Skandal kebocoran data SIM melalui bot Telegram menggemparkan seluruh Ukraina. Kecurigaan awalnya tertuju pada aplikasi layanan pemerintah “DIYA”, namun keterlibatan aplikasi tersebut dalam insiden ini dengan cepat dibantah. Pertanyaan dari rangkaian “siapa yang membocorkan data dan bagaimana” akan dipercayakan kepada negara yang diwakili oleh polisi Ukraina, SBU dan pakar komputer dan teknis, namun masalah kepatuhan undang-undang kami tentang perlindungan data pribadi dengan kenyataan era digital dipertimbangkan oleh penulis publikasi, Vyacheslav Ustimenko, konsultan di firma hukum Icon Partners.
Ukraina berupaya untuk bergabung dengan UE, dan ini menyiratkan penerapan standar Eropa untuk perlindungan data pribadi.
Mari kita simulasikan sebuah kasus dan bayangkan sebuah organisasi nirlaba dari UE membocorkan data SIM dalam jumlah yang sama dan fakta ini ditentukan oleh lembaga penegak hukum setempat.
Di UE, tidak seperti Ukraina, terdapat peraturan tentang perlindungan data pribadi - GDPR.
Kebocoran tersebut menunjukkan pelanggaran terhadap prinsip-prinsip yang dijelaskan dalam:
- Pasal 25 GDPR Perlindungan data pribadi berdasarkan desain dan default;
- Pasal 32 GDPR. Keamanan pemrosesan;
- Pasal 5 ayat 1.f GDPR. Prinsip integritas dan kerahasiaan.
Di UE, denda atas pelanggaran GDPR dihitung secara individual, dalam praktiknya mereka akan didenda sebesar 200,000+ euro.
Apa yang harus diubah di Ukraina
Praktik yang diperoleh dalam proses mendukung TI dan bisnis online baik di Ukraina maupun di luar negeri telah menunjukkan permasalahan dan pencapaian GDPR.
Di bawah ini adalah enam perubahan yang harus diterapkan pada undang-undang Ukraina.
#Menyesuaikan kerangka perundang-undangan dengan era digital
Sejak penandatanganan Perjanjian Asosiasi dengan UE, Ukraina telah mengembangkan undang-undang perlindungan data baru, dan GDPR telah menjadi panduannya.
Mengesahkan undang-undang tentang perlindungan data pribadi tidaklah mudah. Nampaknya sudah ada “kerangka” berupa regulasi GDPR dan tinggal membangun “dagingnya” (menyesuaikan norma), namun banyak isu kontroversial yang muncul, baik dari sudut pandang praktik maupun hukum. .
Sebagai contoh:
- akankah data terbuka dianggap pribadi,
- akankah hukum berlaku pada lembaga penegak hukum,
- apa tanggung jawab atas pelanggaran hukum, apakah jumlah dendanya akan sebanding dengan denda di Eropa, dll.
Poin utamanya adalah undang-undang tersebut perlu diadaptasi dan tidak disalin dari GDPR. Masih banyak masalah yang belum terselesaikan di Ukraina yang tidak biasa terjadi di negara-negara UE.
#Menyatukan terminologi
Tentukan apa itu data pribadi dan informasi rahasia. Konstitusi Ukraina, Pasal 32, melarang pemrosesan informasi rahasia. Definisi informasi rahasia tertuang dalam setidaknya dua puluh Undang-undang.
Kutipan dari sumber asli dalam bahasa Ukraina di sini
- informasi tentang kewarganegaraan, pendidikan, budaya keluarga, perubahan agama, status kesehatan, alamat, tanggal dan tempat lahir (Bagian 2 Pasal 11 Hukum Ukraina “Tentang Informasi”);
- informasi tentang tempat tinggal (Bagian 8 Pasal 6 Hukum Ukraina “Tentang kebebasan berpindah dan kebebasan memilih tempat tinggal di Ukraina”);
- informasi tentang kekhasan kehidupan masyarakat, yang diperoleh dari kebrutalan masyarakat (Pasal 10 Undang-Undang Ukraina “Tentang kebrutalan masyarakat”);
- data primer yang diambil dalam proses pelaksanaan Sensus Penduduk (Pasal 16 Undang-Undang Ukraina “Tentang Sensus Penduduk Seluruh Ukraina”);
- pernyataan yang diajukan oleh pemohon untuk pengakuan sebagai pengungsi atau perlindungan khusus, yang memerlukan perlindungan tambahan (Bagian 10, Pasal 7 Undang-Undang Ukraina “Tentang pengungsi dan perlindungan khusus, yang memerlukan perlindungan tambahan atau tepat waktu”);
- keterangan tentang simpanan pensiun, pembayaran pensiun, dan pendapatan investasi (surplus) yang dialokasikan pada rekening pensiun perorangan peserta dana pensiun, rekening simpanan pensiun harta benda fisik ib, kontrak asuransi pensiun pra-usia (Bagian 3 Pasal 53 UU Hukum Ukraina “Tentang Asuransi Pensiun Non-Pemerintah”);
- informasi tentang keadaan aset pensiun yang diinvestasikan dalam rekening pensiun akumulatif tertanggung (Bagian 1 Pasal 98 Undang-Undang Ukraina “Tentang Asuransi Pensiun Negara yang Sah”);
- informasi tentang subjek kontrak untuk pengembangan penelitian ilmiah atau penelitian dan pengembangan dan robot teknologi, kemajuan dan hasil mereka (Pasal 895 KUH Perdata Ukraina)
- Informasi yang dapat digunakan untuk mengidentifikasi pelaku di bawah umur atau apa yang merupakan fakta bunuh diri anak di bawah umur (Bagian 3 Pasal 62 Hukum Ukraina “Komunikasi di TV dan Radio”);
- Informasi tentang almarhum (Pasal 7 Hukum Ukraina “Tentang layanan pemakaman”);
pernyataan tentang pembayaran tenaga kerja untuk seorang pekerja (Pasal 31 Undang-undang Ukraina “Tentang Pembayaran Pekerjaan” Pernyataan tentang pembayaran untuk pekerjaan dikeluarkan hanya dalam kasus undang-undang, tetapi juga atas kebijaksanaan pekerja); - permohonan dan bahan untuk penerbitan paten (Pasal 19 Undang-Undang Ukraina “Tentang Perlindungan Hak atas Produk dan Model”);
- keterangan yang terdapat dalam teks putusan pengadilan dan memungkinkan untuk mengidentifikasi seseorang, antara lain: nama (nama, menurut nama panggilan Ayah) orang fisik; tempat tinggal atau aktivitas fisik dari alamat yang ditunjuk, nomor telepon dan rincian kontak lainnya, alamat email, nomor identifikasi (kode); nomor registrasi kendaraan pengangkut (Pasal 7 Hukum Ukraina “Tentang akses terhadap keputusan kapal”).
- data tentang seseorang yang dilindungi dari proses pidana (Pasal 15 Undang-Undang Ukraina “Tentang menjamin keselamatan orang-orang yang ikut serta dalam proses pidana”);
- materi permohonan perorangan atau badan hukum untuk pendaftaran varietas Roslin, hasil pemeriksaan varietas Roslin (Pasal 23 Undang-Undang Ukraina “Tentang perlindungan hak atas varietas Roslin”);
- data tentang pengacara di pengadilan atau lembaga penegak hukum, yang berada di bawah perlindungan (Pasal 10 Undang-Undang Ukraina “Tentang perlindungan kedaulatan petugas polisi di pengadilan dan lembaga penegak hukum”);
- sekumpulan catatan tentang individu yang mengalami kekerasan (data pribadi) yang terdapat di Register, serta informasi dengan akses bersama. (Bagian 10, Pasal 16 Undang-Undang Ukraina “Tentang Pencegahan dan Pencegahan Kekerasan Dalam Rumah Tangga”);
- Informasi mengenai kerahasiaan barang-barang yang melewati penjagaan militer Ukraina (Bagian 1 Pasal 263 Kode Militer Ukraina);
- Informasi yang harus disertakan dalam permohonan pendaftaran negara atas produk obat dan suplemennya (bagian 8 pasal 9 Undang-undang Ukraina “Tentang produk obat”);
#Menjauh dari konsep evaluatif
Ada banyak konsep evaluatif dalam GDPR. Konsep penilaian di negara yang belum memiliki preseden hukum (yaitu Ukraina) lebih merupakan ruang untuk “menghindari tanggung jawab” daripada berguna bagi masyarakat dan negara secara keseluruhan.
#Perkenalkan konsep DPO
Petugas perlindungan data (DPO) adalah pakar perlindungan data independen. Peraturan perundang-undangan harus secara jelas dan tanpa konsep evaluatif mengatur perlunya pengangkatan wajib seorang ahli untuk jabatan DPO. Bagaimana mereka melakukannya di Uni Eropa .
#Menetapkan tingkat tanggung jawab atas pelanggaran di bidang data pribadi, membedakan denda tergantung pada besar kecilnya (keuntungan) perusahaan.
- 34 ribu hryvnia
Masih belum ada budaya perlindungan data pribadi di Ukraina; Undang-undang “Tentang Perlindungan Data Pribadi” saat ini menyatakan bahwa “pelanggaran memerlukan tanggung jawab yang ditetapkan oleh hukum.” Denda berdasarkan Kode Administratif untuk akses ilegal ke data pribadi dan pelanggaran hak subjek hingga UAH 34,000.
- 20 juta euro
Denda karena melanggar GDPR adalah yang terbesar di dunia – hingga 20,000,000 euro, atau hingga 4% dari total omset tahunan perusahaan pada tahun finansial sebelumnya. Google menerima denda pertamanya sebesar 50 juta euro atas pelanggaran privasi data yang melibatkan warga negara Prancis.
- 114 juta euro
GDPR merayakan hari jadinya yang ke-2 pada bulan Mei dan memungut denda sebesar 114 juta euro. Regulator seringkali menyasar perusahaan raksasa dengan jutaan data pengguna.
Jaringan hotel Marriott International dan British Airways menghadapi denda jutaan dolar tahun ini karena pelanggaran data yang diperkirakan akan mengalahkan Google dalam denda tertinggi. Regulator Inggris telah memperingatkan bahwa mereka berencana untuk memberikan sanksi senilai total sekitar $366 juta.
Denda dengan enam angka nol diberikan kepada perusahaan global yang layanannya kami gunakan setiap hari. Namun, bukan berarti perusahaan kecil dan asing tidak dikenakan sanksi.
Sebuah perusahaan pos Austria menerima denda sebesar 18 juta euro karena membuat dan menjual profil 3 juta orang yang berisi informasi tentang alamat, preferensi pribadi, dan afiliasi politik.
Layanan pembayaran di Lituania tidak menghapus data pribadi klien ketika tidak diperlukan lagi pemrosesan dan menerima denda sebesar 61,000 euro.
Sebuah organisasi nirlaba di Belgia mengirimkan pemasaran email langsung bahkan setelah penerimanya memilih untuk tidak ikut serta dan menerima denda €1000.
1000 euro tidak ada apa-apanya dibandingkan dengan kerusakan reputasi.
#Kebahagiaan tidak ada dalam denda
“Siapa pun yang ingin mengetahui informasi tentang saya akan tetap mengetahuinya, meskipun ada hukum” - sayangnya, inilah yang dikatakan banyak orang di Ukraina dan negara-negara CIS.
Namun semakin sedikit orang yang mempercayai kesalahpahaman tentang “mereka akan mencuri foto paspor dan mengambil pinjaman atas nama saya”, karena bahkan dengan paspor asli orang lain di tangan Anda, secara hukum tidak mungkin melakukan hal ini.
Orang-orang dibagi menjadi 2 kubu:
- “Paranoid” yang percaya pada agama data pribadi berpikir sebelum mencentang kotak dan menyetujui pemrosesan data.
- “Mereka yang tidak peduli”, atau orang yang secara otomatis membocorkan data pribadinya ke jaringan, tidak memikirkan konsekuensinya. Lalu kartu kredit mereka dicuri, mereka mendaftar untuk pembayaran berulang, akun messenger mereka dicuri, email mereka diretas, atau mata uang kripto ditarik dari dompet mereka.
Kebebasan dan demokrasi
Perlindungan data pribadi adalah tentang kebebasan memilih seseorang, budaya masyarakat dan demokrasi. Lebih mudah mengelola masyarakat dengan lebih banyak data; dimungkinkan untuk memprediksi pilihan seseorang dan mendorongnya ke tindakan yang diinginkan. Sulit bagi seseorang untuk melakukan apa yang diinginkannya jika dia diawasi, orang tersebut menjadi nyaman, dan akibatnya terkendali, yaitu orang tersebut secara tidak sadar tidak melakukan apa yang diinginkannya, tetapi seperti yang diyakinkan untuk dilakukannya.
GDPR tidak sempurna, namun memenuhi gagasan dan tujuan utama di UE - masyarakat Eropa telah menyadari bahwa orang yang mandiri memiliki dan mengelola data pribadinya secara mandiri.
Ukraina baru berada di awal perjalanannya, dan landasannya sedang dipersiapkan. Dari negara, warga akan menerima teks undang-undang baru, kemungkinan besar merupakan badan pengatur independen, namun warga Ukraina sendiri harus memahami nilai-nilai Eropa modern dan pemahaman bahwa demokrasi pada tahun 2020 juga harus ada di ruang digital.
PS Saya menulis di media sosial. jaringan tentang yurisprudensi dan bisnis TI. Saya akan senang jika Anda berlangganan salah satu akun saya. Hal ini tentunya akan menambah motivasi untuk mengembangkan profil dan menggarap konten.
Hanya pengguna terdaftar yang dapat berpartisipasi dalam survei. , silakan.
Menulis tentang undang-undang Federasi Rusia tentang data pribadi?
-
51,4%ya19
-
48,6%lebih baik pilih topik lain18
37 pengguna memilih. 19 pengguna abstain.
Sumber: www.habr.com