ウクライナでデータ流出。 EU の法律との類似点

Telegram ボットを介した運転免許証データの漏洩に関するスキャンダルは、ウクライナ全土に衝撃を与えました。 当初、政府サービス アプリケーション「DIYA」に疑惑がかけられましたが、この事件へのアプリケーションの関与はすぐに否定されました。 「誰がどのようにしてデータを漏洩したのか」という一連の疑問は、ウクライナ警察、SBU、コンピュータおよび技術の専門家が代表する国家に委ねられることになるが、個人データの保護に関する我が国の法律と現実のデータの遵守の問題は、デジタル時代については、この本の著者で法律事務所アイコン・パートナーズのコンサルタントであるヴャチェスラフ・ウスティメンコ氏が考察した。

ウクライナは EU への加盟を目指しており、これは個人データ保護のための欧州基準の採用を意味します。

ケースをシミュレーションして、EU の非営利団体が同量の運転免許証データを漏洩し、この事実が地元の法執行機関によって判断されたと想像してみましょう。

EU では、ウクライナとは異なり、GDPR という個人データの保護に関する規制があります。

このリークは、以下で説明されている原則への違反を示しています。

• 第 25 条 GDPR 設計およびデフォルトによる個人データ保護。
• GDPR 第 32 条。 処理のセキュリティ。
• GDPR 第 5 条 1.f 項。 誠実さと秘密保持の原則。

EU では、GDPR 違反に対する罰金は個別に計算され、実際には 200,000 万ユーロ以上の罰金が科せられます。

ウクライナで何を変えるべきか

ウクライナ国内外の IT およびオンライン ビジネスをサポートする過程で得られた実践は、GDPR の問題点と成果を示しています。

以下は、ウクライナの法律に導入されるべきXNUMXつの変更です。

#法的枠組みをデジタル時代に適応させる

EU との連合協定の署名以来、ウクライナは新しいデータ保護法の策定を進めており、GDPR が指針となっています。

個人データの保護に関する法律を可決するのはそれほど簡単ではありませんでした。 GDPR 規制という「骨組み」があり、あとは「肉」を構築する (規範を適応させる) だけであるように見えますが、実務と法律の両方の観点から、多くの物議を醸す問題が生じています。 。

たとえば、次のように

• オープンデータは個人的なものとみなされます。
• この法律は法執行機関にも適用されるのか、
• 法律違反の責任はどうなるのか、罰金の額はヨーロッパの罰金と同等になるのかなど。

重要な点は、法律は GDPR からコピーするのではなく、適応させる必要があるということです。 ウクライナには、EU加盟国に特有ではない未解決の問題がまだ多くある。

#用語の統一

個人データと機密情報が何であるかを判断します。 ウクライナ憲法第 32 条は、機密情報の処理を禁止しています。 機密情報の定義は少なくとも XNUMX の法律に規定されています。

ウクライナ語の元の情報源からの引用はこちら

• 国籍、教育、家族文化、宗教の変更、健康状態、住所、生年月日および出生地に関する情報（ウクライナ法第2条「情報について」の第11部）。
• 居住地に関する情報（ウクライナ法第 8 条第 6 部「ウクライナにおける転勤の自由および居住の自由選択について」）。
• 地域社会の残虐行為から得られた、地域社会の生活の特殊性に関する情報（ウクライナ法第10条「地域社会の残虐行為について」）。
• 国勢調査の実施過程で削除された一次データ（ウクライナ法「全ウクライナ国勢調査について」第16条）。
• 難民としての認定または追加の保護を必要とする特別保護を求めて申請者が提出する声明（ウクライナ法第 10 部第 7 条「追加または適時保護を必要とする難民および特別保護について」）。
• 年金積立金、年金支払額及び年金基金加入者の個人年金口座に配分される運用収入（剰余金）に関する情報、物的資産の年金積立金口座、 ib、老齢年金保険契約（法第3条第53部）ウクライナ法「政府以外の年金保険について」）;
• 被保険者の年金積立口座に投資されている年金資産の状態に関する情報（ウクライナ法「法定国家年金保険について」第1条第98部）。
• 科学研究または研究開発および技術ロボットの開発に関する契約の主題、その進捗および結果に関する情報（ウクライナ民法第895条）
• 未成年犯罪者の身元を特定するために使用できる情報、または未成年者の自殺の事実を構成する情報 (ウクライナ法第 3 条の第 62 部「テレビおよびラジオ通信について」)。
• 故人に関する情報（ウクライナ法第7条「葬儀について」）。
  労働者への労働の支払いに関する声明（ウクライナ法第 31 条「労働の対価について」） 労働の対価に関する声明は、法律が定められている場合にのみ発行されますが、労働者の裁量によっても発行されます。
• 特許発行のための出願および資料（ウクライナ法第19条「製品およびモデルに対する権利の保護について」）。
• 裁判所の判決文の中で見つけることができ、物理的な人物の特定を可能にする情報。以下のものが含まれます。 物理的な人物の名前（父親による名前、ニックネーム）。 指定された住所、電話番号、その他の連絡先詳細、電子メール アドレス、識別番号 (コード) からの居住地または身体活動。 輸送車両の登録番号（ウクライナ法第 7 条「船舶へのアクセスに関する決定について」）。
• 刑事手続きから保護された人物に関するデータ（ウクライナ法第 15 条「刑事手続きに参加する者の安全の確保について」）。
• ロズリン品種の登録を求める物理的または法人の申請資料、ロズリン品種の審査結果（ウクライナ法第23条「ロズリン品種の権利の保護について」）。
• 保護下で採取された、裁判所または法執行機関への弁護士に関するデータ（ウクライナ法第10条「裁判所および法執行機関に対する警察官の主権的保護について」）。
• 登録簿にある暴力を受けた個人に関する一連の記録 (個人データ)、および共有アクセスが可能な情報。 (ウクライナ法第 10 条「家庭内暴力の予防と防止について」第 16 部)。
• ウクライナの軍事非常線を通過する物品の機密保持に関する情報 (ウクライナ軍法第 1 条の第 263 部)。
• 医薬品およびそのサプリメントの国家登録申請に含めるべき情報 (ウクライナ法「医薬品について」第 8 条の第 9 部);

#評価概念から離れる

GDPR には多くの評価概念があります。 先例法のない国（ウクライナを意味する）における評価の概念は、国民や国全体にとって有益というよりは、むしろ「責任回避」のための余地である。

#DPOの概念を紹介

データ保護責任者 (DPO) は、独立したデータ保護専門家です。 法律は、DPO の職に専門家を強制的に任命する必要性を評価概念なしで明確に規制する必要があります。 欧州連合ではどうやってやっているのか ここに書いてある.

#個人データの分野における違反に対する責任のレベルを決定し、 会社の規模（利益）に応じて罰金を区別します。

• 34千グリブナ

  ウクライナには個人データ保護の文化がまだなく、現在の「個人データ保護法」では「違反には法律で定められた責任が伴う」と規定されている。 個人データへの違法アクセスおよび対象者の権利侵害に対する行政法に基づく罰金は、最高 34,000 フリヴニャです。

• 20百万ユーロ

  GDPR 違反に対する罰金は世界最大で、最大 20,000,000 万ユーロ、または前会計年度の企業年間総売上高の最大 4% となります。 Googleはフランス国民によるデータプライバシー侵害で、初めて50万ユーロの罰金を課せられた。

• 114百万ユーロ

  GDPRは2月に施行114周年を迎え、XNUMX億XNUMX万ユーロの罰金を徴収した。 規制当局は、数百万のユーザーデータを保有する巨大企業をターゲットにすることがよくあります。

  ホテルチェーンのマリオット・インターナショナルとブリティッシュ・エアウェイズは今年、データ侵害で数百万ドルの罰金を科せられており、最高額の罰金ではグーグルを上回ると予想されている。 英国の規制当局は、総額推定366億XNUMX万ドルの罰金を科す予定だと警告した。

  ゼロが XNUMX つ付いた罰金は、私たちが毎日利用しているサービスを提供するグローバル企業に課されます。 ただし、これは、小規模で無名の企業が罰則の対象外であることを意味するものではありません。

  オーストリアの郵便会社は、住所、個人的な好み、所属政党などの情報を含む 18 万人のプロフィールを作成および販売したとして、3 万ユーロの罰金を課されました。

  リトアニアの決済サービスは、処理の必要がなくなった顧客の個人データを削除せず、61,000万XNUMXユーロの罰金を課せられた。

  ベルギーの非営利団体は、受信者がオプトアウトした後でもダイレクトメールマーケティングを送信し、1000ユーロの罰金を課せられました。

  1000ユーロなんて名誉毀損に比べたら大したことない。

#幸せは罰金ではない

「私に関する情報を知りたい人は、法律にもかかわらず、いずれにしても知ることになるでしょう」 - 残念なことに、これはウクライナとCIS諸国の多くの人が言うことです。

しかし、「彼らはパスポートの写真を盗み、私の名前でローンを組むだろう」という誤解を信じる人はますます少なくなっています。なぜなら、たとえ他人のパスポートの原本を手にしていても、これを行うことは法的に不可能だからです。

人々は 2 つの陣営に分かれます。

• 個人データの信仰を信じる「偏執主義者」は、ボックスにチェックを入れてデータ処理に同意する前によく考えます。
• 「気にしない人」、つまり個人データを自動的にネットワークに漏らす人は、その結果について考えません。 そして、クレジット カードが盗まれ、定期的な支払いに登録され、メッセンジャー アカウントが盗まれ、電子メールがハッキングされ、財布から暗号通貨が引き出されます。

自由と民主主義

個人データの保護は、個人の選択の自由、社会の文化、民主主義に関わるものです。 より多くのデータがあれば社会の管理が容易になり、人の選択を予測し、望ましい行動を促すことが可能になります。 監視されていると、人は自分の思い通りに行動することが難しくなり、その結果、コントロールされてしまい、自分のやりたいように行動するのではなく、自分がそうするようにと確信したように行動してしまうのです。

GDPR は完璧ではありませんが、EU の主な考え方と目標を満たしています。ヨーロッパ人は、独立した個人が自分の個人データを独自に所有し、管理することを認識しています。

ウクライナはまだ旅の始まりにすぎず、準備が整っているところです。 住民は国から、おそらく独立した規制機関となる新しい法律の条文を受け取ることになるが、ウクライナ人自身が現代ヨーロッパの価値観と、2020年の民主主義はデジタル空間にも存在すべきであるという理解を得る必要がある。

PS 私はソーシャルメディアに書いています。 法学とITビジネスに関するネットワーク。 私のアカウントのいずれかを購読していただければ幸いです。 これにより、プロフィールを作成し、コンテンツに取り組むモチベーションが確実に高まります。

Facebook
Instagram

登録ユーザーのみがアンケートに参加できます。 ログインお願いします。

個人データに関するロシア連邦の法律について書きますか?

• 視聴者の３８%がはい 19

• 視聴者の３８%が別のトピックを選択した方がよい18

37 人のユーザーが投票しました。 19名のユーザーが棄権した。

出所： habr.com