نشت اطلاعات در اوکراین موازی با قوانین اتحادیه اروپا

رسوایی درز اطلاعات گواهینامه رانندگی از طریق ربات تلگرام در سراسر اوکراین غوغا کرد. در ابتدا سوء ظن ها متوجه برنامه خدمات دولتی "DIYA" شد، اما دخالت این برنامه در این حادثه به سرعت رد شد. سؤالات مجموعه "چه کسی داده ها را فاش کرد و چگونه" به دولت ارائه شده توسط پلیس اوکراین، SBU و کارشناسان رایانه و فنی سپرده می شود، اما موضوع انطباق قوانین ما در مورد حفاظت از داده های شخصی با واقعیت های عصر دیجیتال توسط نویسنده نشریه، ویاچسلاو اوستیمنکو، مشاور شرکت حقوقی آیکن پارتنرز در نظر گرفته شد.

اوکراین در تلاش برای پیوستن به اتحادیه اروپا است و این مستلزم اتخاذ استانداردهای اروپایی برای حفاظت از داده های شخصی است.

بیایید یک مورد را شبیه سازی کنیم و تصور کنیم که یک سازمان غیرانتفاعی از اتحادیه اروپا به همان میزان داده های گواهینامه رانندگی را درز کرده است و این واقعیت توسط آژانس های اجرای قانون محلی مشخص شده است.

در اتحادیه اروپا، بر خلاف اوکراین، مقرراتی در مورد حفاظت از داده های شخصی وجود دارد - GDPR.

نشت نشان دهنده نقض اصول شرح داده شده در:

• ماده 25 GDPR حفاظت از داده های شخصی بر اساس طراحی و به طور پیش فرض؛
• ماده 32 GDPR. امنیت پردازش؛
• ماده 5 بند 1.f GDPR. اصل صداقت و رازداری.

در اتحادیه اروپا، جریمه های نقض GDPR به صورت جداگانه محاسبه می شود، در عمل آنها 200,000 یورو جریمه می شوند.

آنچه باید در اوکراین تغییر کند

رویه به دست آمده در فرآیند حمایت از فناوری اطلاعات و کسب و کارهای آنلاین چه در اوکراین و چه در خارج از کشور، مشکلات و دستاوردهای GDPR را نشان داده است.

در زیر شش تغییر وجود دارد که باید در قوانین اوکراین اعمال شود.

#چارچوب قانونی را با عصر دیجیتال تطبیق دهید

از زمان امضای توافقنامه ارتباط با اتحادیه اروپا، اوکراین در حال توسعه قوانین جدید حفاظت از داده ها بوده است و GDPR به یک چراغ راهنما تبدیل شده است.

تصویب قانون حفاظت از داده های شخصی چندان آسان نبود. به نظر می رسد که یک "اسکلت" در قالب مقررات GDPR وجود دارد و شما فقط باید "گوشت" را بسازید (هنجارها را تطبیق دهید)، اما بسیاری از مسائل بحث برانگیز، هم از نقطه نظر عمل و هم از نظر قانون، به وجود می آیند. .

به عنوان مثال:

• داده های باز شده شخصی در نظر گرفته می شود،
• آیا قانون برای سازمان های مجری قانون اعمال می شود؟
• مسئولیت تخطی از قانون چیست، آیا میزان جریمه ها با جریمه های اروپایی و غیره قابل مقایسه خواهد بود؟

نکته کلیدی این است که قانون باید اقتباس شود و از GDPR کپی نشود. هنوز بسیاری از مشکلات حل نشده در اوکراین وجود دارد که برای کشورهای اتحادیه اروپا معمول نیست.

#یکپارچه سازی اصطلاحات

مشخص کنید که داده های شخصی و اطلاعات محرمانه چیست. قانون اساسی اوکراین، ماده 32، پردازش اطلاعات محرمانه را ممنوع می کند. تعریف اطلاعات محرمانه حداقل در بیست قانون آمده است.

نقل قول از منبع اصلی به زبان اوکراینی در اینجا

• اطلاعات در مورد ملیت، تحصیلات، فرهنگ خانواده، تغییرات مذهبی، وضعیت سلامت، آدرس، تاریخ و محل تولد (بخش 2 ماده 11 قانون اوکراین "درباره اطلاعات").
• اطلاعات در مورد محل سکونت (بخش 8 از ماده 6 قانون اوکراین "در مورد آزادی انتقال و انتخاب آزادانه اقامت در اوکراین")؛
• اطلاعاتی در مورد ویژگی های زندگی جوامع، به دست آمده از وحشیانه جوامع (ماده 10 قانون اوکراین "در مورد وحشیانه جوامع").
• داده های اولیه حذف شده در روند انجام سرشماری نفوس (ماده 16 قانون اوکراین "در مورد سرشماری جمعیت سراسر اوکراین")؛
• اظهاراتی که توسط متقاضی برای به رسمیت شناختن به عنوان پناهنده یا حمایت ویژه ارائه می شود، که به حمایت اضافی نیاز دارد (بخش 10، ماده 7 قانون اوکراین "در مورد پناهندگان و حمایت ویژه، که نیاز به حمایت اضافی یا به موقع دارد").
• اطلاعات مربوط به سپرده‌های بازنشستگی، پرداخت‌های بازنشستگی و درآمد سرمایه‌گذاری (مازاد) که به حساب بازنشستگی فردی مشارکت‌کننده صندوق بازنشستگی، حساب سپرده بازنشستگی دارایی‌های فیزیکی ib، قراردادهای بیمه بازنشستگی پیش از سن تخصیص می‌یابد (بخش 3 ماده 53 قانون اوکراین "در مورد بیمه بازنشستگی غیر دولتی")؛
• اطلاعاتی در مورد وضعیت دارایی های بازنشستگی سرمایه گذاری شده در حساب بازنشستگی انباشته شخص بیمه شده (بخش 1 ماده 98 قانون اوکراین "در مورد بیمه بازنشستگی دولتی قانونی").
• اطلاعات در مورد موضوع قرارداد برای توسعه تحقیقات علمی یا تحقیق و توسعه و ربات های فناورانه، پیشرفت و نتایج آنها (ماده 895 قانون مدنی اوکراین)
• اطلاعاتی که می تواند برای شناسایی شخص مجرم خردسال یا آنچه که واقعیت خودکشی خردسال را تشکیل می دهد استفاده شود (بخش 3 ماده 62 قانون اوکراین "در مورد ارتباطات تلویزیونی و رادیویی").
• اطلاعات در مورد متوفی (ماده 7 قانون اوکراین "در مورد خدمات تشییع جنازه")؛
  اظهارات در مورد پرداخت نیروی کار برای یک کارگر (ماده 31 قانون اوکراین "درباره پرداخت کار" اظهارات در مورد پرداخت برای کار فقط در موارد قانون صادر می شود، بلکه به تشخیص کارگر نیز صادر می شود).
• برنامه ها و مواد برای صدور حق ثبت اختراع (ماده 19 قانون اوکراین "در مورد حمایت از حقوق محصولات و مدل ها")؛
• اطلاعاتی که در متون تصمیمات دادگاه یافت می شود و شناسایی یک شخص فیزیکی را ممکن می سازد، از جمله: نام (اسامی، مطابق با نام مستعار پدر) افراد فیزیکی؛ محل سکونت یا فعالیت بدنی از آدرس های تعیین شده، شماره تلفن و سایر اطلاعات تماس، آدرس ایمیل، شماره شناسایی (کد)؛ شماره ثبت وسایل نقلیه حمل و نقل (ماده 7 قانون اوکراین "در مورد دسترسی به تصمیمات کشتی").
• داده های مربوط به شخصی که تحت حمایت از دادرسی کیفری قرار گرفته است (ماده 15 قانون اوکراین "در مورد اطمینان از ایمنی افرادی که در دادرسی کیفری شرکت می کنند").
• مواد درخواست یک شخص فیزیکی یا حقوقی برای ثبت انواع Roslin، نتایج بررسی انواع Roslin (ماده 23 قانون اوکراین "در مورد حمایت از حقوق انواع Roslin")؛
• داده های مربوط به وکیل به دادگاه یا آژانس اجرای قانون، تحت حمایت (ماده 10 قانون اوکراین "در مورد حمایت حاکمیتی از افسران پلیس از دادگاه و سازمان های اجرای قانون")؛
• مجموعه‌ای از سوابق در مورد افرادی که متحمل خشونت شده‌اند (داده‌های شخصی) که در رجیستر قرار دارد و همچنین اطلاعاتی با دسترسی مشترک. (بخش 10، ماده 16 قانون اوکراین "در مورد پیشگیری و پیشگیری از خشونت خانگی")؛
• اطلاعات مربوط به محرمانه بودن کالاهایی که از طریق حلقه نظامی اوکراین حرکت می کنند (بخش 1 ماده 263 قانون نظامی اوکراین).
• اطلاعاتی که باید در درخواست ثبت دولتی محصولات دارویی و مکمل های آنها درج شود (قسمت 8 ماده 9 قانون اوکراین "در مورد محصولات دارویی").

#از مفاهیم ارزشیابی دور شوید

مفاهیم ارزیابی بسیاری در GDPR وجود دارد. مفاهیم ارزش گذاری در کشوری بدون قانون پیشین (به معنای اوکراین) بیشتر فضایی برای «فرار از مسئولیت» است تا برای جمعیت و کشور به طور کلی مفید باشد.

#مفهوم DPO را معرفی کنید

افسر حفاظت از داده ها (DPO) یک کارشناس مستقل حفاظت از داده ها است. قانون باید به وضوح و بدون مفاهیم ارزشی، لزوم انتصاب اجباری یک کارشناس در سمت DPO را تنظیم کند. چگونه آنها این کار را در اتحادیه اروپا انجام می دهند اینجا نوشته شده است.

#تعیین سطح مسئولیت در قبال تخلفات در زمینه داده های شخصی، جریمه ها را بسته به اندازه (سود) شرکت متمایز کنید.

• 34 هزار گریونا

  هنوز فرهنگ حفاظت از داده های شخصی در اوکراین وجود ندارد؛ قانون فعلی "در مورد حفاظت از داده های شخصی" می گوید که "نقض مستلزم مسئولیتی است که توسط قانون تعیین شده است." جریمه طبق قانون اداری برای دسترسی غیرقانونی به داده های شخصی و نقض حقوق افراد تا 34,000 UAH است.

• 20 میلیون یورو

  جریمه نقض GDPR بزرگترین جریمه در جهان است - تا 20,000,000 یورو یا حداکثر 4٪ از کل گردش مالی سالانه شرکت در سال مالی قبل. گوگل اولین جریمه 50 میلیون یورویی خود را به دلیل نقض حریم خصوصی داده های شهروندان فرانسوی دریافت کرد.

• 114 میلیون یورو

  GDPR دومین سالگرد خود را در ماه می جشن گرفت و 2 میلیون یورو جریمه دریافت کرد. رگولاتورها اغلب شرکت های غول پیکر با میلیون ها داده کاربر را هدف قرار می دهند.

  هتل‌های زنجیره‌ای ماریوت اینترنشنال و بریتیش ایرویز امسال با جریمه‌های چند میلیون دلاری به دلیل نقض داده‌ها که انتظار می‌رود گوگل را برای بالاترین جریمه‌ها شکست دهد، روبرو هستند. رگولاتورهای بریتانیا هشدار داده اند که قصد دارند مجموعاً 366 میلیون دلار آنها را جریمه کنند.

  جریمه هایی با شش صفر برای شرکت های جهانی صادر می شود که ما هر روز از خدمات آنها استفاده می کنیم. با این حال، این بدان معنا نیست که شرکت های کوچک و ناآشنا مشمول جریمه نمی شوند.

  یک شرکت پست اتریشی به دلیل ایجاد و فروش پروفایل های 18 میلیون نفر که حاوی اطلاعاتی در مورد آدرس، ترجیحات شخصی و وابستگی های سیاسی بود، 3 میلیون یورو جریمه دریافت کرد.

  یک سرویس پرداخت در لیتوانی زمانی که دیگر نیازی به پردازش نبود، اطلاعات شخصی مشتریان را حذف نکرد و جریمه 61,000 یورویی دریافت کرد.

  یک سازمان غیرانتفاعی در بلژیک حتی پس از انصراف گیرندگان و دریافت جریمه 1000 یورویی، بازاریابی مستقیم ایمیل ارسال کرد.

  1000 یورو در مقابل صدمه به شهرت چیزی نیست.

#خوشبختی در جریمه نیست

"هر کسی که بخواهد اطلاعاتی در مورد من بداند، به هر حال، علیرغم قانون، متوجه خواهد شد" - این چیزی است که بسیاری از مردم در اوکراین و کشورهای مستقل مشترک المنافع متاسفانه می گویند.

اما کمتر و کمتر مردم این تصور غلط را باور می کنند که «عکس پاسپورت را می دزدند و به نام من وام می گیرند»، زیرا حتی با در دست داشتن اصل گذرنامه شخص دیگری، انجام این کار از نظر قانونی غیرممکن است.

افراد به 2 کمپ تقسیم می شوند:

• «پارانوئیدها» که به دین داده های شخصی اعتقاد دارند، قبل از علامت زدن کادر و رضایت به پردازش داده ها فکر می کنند.
• "کسانی که اهمیتی نمی دهند" یا افرادی که به طور خودکار اطلاعات شخصی خود را به شبکه درز می کنند، به عواقب آن فکر نمی کنند. و سپس کارت های اعتباری آنها دزدیده می شود، آنها برای پرداخت های مکرر ثبت نام می کنند، حساب های پیام رسان آنها به سرقت می رود، ایمیل های آنها هک می شود، یا ارز دیجیتال از کیف پول آنها خارج می شود.

آزادی و دموکراسی

حفاظت از داده های شخصی در مورد آزادی انتخاب یک فرد، فرهنگ جامعه و دموکراسی است. مدیریت جامعه با داده های بیشتر آسان تر است؛ می توان انتخاب فرد را پیش بینی کرد و او را به سمت عمل مورد نظر سوق داد. برای انسان سخت است که اگر تحت نظر باشد، آنطور که می‌خواهد عمل کند، فرد راحت می‌شود و در نتیجه کنترل‌شده می‌شود، یعنی فرد ناخودآگاه آن‌طور که می‌خواهد انجام نمی‌دهد، بلکه آن‌طور که متقاعد شده است انجام می‌دهد.

GDPR کامل نیست، اما ایده و هدف اصلی را در اتحادیه اروپا برآورده می کند - اروپایی ها متوجه شده اند که یک فرد مستقل به طور مستقل مالک و مدیریت داده های شخصی خود است.

اوکراین تنها در آغاز سفر خود است، زمینه در حال آماده شدن است. از طرف دولت، ساکنان متن جدیدی از قانون را دریافت خواهند کرد، به احتمال زیاد یک نهاد نظارتی مستقل، اما خود اوکراینی ها باید به ارزش های مدرن اروپایی و درک این موضوع که دموکراسی در سال 2020 باید در فضای دیجیتال نیز وجود داشته باشد، بیایند.

PS من در شبکه های اجتماعی می نویسم. شبکه های مربوط به فقه و تجارت فناوری اطلاعات. خوشحال می شوم اگر در یکی از حساب های من مشترک شوید. این مطمئناً انگیزه ای برای توسعه نمایه و کار بر روی محتوا ایجاد می کند.

فیس بوک
اینستاگرام

فقط کاربران ثبت نام شده می توانند در نظرسنجی شرکت کنند. ورود، لطفا.

در مورد قانون فدراسیون روسیه در مورد داده های شخصی بنویسید؟

• ٪۱۰۰بله 19

• ٪۱۰۰بهتر است موضوع دیگری انتخاب کنید18

37 کاربر رای دادند. 19 کاربر رای ممتنع دادند.

منبع: www.habr.com