετωπίζουν πρόστιμα πολλών εκατομμυρίων δολαρίων φέτος για παραβιάσεις δεδομένων που αναμένεται να ξεπεράσουν την Google για τα υψηλότερα πρόστιμα. Οι ρυθμιστικές αρχές του Ηνωμένου Βασιλείου έχουν προειδοποιήσει ότι σχεδιάζουν να τους τιμωρήσουν συνολικού ύψους 366 εκατομμυρίων δολαρίων.

    Πρόστιμα με έξι μηδενικά επιβάλλονται σε παγκόσμιες εταιρείες των οποίων τις υπηρεσίες χρησιμοποιούμε καθημερινά. Ωστόσο, αυτό δεν σημαίνει ότι οι μικρές, άγνωστες εταιρείες δεν υπόκεινται σε κυρώσεις.

    Μια αυστριακή ταχυδρομική εταιρεία έλαβε πρόστιμο 18 εκατομμυρίων ευρώ για τη δημιουργία και την πώληση προφίλ 3 εκατομμυρίων ατόμων που περιείχαν πληροφορίες σχετικά με διευθύνσεις, προσωπικές προτιμήσεις και πολιτικές πεποιθήσεις.

    Μια υπηρεσία πληρωμών στη Λιθουανία δεν διέγραψε τα προσωπικά δεδομένα των πελατών όταν δεν υπήρχε πλέον ανάγκη επεξεργασίας και έλαβε πρόστιμο 61,000 ευρώ.

    Ένας μη κερδοσκοπικός οργανισμός στο Βέλγιο έστειλε άμεσο μάρκετινγκ μέσω email ακόμα και αφού οι παραλήπτες είχαν εξαιρεθεί και έλαβαν πρόστιμο 1000 ευρώ.

    1000 ευρώ δεν είναι τίποτα σε σύγκριση με τη ζημιά στη φήμη.

#Η ευτυχία δεν είναι στα πρόστιμα

"Όποιος θέλει να μάθει πληροφορίες για εμένα θα μάθει ούτως ή άλλως, παρά το νόμο" - αυτό λένε πολλοί άνθρωποι στην Ουκρανία και στις χώρες της ΚΑΚ, δυστυχώς.

Αλλά όλο και λιγότεροι άνθρωποι πιστεύουν την εσφαλμένη αντίληψη ότι «θα κλέψουν μια φωτογραφία διαβατηρίου και θα πάρουν δάνειο στο όνομά μου», γιατί ακόμη και με το πρωτότυπο του διαβατηρίου κάποιου άλλου στα χέρια σας είναι νομικά αδύνατο να το κάνετε αυτό.

Οι άνθρωποι χωρίζονται σε 2 στρατόπεδα:

  • Οι «παρανοϊκοί» που πιστεύουν στη θρησκεία των προσωπικών δεδομένων σκέφτονται πριν τσεκάρουν ένα πλαίσιο και συναινέσουν στην επεξεργασία δεδομένων.
  • «όσοι δεν νοιάζονται» ή άτομα που διαρρέουν αυτόματα τα προσωπικά τους δεδομένα στο δίκτυο, δεν σκέφτονται τις συνέπειες. Και μετά κλέβονται οι πιστωτικές τους κάρτες, εγγράφονται για επαναλαμβανόμενες πληρωμές, κλέβονται οι λογαριασμοί αγγελιοφόρων τους, τα email τους παραβιάζονται ή το κρυπτονόμισμα αποσύρεται από το πορτοφόλι τους.

Ελευθερία και δημοκρατία

Η προστασία των προσωπικών δεδομένων αφορά την ελευθερία επιλογής ενός ατόμου, την κουλτούρα της κοινωνίας και τη δημοκρατία. Είναι ευκολότερο να διαχειρίζεσαι την κοινωνία με περισσότερα δεδομένα· είναι δυνατό να προβλέψεις την επιλογή ενός ατόμου και να τον ωθήσεις στην επιθυμητή δράση. Είναι δύσκολο για έναν άνθρωπο να κάνει όπως θέλει αν τον παρακολουθούν, το άτομο γίνεται άνετο, με αποτέλεσμα ελεγχόμενο, δηλαδή το άτομο υποσυνείδητα δεν κάνει όπως θέλει, αλλά όπως πείστηκε να κάνει.

Ο GDPR δεν είναι τέλειος, αλλά εκπληρώνει την κύρια ιδέα και στόχο στην ΕΕ - οι Ευρωπαίοι έχουν συνειδητοποιήσει ότι ένα ανεξάρτητο άτομο κατέχει και διαχειρίζεται ανεξάρτητα τα προσωπικά του δεδομένα.

Η Ουκρανία βρίσκεται μόνο στην αρχή του ταξιδιού της, το έδαφος προετοιμάζεται. Από το κράτος, οι κάτοικοι θα λάβουν ένα νέο κείμενο νόμου, πιθανότατα ένα ανεξάρτητο ρυθμιστικό όργανο, αλλά οι ίδιοι οι Ουκρανοί πρέπει να έρθουν στις σύγχρονες ευρωπαϊκές αξίες και στην κατανόηση ότι η δημοκρατία το 2020 θα πρέπει να υπάρχει και στον ψηφιακό χώρο.

ΥΓ Γράφω στα social media. δίκτυα σχετικά με τη νομολογία και τις επιχειρήσεις πληροφορικής. Θα χαρώ αν εγγραφείτε σε έναν από τους λογαριασμούς μου. Αυτό σίγουρα θα προσθέσει κίνητρο για να αναπτύξετε το προφίλ σας και να εργαστείτε πάνω στο περιεχόμενο.

Facebook
Instagram

Μόνο εγγεγραμμένοι χρήστες μπορούν να συμμετάσχουν στην έρευνα. Συνδεθείτε, Σας παρακαλούμε.

Γράψτε για τη νομοθεσία της Ρωσικής Ομοσπονδίας για τα προσωπικά δεδομένα;

  • 51,4%ναι19

  • 48,6%προτιμήστε άλλο θέμα18

Ψήφισαν 37 χρήστες. 19 χρήστες απείχαν.

Πηγή: www.habr.com

Προσθέστε ένα σχόλιο