ProHoster > Blog > administration > Fuite de données en Ukraine. Parallèles avec la législation européenne

Fuite de données en Ukraine. Parallèles avec la législation européenne

Fuite de données en Ukraine. Parallèles avec la législation européenne

Le scandale de la fuite des données du permis de conduire via le robot Telegram a tonné dans toute l'Ukraine. Les soupçons se sont portés dans un premier temps sur l’application des services gouvernementaux « DIYA », mais son implication dans cet incident a été rapidement démentie. Les questions de la série « Qui a divulgué les données et comment » seront confiées à l'État représenté par la police ukrainienne, le SBU et des experts informatiques et techniques, mais la question de la conformité de notre législation sur la protection des données personnelles avec les réalités de l'ère numérique a été envisagée par l'auteur de la publication, Vyacheslav Ustimenko, consultant au cabinet d'avocats Icon Partners.

L'Ukraine s'efforce d'adhérer à l'UE, ce qui implique l'adoption de normes européennes en matière de protection des données personnelles.

Simulons un cas et imaginons qu'une organisation à but non lucratif de l'UE ait divulgué la même quantité de données sur les permis de conduire et que ce fait ait été déterminé par les forces de l'ordre locales.

Dans l'UE, contrairement à l'Ukraine, il existe un règlement sur la protection des données personnelles - le RGPD.

La fuite indique des violations des principes décrits dans :

  • Article 25 RGPD Protection des données personnelles dès la conception et par défaut ;
  • Article 32 du RGPD. Sécurité du traitement ;
  • Article 5, paragraphe 1.f du RGPD. Principe d'intégrité et de confidentialité.

Dans l’UE, les amendes en cas de violation du RGPD sont calculées individuellement ; en pratique, elles s’élèveraient à plus de 200,000 XNUMX euros.

Ce qui devrait être changé en Ukraine

La pratique acquise dans le processus de soutien aux entreprises informatiques et en ligne, tant en Ukraine qu'à l'étranger, a montré les problèmes et les réalisations du RGPD.

Vous trouverez ci-dessous six changements qui devraient être introduits dans la législation ukrainienne.

#Adapter le cadre législatif à l'ère numérique

Depuis la signature de l’accord d’association avec l’UE, l’Ukraine a élaboré une nouvelle législation sur la protection des données, et le RGPD est devenu un modèle de référence.

Adopter une loi sur la protection des données personnelles n’a pas été si simple. Il semble qu'il existe un « squelette » sous la forme du règlement RGPD et qu'il suffit de construire la « viande » (adapter les normes), mais de nombreuses questions controversées surviennent, tant du point de vue de la pratique que du point de vue de la loi. .

Par exemple:

  • les données ouvertes seront-elles considérées comme personnelles,
  • la loi s'appliquera-t-elle aux forces de l'ordre,
  • quelle est la responsabilité en cas de violation de la loi, le montant des amendes sera-t-il comparable à celui européen, etc.

Le point clé est que la législation doit être adaptée et non copiée du RGPD. Il existe encore en Ukraine de nombreux problèmes non résolus qui ne sont pas typiques des pays de l’UE.

#Unifier la terminologie

Déterminez ce que sont les données personnelles et les informations confidentielles. L'article 32 de la Constitution ukrainienne interdit le traitement d'informations confidentielles. La définition des informations confidentielles est contenue dans au moins vingt lois.

Citations de la source originale en ukrainien ici

  • des informations sur la nationalité, l'éducation, la culture familiale, les changements religieux, l'état de santé, les adresses, la date et le lieu de naissance (partie 2 de l'article 11 de la loi ukrainienne « sur l'information ») ;
  • des informations sur le lieu de résidence (partie 8 de l'article 6 de la loi ukrainienne « sur la liberté de transfert et le libre choix de résidence en Ukraine ») ;
  • des informations sur les particularités de la vie des communautés, obtenues grâce à la brutalisation des communautés (article 10 de la loi ukrainienne « Sur la brutalisation des communautés ») ;
  • les données primaires supprimées au cours du processus de recensement de la population (article 16 de la loi ukrainienne « sur le recensement de la population panukrainien » );
  • les déclarations soumises par le demandeur pour une reconnaissance en tant que réfugié ou une protection spéciale, qui nécessiteront une protection supplémentaire (partie 10, article 7 de la loi ukrainienne « sur les réfugiés et une protection spéciale, qui nécessiteront une protection supplémentaire ou en temps opportun »);
  • des informations sur les dépôts de pension, les versements de pension et les revenus de placement (excédent) qui sont affectés au compte de pension individuel d'un participant à un fonds de pension, au compte de dépôt de pension d'actifs physiques ib, aux contrats d'assurance pension de préâge (partie 3 de l'article 53 de la loi ukrainienne « sur l'assurance pension non gouvernementale » ;
  • des informations sur l'état des avoirs de retraite investis dans le compte de retraite accumulé de la personne assurée (partie 1 de l'article 98 de la loi ukrainienne « sur l'assurance pension légale de l'État ») ;
  • des informations sur l'objet du contrat pour le développement de la recherche scientifique ou de la recherche et développement et des robots technologiques, leurs progrès et leurs résultats (article 895 du Code civil de l'Ukraine)
  • Informations pouvant être utilisées pour identifier la personne d'un délinquant mineur ou ce qui constitue le fait du suicide du mineur (partie 3 de l'article 62 de la loi ukrainienne « sur les communications télévisées et radiophoniques ») ;
  • Informations sur le défunt (article 7 de la loi ukrainienne « sur les services funéraires » );
    déclarations sur le paiement du travail d'un travailleur (article 31 de la loi ukrainienne « sur le paiement du travail ». Les déclarations sur le paiement du travail ne sont émises que dans les cas prévus par la législation, mais également à la discrétion du travailleur );
  • demandes et documents pour la délivrance de brevets (article 19 de la loi ukrainienne « sur la protection des droits sur les produits et les modèles ») ;
  • les informations pouvant être trouvées dans les textes des décisions de justice et permettant d’identifier une personne physique, notamment : les noms (noms, selon le surnom du Père) des personnes physiques ; lieu de résidence ou d'activité physique à partir d'adresses désignées, de numéros de téléphone et d'autres coordonnées, d'adresses e-mail, de numéros d'identification (codes) ; numéros d'immatriculation des véhicules de transport (article 7 de la loi ukrainienne « sur les décisions relatives à l'accès aux navires »).
  • données sur une personne placée sous protection contre une procédure pénale (article 15 de la loi ukrainienne « sur la garantie de la sécurité des personnes qui participent à une procédure pénale ») ;
  • les documents de la demande d'une personne physique ou morale pour l'enregistrement de la variété Roslin, les résultats de l'examen de la variété Roslin (article 23 de la loi ukrainienne « sur la protection des droits sur les variétés Roslin » );
  • les données sur l'avocat auprès du tribunal ou des forces de l'ordre, prises sous protection (article 10 de la loi ukrainienne « sur la protection souveraine des policiers auprès des tribunaux et des forces de l'ordre » );
  • un ensemble d'enregistrements sur les personnes ayant subi des violences (données personnelles) qui se trouvent dans le registre, ainsi que des informations à accès partagé. (Partie 10, article 16 de la loi ukrainienne « sur la prévention et la prévention de la violence domestique ») ;
  • Informations concernant la confidentialité des marchandises qui transitent par le cordon militaire de l'Ukraine (partie 1 de l'article 263 du Code militaire de l'Ukraine) ;
  • Informations qui doivent être incluses dans la demande d'enregistrement public des médicaments et de leurs compléments (partie 8 de l'article 9 de la loi ukrainienne « sur les médicaments » );

#Éloignez-vous des concepts évaluatifs

Il existe de nombreux concepts d'évaluation dans le RGPD. Les concepts d’évaluation dans un pays sans précédent (c’est-à-dire l’Ukraine) sont plus un espace pour « échapper à la responsabilité » qu’utiles pour la population et le pays dans son ensemble.

#Introduire le concept de DPO

Le délégué à la protection des données (DPD) est un expert indépendant en matière de protection des données. La législation doit réglementer clairement et sans concepts évaluatifs la nécessité de la nomination obligatoire d'un expert au poste de DPD. Comment ils le font dans l'Union européenne écrit ici.

#Déterminer le niveau de responsabilité en cas de violations dans le domaine des données personnelles, différencier les amendes en fonction de la taille (bénéfice) de l'entreprise.

  • 34 mille hryvnia

    Il n’existe toujours pas de culture de protection des données personnelles en Ukraine ; la loi actuelle « sur la protection des données personnelles » stipule qu’« une violation entraîne la responsabilité établie par la loi ». L'amende prévue par le Code administratif pour accès illégal aux données personnelles et pour violation des droits des sujets peut aller jusqu'à 34,000 XNUMX UAH.

  • 20 millions d'euros

    L’amende en cas de violation du RGPD est la plus élevée au monde – jusqu’à 20,000,000 4 50 d’euros, soit jusqu’à XNUMX % du chiffre d’affaires annuel total de l’entreprise pour l’exercice précédent. Google a reçu sa première amende de XNUMX millions d'euros pour des violations de la confidentialité des données impliquant des citoyens français.

  • 114 millions d'euros

    Le RGPD a fêté son 2e anniversaire en mai et a récolté 114 millions d'euros d'amendes. Les régulateurs ciblent souvent les entreprises géantes possédant des millions de données utilisateur.

    Les chaînes hôtelières Marriott International et British Airways risquent cette année des amendes de plusieurs millions de dollars pour violations de données, qui devraient devancer Google pour les amendes les plus élevées. Les régulateurs britanniques ont prévenu qu'ils envisageaient de les pénaliser pour un montant estimé à 366 millions de dollars.

    Des amendes de six zéros sont infligées aux entreprises mondiales dont nous utilisons quotidiennement les services. Toutefois, cela ne signifie pas que les petites entreprises peu connues ne sont pas soumises à des sanctions.

    Une entreprise postale autrichienne a été condamnée à une amende de 18 millions d'euros pour avoir créé et vendu des profils de 3 millions de personnes contenant des informations sur leurs adresses, préférences personnelles et affiliations politiques.

    Un service de paiement lituanien n'a pas supprimé les données personnelles de ses clients alors que leur traitement n'était plus nécessaire et a été condamné à une amende de 61,000 XNUMX euros.

    Une organisation à but non lucratif en Belgique a envoyé des e-mails marketing directs même après que les destinataires se soient désistés et aient reçu une amende de 1000 XNUMX €.

    1000 euros, ce n'est rien comparé à l'atteinte à la réputation.

#Le bonheur n'est pas dans les amendes

"Quiconque veut connaître des informations sur moi le saura de toute façon, malgré la loi" - c'est malheureusement ce que disent beaucoup de gens en Ukraine et dans les pays de la CEI.

Mais de moins en moins de gens croient à l’idée fausse selon laquelle « ils voleront une photo d’identité et contracteront un emprunt à mon nom », car même avec l’original du passeport de quelqu’un d’autre entre les mains, il est légalement impossible de le faire.

Les gens sont divisés en 2 camps :

  • Les « paranoïaques » qui croient à la religion des données personnelles réfléchissent avant de cocher une case et de consentir au traitement des données.
  • «Ceux qui s'en moquent», ou ceux qui divulguent automatiquement leurs données personnelles sur le réseau, ne pensent pas aux conséquences. Et puis leurs cartes de crédit sont volées, ils s'inscrivent à des paiements récurrents, leurs comptes de messagerie sont volés, leurs e-mails sont piratés ou la cryptomonnaie est retirée de leur portefeuille.

Liberté et démocratie

La protection des données personnelles concerne la liberté de choix d'une personne, la culture de la société et la démocratie. Il est plus facile de gérer la société avec plus de données ; il est possible de prédire le choix d’une personne et de la pousser à l’action souhaitée. Il est difficile pour une personne de faire ce qu'elle veut si elle est surveillée, si elle devient à l'aise et, par conséquent, contrôlée, c'est-à-dire qu'elle ne fait inconsciemment pas ce qu'elle veut, mais ce qu'elle était convaincue de faire.

Le RGPD n'est pas parfait, mais il répond à l'idée et à l'objectif principal de l'UE : les Européens ont réalisé qu'une personne indépendante possède et gère ses données personnelles de manière indépendante.

L’Ukraine n’en est qu’au début de son voyage, le terrain est en train d’être préparé. De l'État, les résidents recevront un nouveau texte de loi, très probablement un organisme de réglementation indépendant, mais les Ukrainiens eux-mêmes doivent accepter les valeurs européennes modernes et comprendre que la démocratie en 2020 devrait également exister dans l'espace numérique.

PS J'écris sur les réseaux sociaux. réseaux sur la jurisprudence et les affaires informatiques. Je serai ravi si vous vous abonnez à l'un de mes comptes. Cela ajoutera certainement de la motivation pour développer votre profil et travailler sur le contenu.

Facebook
Instagram

Seuls les utilisateurs enregistrés peuvent participer à l'enquête. se connecters'il te plait.

Écrire sur la législation de la Fédération de Russie sur les données personnelles ?

  • 51,4%Oui 19

  • 48,6%mieux vaut choisir un autre sujet18

37 utilisateurs ont voté. 19 utilisateurs se sont abstenus.

Source: habr.com

Ajouter un commentaire