Fuga de datos en Ucraína. Paralelos coa lexislación da UE

O escándalo coa filtración de datos do carné de conducir a través dun bot de Telegram tronou en toda Ucraína. Inicialmente, as sospeitas recaeron na aplicación de servizos gobernamentais "DIYA", pero a participación da aplicación neste incidente foi rapidamente negada. As preguntas da serie "quen filtrou os datos e como" serán confiadas ao estado representado pola policía ucraína, o SBU e os expertos informáticos e técnicos, pero a cuestión do cumprimento da nosa lexislación sobre protección de datos persoais coas realidades de a era dixital foi considerada polo autor da publicación, Vyacheslav Ustimenko, consultor do bufete de avogados Icon Partners.

Ucraína está esforzándose por unirse á UE, e iso implica a adopción de normas europeas para a protección de datos persoais.

Simulemos un caso e imaxinemos que unha organización sen ánimo de lucro da UE filtrase a mesma cantidade de datos do carné de conducir e este feito foi determinado polas forzas da orde locais.

Na UE, a diferenza de Ucraína, existe un regulamento sobre a protección de datos persoais - GDPR.

A filtración indica violacións dos principios descritos en:

• Artigo 25 GDPR Protección de datos persoais por deseño e por defecto;
• Artigo 32 GDPR. Seguridade do tratamento;
• Artigo 5 cláusula 1.f GDPR. Principio de integridade e confidencialidade.

Na UE, as multas por violación do GDPR calcúlanse individualmente, na práctica serían multadas con máis de 200,000 euros.

O que debe ser cambiado en Ucraína

A práctica adquirida no proceso de apoio ás empresas informáticas e en liña tanto en Ucraína como no estranxeiro mostrou os problemas e logros do GDPR.

Abaixo amósanse seis cambios que deberían introducirse na lexislación ucraína.

#Adaptar o marco lexislativo á era dixital

Desde a sinatura do Acordo de Asociación coa UE, Ucraína desenvolveu unha nova lexislación sobre protección de datos e o GDPR converteuse nunha luz orientadora.

Aprobar unha lei de protección de datos persoais non foi tan fácil. Parece que hai un "esqueleto" en forma de regulación GDPR e só hai que construír a "carne" (adaptar as normas), pero xorden moitas cuestións controvertidas, tanto desde o punto de vista da práctica como da lei. .

Por exemplo:

• os datos abertos serán considerados persoais,
• aplicarase a lei aos organismos encargados de facer cumprir a lei,
• cal é a responsabilidade de incumprir a lei, a contía das multas será equiparable ás europeas, etc.

O punto clave é que a lexislación debe ser adaptada e non copiada do GDPR. Aínda hai moitos problemas sen resolver en Ucraína que non son típicos dos países da UE.

#Unificar terminoloxía

Determina que son datos persoais e información confidencial. O artigo 32 da Constitución de Ucraína prohibe o procesamento de información confidencial. A definición de información confidencial contén polo menos vinte Leis.

Citas da fonte orixinal en ucraíno aquí

• información sobre nacionalidade, educación, historia familiar, cambios relixiosos, estado de saúde, enderezos, data e lugar de nacemento (Parte 2 do artigo 11 da Lei de Ucraína "Sobre información");
• información sobre o lugar de residencia (parte 8 do artigo 6 da Lei de Ucraína "Sobre a liberdade de transferencia e a libre elección de residencia en Ucraína");
• información sobre as peculiaridades da vida das comunidades, obtida a partir da brutalización das comunidades (artigo 10 da Lei de Ucraína "Sobre a brutalización das comunidades");
• os datos primarios eliminados no proceso de realización do censo de poboación (artigo 16 da Lei de Ucraína "Sobre o censo de poboación de todo ucraíno");
• declaracións presentadas polo solicitante para o recoñecemento como refuxiado ou protección especial, que requirirá protección adicional (parte 10, artigo 7 da Lei de Ucraína "Sobre refuxiados e protección especial, que requirirá protección adicional ou oportuna");
• información sobre depósitos de pensións, pagamentos de pensións e ingresos de investimento (excedente) que se asigna á conta individual de pensións dun participante dun fondo de pensións, conta de depósitos de pensións dos activos físicos ib, contratos de seguro de pensións anticipadas (parte 3 do artigo 53 do a Lei de Ucraína "sobre o seguro de pensións non gobernamentais" ;
• información sobre o estado dos activos de pensións investidos na conta de pensións acumuladas da persoa asegurada (parte 1 do artigo 98 da Lei de Ucraína "Sobre o seguro de pensións do Estado legal");
• información sobre o obxecto do contrato para o desenvolvemento de investigación científica ou de investigación e desenvolvemento e robots tecnolóxicos, o seu progreso e resultados (artigo 895 do Código Civil de Ucraína)
• Información que se pode usar para identificar a persoa dun delincuente menor ou que constitúe o feito do suicidio do menor (Parte 3 do artigo 62 da Lei de Ucraína "En comunicacións de radio e televisión");
• Información sobre o falecido (artigo 7 da Lei de Ucraína "Sobre servizos funerarios");
  declaracións sobre o pagamento do traballo (artigo 31 da Lei de Ucraína "Sobre o pago do traballo" As declaracións sobre o pago do traballo son emitidas só nos casos de lexislación, pero tamén a discreción do traballador);
• solicitudes e materiais para a emisión de patentes (artigo 19 da Lei de Ucraína "sobre a protección dos dereitos de produtos e modelos");
• información que se pode atopar nos textos das decisións xudiciais e que permite identificar unha persoa física, incluíndo: nomes (nomes, segundo pai, alcume) de persoas físicas; lugar de residencia ou actividade física a partir de enderezos designados, números de teléfono e outros datos de contacto, enderezos de correo electrónico, números de identificación (códigos); números de matrícula dos vehículos de transporte (artigo 7 da Lei de Ucraína "Sobre o acceso ás decisións dos buques").
• datos sobre unha persoa tomada baixo a protección de procesos penais (artigo 15 da Lei de Ucraína "Sobre garantir a seguridade das persoas que participan nun proceso penal");
• materiais da solicitude dunha persoa física ou xurídica para o rexistro da variedade Roslin, os resultados do exame da variedade Roslin (artigo 23 da Lei de Ucraína "Sobre a protección dos dereitos das variedades Roslin");
• datos sobre o avogado ao xulgado ou á axencia de aplicación da lei, tomados baixo protección (artigo 10 da Lei de Ucraína "Sobre a protección soberana dos axentes de policía ao xulgado e ás axencias de aplicación da lei");
• un conxunto de rexistros sobre persoas que sufriron violencia (datos persoais) que se atopa no Rexistro, así como información con acceso compartido. (Parte 10, artigo 16 da Lei de Ucraína "sobre a prevención e prevención da violencia doméstica");
• Información sobre a confidencialidade das mercadorías que se desprazan polo cordón militar de Ucraína (Parte 1 do artigo 263 do Código Militar de Ucraína);
• Información que debe incluírse na solicitude de rexistro estatal de medicamentos e suplementos a eles (parte 8 do artigo 9 da Lei de Ucraína "Sobre medicamentos");

#Fáxase dos conceptos avaliativos

Hai moitos conceptos avaliativos no GDPR. Os conceptos de valor nun país sen precedentes leis (é dicir, Ucraína) son máis un espazo para "evadir a responsabilidade" que útiles para a poboación e o país no seu conxunto.

#Introduce o concepto de DPO

O delegado de protección de datos (DPO) é un experto independente en protección de datos. A lexislación debe regular de forma clara e sen conceptos avaliativos a necesidade do nomeamento obrigatorio dun experto para o cargo de DPO. Como o fan na Unión Europea escrito aquí.

#Determinar o nivel de responsabilidade polas infraccións no ámbito dos datos persoais, diferenciar multas en función do tamaño (beneficio) da empresa.

• 34 mil Hryvnia

  Aínda non existe unha cultura de protección de datos persoais en Ucraína; a actual Lei "sobre a protección de datos persoais" di que "unha violación implica a responsabilidade establecida pola lei". A multa segundo o Código Administrativo por acceso ilegal a datos persoais e por violación dos dereitos dos suxeitos é de ata 34,000 UAH.

• 20 millóns de euros

  A multa por violar o GDPR é a maior do mundo: ata 20,000,000 de euros, ou ata o 4% da facturación anual total da empresa no exercicio anterior. Google recibiu a súa primeira multa de 50 millóns de euros por violacións da privacidade dos datos que implican cidadáns franceses.

• 114 millóns de euros

  O GDPR celebrou en maio o seu segundo aniversario e recadou 2 millóns de euros en multas. Os reguladores adoitan dirixirse a empresas xigantes con millóns de datos de usuarios.

  A cadea de hoteis Marriott International e British Airways enfróntanse este ano a multas de varios millóns de dólares por violacións de datos que se espera que superen a Google polas multas máis altas. Os reguladores do Reino Unido advertiron que planean penalizalos por un total estimado de 366 millóns de dólares.

  As multas con seis ceros impítanse ás empresas globais cuxos servizos utilizamos todos os días. Non obstante, isto non significa que as empresas pequenas e descoñecidas non estean suxeitas a sancións.

  Unha empresa postal austríaca recibiu unha multa de 18 millóns de euros por crear e vender perfís de 3 millóns de persoas que contiñan información sobre enderezos, preferencias persoais e afiliacións políticas.

  Un servizo de pago en Lituania non borraba os datos persoais dos clientes cando xa non era necesario procesar e recibiu unha multa de 61,000 euros.

  Unha organización sen ánimo de lucro en Bélxica enviou mercadotecnia directa por correo electrónico mesmo despois de que os destinatarios optaran por non participar e recibiran unha multa de 1000 euros.

  1000 euros non son nada en comparación co dano á reputación.

A #felicidade non está nas multas

"Quen queira saber información sobre min descubrirao de todos os xeitos, a pesar da lei" - isto é o que din moita xente en Ucraína e nos países da CEI, por desgraza.

Pero cada vez son menos as persoas que cren a idea errónea de que "roubarán unha foto do pasaporte e tomarán un préstamo ao meu nome", porque aínda co orixinal do pasaporte doutro nas súas mans é legalmente imposible facelo.

As persoas divídense en 2 campamentos:

• os "paranoicos" que cren na relixión dos datos persoais pensan antes de marcar unha caixa e consentir o tratamento dos datos.
• "os que non lles importa", ou as persoas que filtran automaticamente os seus datos persoais á rede, non pensan nas consecuencias. E despois rouban as súas tarxetas de crédito, inscríbense para pagos recorrentes, rouban as súas contas de mensaxería, piratean os seus correos electrónicos ou retiran a moeda criptográfica da súa carteira.

Liberdade e democracia

A protección dos datos persoais trata sobre a liberdade de elección dunha persoa, a cultura da sociedade e a democracia. É máis doado xestionar a sociedade con máis datos; é posible predicir a elección dunha persoa e impulsala á acción desexada. É difícil que unha persoa faga o que quere se está a ser observada, a persoa vólvese cómoda, e como resultado, controlada, é dicir, a persoa inconscientemente non fai o que quere, senón como estaba convencida de facer.

O GDPR non é perfecto, pero cumpre coa idea e o obxectivo principal na UE: os europeos decatáronse de que unha persoa independente posúe e xestiona os seus datos persoais de forma independente.

Ucraína está só no inicio da súa viaxe, o terreo estase a preparar. Do Estado, os residentes recibirán un novo texto da lei, moi probablemente un organismo regulador independente, pero os propios ucraínos deben chegar aos valores europeos modernos e ao entendemento de que a democracia en 2020 tamén debería existir no espazo dixital.

PD: Escribo nas redes sociais. redes sobre xurisprudencia e negocios informáticos. Estarei encantado se te subscribas a unha das miñas contas. Isto certamente engadirá motivación para desenvolver o teu perfil e traballar no contido.

Facebook
Instagram

Só os usuarios rexistrados poden participar na enquisa. Rexístrate, por favor.

Escribir sobre a lexislación da Federación Rusa sobre datos persoais?

• 51,4%si 19

• 48,6%mellor escoller outro tema18

Votaron 37 usuarios. 19 usuarios abstivéronse.

Fonte: www.habr.com