ウクライナでデータ流出。 EU の法律との類似点

テレグラムのボット経由で運転免許証のデータが漏洩したスキャンダルはウクライナ全土に衝撃を与えた。当初は政府サービスアプリ「DIYA」に疑惑がかけられたが、この事件へのアプリの関与はすぐに否定された。 「誰がどのようにデータを漏洩したか」という一連の疑問については、ウクライナ警察、SBU、コンピューターおよび技術専門家といった国家に委ねるが、個人データ保護に関する我が国の法律がデジタル時代の現実に適合しているかどうかという問題については、この出版物の著者であり、法律事務所Icon Partnersのコンサルタントであるヴィアチェスラフ・ウスティメンコ氏が考察した。

ウクライナは EU 加盟を目指しており、これは個人データの保護に関する欧州基準を採用することを意味します。

ケースをシミュレートして、EU の非営利団体が同じ量の運転免許証データを漏洩し、この事実が地元の法執行機関によって立証されたと想像してみましょう。

EUでは、ウクライナとは異なり、個人データの保護に関する規制（GDPR）があります。

この漏洩は、以下に記載された原則に違反していることを示しています。

• GDPR 第25条 設計およびデフォルトによる個人データの保護。
• GDPR第32条。処理のセキュリティ。
• GDPR第5条1項f。誠実性と機密性の原則。

EU では、GDPR 違反に対する罰金は個別に計算されます。実際には、200,000万ユーロ以上の罰金が科せられることになります。

ウクライナで何を変える必要があるのか

ウクライナ国内外で IT およびオンライン ビジネスをサポートする過程で得られた経験から、GDPR の問題点と成果が明らかになりました。

以下はウクライナの法律に導入されるべき 6 つの変更点です。

#デジタル時代に合わせた法制度の枠組みの適応

EUとの連合協定に署名して以来、ウクライナではGDPRを指針として新たなデータ保護法が制定されてきました。

個人情報の保護に関する法律を制定するのはそれほど簡単ではないことが判明した。 GDPR 規制の形で「骨組み」は存在しており、あとは「肉付け」（標準の適合）をするだけでよいと思われますが、実践と法律の両方の観点から、多くの議論の余地のある問題が生じています。

たとえば、次のように

• オープンデータは個人情報とみなされますか?
• この法律は法執行機関に適用されるのか、
• 法律違反に対する責任はどの程度か、罰金の額は欧州の罰金と同程度か、など。

重要な点は、法律は GDPR をコピーするのではなく、適応させる必要があるということです。ウクライナには、EU諸国では一般的ではない、未解決の問題がまだ数多く残っています。

#用語を統一する

個人データ、機密情報が何であるかを判断します。ウクライナ憲法第32条は機密情報の処理を禁止しています。機密情報の定義は少なくとも XNUMX の法律に記載されています。

ウクライナ語の原文からの引用はこちら

• 国籍、教育、家族文化、宗教的変化、健康状態、住所、出生地に関する情報（ウクライナ法「情報に関する法律」第2条第11項）。
• 居住地に関する情報（ウクライナ法第8条第6項「ウクライナにおける移転の自由及び居住地の自由選択について」）
• 共同体の残虐行為から得られた共同体の生活の特殊性に関する情報（ウクライナ法「共同体の残虐行為について」第10条）。
• 国勢調査の実施過程で除去された一次データ（ウクライナ法「全ウクライナ国勢調査について」第16条）
• 難民または特別保護の認定を申請する者から提出され、追加的な保護が必要となる陳述（ウクライナ法「追加的または時宜を得た保護が必要となる難民および特別保護について」第10条第7項）
• 年金基金加入者の個人年金口座、個人の年金預金口座、早期年金保険契約に請求される年金預金、年金支払額および投資収益（剰余金）に関する情報（ウクライナの「民間年金保険について」法第3条第53項）。
• 被保険者の積立年金口座に投資されている年金資産の状況に関する情報（ウクライナ法「年金保険の法人について」第1条第98項）
• 科学研究または研究開発および技術ロボットの開発に関する契約の対象、その進捗状況および結果に関する情報（ウクライナ民法典第895条）
• 未成年者犯罪者の個人識別情報、または未成年者の自殺の事実を構成する情報（ウクライナ法「テレビ・ラジオ通信について」第3条第62項）
• 故人に関する情報（ウクライナ法第7条「葬儀について」）
  労働の報酬に関する声明（ウクライナ法第31条「労働の報酬について」）労働の報酬に関する声明は、法律の規定に従ってのみ発行されるが、労働者の裁量で発行されることもある。
• 特許発行のための申請書および資料（ウクライナ法「製品およびモデルに関する権利の保護について」第19条）
• 裁判所の判決文中に見られる、個人を特定できる情報。これには、個人の名前（父親のニックネームによる名前）が含まれます。指定された住所、電話番号およびその他の連絡先の詳細、電子メールアドレス、識別番号（コード）からの居住地または身体活動の場所。輸送車両の登録番号（ウクライナ法第7条「船舶決定へのアクセスについて」）。
• 刑事訴訟からの保護の対象となっている人物に関するデータ（ウクライナ法第15条「刑事訴訟に参加する人物の安全の確保について」）
• ロスリン品種の登録を申請した自然人または法人の資料、ロスリン品種の審査結果（ウクライナ法「ロスリン品種の権利の保護について」第23条）。
• 保護下で裁判所または法執行機関に提供される弁護士に関するデータ（ウクライナ法第10条「裁判所および法執行機関に対する警察官の国家的保護について」）
• 登録簿に保管されている、暴力を受けた個人に関する一連の記録（個人データ）と共有アクセスのある情報。 （ウクライナの「家庭内暴力の防止および予防に関する法律」第10条第16項）
• ウクライナの軍事境界線を通過する物品の機密性に関する情報（ウクライナ軍法典第1条第263項）
• 医薬品およびその補足品の国家登録申請に含めるべき情報（ウクライナ法「医薬品について」第8条第9項）

#評価的な概念から離れる

GDPR には多くの評価概念が含まれています。判例のない国（ウクライナ）では、評価概念は国民や国全体にとっての利益というよりも、「責任を回避する」ための場となっています。

#DPOの概念を紹介する

データ保護責任者 (DPO) は、データ保護に関する独立した専門家です。法律は、評価概念なしに、DPO の地位に専門家を強制的に任命する必要性を明確に規制する必要があります。欧州連合ではどのように行われているのか ここに書かれている.

#個人情報に関する違反に対する責任のレベルを決定する。 会社の規模（利益）に応じて罰金を差別化する。

• 34万XNUMX千フリヴニャ

  ウクライナには依然として個人データ保護の文化がありません。現行の「個人情報の保護に関する法律」では、「違反した場合は法律で定められた責任が発生する」と規定されています。個人データへの不正アクセスおよび対象者の権利侵害に対しては、行政法に基づき最高 34,000 UAH の罰金が科せられます。

• 20百万ユーロ

  GDPR違反に対する罰金は世界最高額で、最高20,000,000万ユーロ、または企業の前会計年度の年間総売上高の最大4％となります。グーグルはフランス国民に関するデータのプライバシー侵害で初めて50万ユーロの罰金を科された。

• 114百万ユーロ

  GDPRは2月に114周年を迎え、XNUMX億XNUMX万ユーロの罰金を徴収した。規制当局は、何百万ものユーザーデータを持つ巨大企業をターゲットにすることが多い。

  ホテルチェーンのマリオット・インターナショナルと航空会社のブリティッシュ・エアウェイズは今年、データ侵害により数百万ドルの罰金を科せられる見込みで、最高額の罰金をめぐる争いではグーグルに勝つと予想されている。英国の規制当局は、同社に総額約366億XNUMX万ドルの罰金を科す予定だと警告した。

  私たちが毎日利用しているサービスを提供する世界的な企業に、6桁の罰金が科せられています。しかし、これは小規模であまり知られていない企業が処罰の対象にならないという意味ではありません。

  オーストリアの郵便会社は、住所、個人の嗜好、政治的所属に関する情報を含む18万人のプロフィールを作成し販売したとして、3万ユーロの罰金を科された。

  リトアニアの決済サービスは、処理の必要がなくなったにもかかわらず顧客の個人データを削除しなかったため、61,000ユーロの罰金を科せられた。

  ベルギーの非営利団体は、受信者がメールの受信を拒否した後でもダイレクトメールマーケティングを送信し、1000ユーロの罰金を科せられました。

  評判へのダメージに比べれば、1000ユーロなんて大した金額ではありません。

#幸福は罰金ではない

「私に関する情報を知りたい人は、法律にかかわらず、いずれにせよ見つけられるだろう」―残念ながら、ウクライナやCIS諸国では多くの人がそう言っています。

しかし、「パスポートの写真を盗まれ、私名義でローンが組まれる」という誤解を信じる人はますます少なくなっています。なぜなら、たとえ他人のパスポートの原本を所持していたとしても、法的に不可能だからです。

人々は2つの陣営に分かれています:

• 個人データの宗教を信じる「偏執狂」は、ボックスにチェックを入れてデータの処理に同意する前によく考えます。
• 「気にしない人」、つまり結果を考えずに自分の個人情報を自動的にオンライン上に漏らす人。そして、クレジットカードが盗まれ、定期支払いに登録され、メッセンジャーアカウントが盗まれ、電子メールがハッキングされ、暗号通貨がウォレットから引き出されます。

自由と民主主義

個人データの保護は、個人の選択の自由、社会の文化、民主主義に関係します。データが増えれば社会の管理が容易になります。人の選択を予測し、望ましい行動を促すことが可能です。監視されていると、人は自分の望むように行動することが難しくなります。人は都合のいい人間になり、その結果、制御可能になります。つまり、人は無意識のうちに、自分の望むように行動するのではなく、やるように説得されたように行動するのです。

GDPR は完璧ではありませんが、EU の主要な理念と目標、つまり、独立した個人が個人データを独立して所有し、管理することをヨーロッパ人が認識したことを実現しています。

ウクライナはまだその旅の始まりに過ぎない。地面が整備されています。住民は、おそらくは独立した規制機関である国家から新しい法律文を受け取ることになるが、ウクライナ人自身も現代のヨーロッパの価値観と、2020年の民主主義はデジタル空間にも存在するべきであるという理解に至らなければならない。

追伸私はソーシャルメディアに書いています。法学とITビジネスに関するネットワーク。私のアカウントのいずれかを購読していただければ幸いです。これにより、プロフィールを充実させ、コンテンツに取り組むモチベーションが確実に高まります。

Facebook
Instagramをチェックしてみてください。

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

個人データに関するロシアの法律について書いてください。

• 51,4%はい19

• 48,6%別のトピックを選んだ方が良い18

37 人のユーザーが投票しました。 19名のユーザーが棄権した。

出所： habr.com