ProHoster > Dienoraštis > Administravimas > Duomenų nutekėjimas Ukrainoje. Lygiagrečiai su ES teisės aktais

Duomenų nutekėjimas Ukrainoje. Lygiagrečiai su ES teisės aktais

Duomenų nutekėjimas Ukrainoje. Lygiagrečiai su ES teisės aktais

Skandalas dėl vairuotojo pažymėjimo duomenų nutekėjimo per „Telegram“ robotą griaudėjo visoje Ukrainoje. Iš pradžių įtarimai krito dėl vyriausybinių paslaugų programos „DIYA“, tačiau jos dalyvavimas šiame incidente buvo greitai paneigtas. Klausimai iš serijos „kas ir kaip nutekino duomenis“ bus patikėti valstybei, atstovaujamai Ukrainos policijos, SBU ir kompiuterių bei technikos ekspertų, tačiau mūsų teisės aktų dėl asmens duomenų apsaugos atitikties realybei klausimas bus patikėtas. skaitmeninę erą svarstė leidinio autorius, advokatų kontoros „Icon Partners“ konsultantas Viačeslavas Ustimenko.

Ukraina siekia įstoti į ES, o tai reiškia, kad turi būti priimti Europos asmens duomenų apsaugos standartai.

Imituokite atvejį ir įsivaizduokime, kad ne pelno organizacija iš ES nutekino tiek pat vairuotojo pažymėjimo duomenų ir šį faktą nustatė vietos teisėsaugos institucijos.

ES, skirtingai nei Ukrainoje, galioja asmens duomenų apsaugos reglamentas – GDPR.

Nutekėjimas rodo, kad buvo pažeisti principai, aprašyti:

  • BDAR 25 straipsnis, numatyta ir numatytoji asmens duomenų apsauga;
  • BDAR 32 straipsnis. Apdorojimo saugumas;
  • BDAR 5 straipsnio 1 dalies f punktas. Sąžiningumo ir konfidencialumo principas.

ES baudos už BDAR pažeidimą skaičiuojamos individualiai, praktiškai būtų baudžiama 200,000 XNUMX+ eurų bauda.

Ką reikėtų pakeisti Ukrainoje

Praktika, įgyta remiant IT ir internetinį verslą tiek Ukrainoje, tiek užsienyje, parodė GDPR problemas ir pasiekimus.

Žemiau pateikiami šeši pakeitimai, kurie turėtų būti įtraukti į Ukrainos įstatymus.

#Pritaikykite teisės aktų sistemą prie skaitmeninės eros

Nuo Asociacijos sutarties su ES pasirašymo Ukraina kuria naujus duomenų apsaugos teisės aktus, o GDPR tapo orientyru.

Priimti įstatymą dėl asmens duomenų apsaugos nebuvo taip paprasta. Atrodo, kad yra „skeletas“ GDPR reglamento pavidalu ir tereikia susikurti „mėsą“ (pritaikyti normas), tačiau iškyla daug prieštaringų klausimų tiek praktikos, tiek teisės požiūriu. .

Pavyzdžiui:

  • ar atviri duomenys bus laikomi asmeniniais,
  • ar įstatymas bus taikomas teisėsaugos institucijoms,
  • kokia atsakomybė už įstatymo pažeidimą, ar baudų dydžiai bus lyginami su europinėmis ir pan.

Svarbiausia, kad teisės aktus reikia pritaikyti, o ne kopijuoti iš BDAR. Ukrainoje vis dar yra daug neišspręstų, ES šalims nebūdingų problemų.

#Suvienodinkite terminiją

Nustatykite, kas yra asmens duomenys ir konfidenciali informacija. Ukrainos Konstitucijos 32 straipsnis draudžia tvarkyti konfidencialią informaciją. Konfidencialios informacijos apibrėžimas pateiktas mažiausiai dvidešimtyje įstatymų.

Citatos iš pirminio šaltinio ukrainiečių kalba čia

  • informacija apie tautybę, išsilavinimą, šeimos kultūrą, religinius pokyčius, sveikatos būklę, adresus, gimimo datą ir vietą (Ukrainos įstatymo „Dėl informacijos“ 2 straipsnio 11 dalis);
  • informacija apie gyvenamąją vietą (Ukrainos įstatymo „Dėl persikėlimo laisvės ir laisvo gyvenamosios vietos pasirinkimo Ukrainoje“ 8 straipsnio 6 dalis);
  • informacija apie bendruomenių gyvenimo ypatumus, gauta brutalizuojant bendruomenes (Ukrainos įstatymo „Dėl žiauraus elgesio su bendruomenėmis“ 10 str.);
  • pirminiai duomenys, pašalinti vykdant gyventojų surašymą (Ukrainos įstatymo „Dėl visos Ukrainos gyventojų surašymo“ 16 straipsnis);
  • pareiškimai, kuriuos pareiškėjas pateikia dėl pripažinimo pabėgėliu ar specialia apsauga, kuriai reikės papildomos apsaugos (Ukrainos įstatymo „Dėl pabėgėlių ir specialios apsaugos, kuriai reikės papildomos ar savalaikės apsaugos“ 10 dalis, 7 str.);
  • informacija apie pensijų indėlius, pensijų išmokas ir investicines pajamas (perteklius), kurios yra skirtos pensijų fondo dalyvio individualiajai pensijų sąskaitai, fizinio turto pensijų indėlio sąskaitą ib, ikimokyklinio amžiaus pensijos draudimo sutartis (Įstatymo 3 straipsnio 53 dalis). Ukrainos įstatymas „Dėl nevyriausybinio pensijų draudimo“;
  • informacija apie pensijų turto, investuoto į apdraustojo asmens kaupiamąją pensijų sąskaitą, būklę (Ukrainos įstatymo „Dėl teisinio valstybinio pensijų draudimo“ 1 straipsnio 98 dalis);
  • informacija apie mokslinių tyrimų arba mokslinių tyrimų ir plėtros bei technologinių robotų kūrimo sutarties dalyką, jų eigą ir rezultatus (Ukrainos civilinio kodekso 895 straipsnis)
  • Informacija, pagal kurią galima nustatyti nepilnamečio nusikaltėlio asmenį arba nepilnamečio savižudybės faktą (Ukrainos įstatymo „Dėl televizijos ir radijo ryšio“ 3 straipsnio 62 dalis);
  • Informacija apie mirusįjį (Ukrainos įstatymo „Dėl laidojimo paslaugų“ 7 straipsnis);
    pareiškimai apie darbo apmokėjimą (Ukrainos įstatymo „Dėl darbo apmokėjimo“ 31 straipsnis. Pareiškimai apie darbo apmokėjimą išduodami tik įstatymų nustatytais atvejais, bet ir darbuotojo nuožiūra);
  • paraiškos ir medžiagos patentams išduoti (Ukrainos įstatymo „Dėl teisių į gaminius ir modelius apsaugos“ 19 straipsnis);
  • informacija, kurią galima rasti teismų sprendimų tekstuose ir leidžianti nustatyti fizinio asmens tapatybę, įskaitant: fizinių asmenų vardus (vardus, pavardes, pagal Tėvo slapyvardį); gyvenamoji vieta ar fizinė veikla iš nurodytų adresų, telefono numerių ir kitų kontaktinių duomenų, elektroninio pašto adresų, identifikavimo numerių (kodų); transporto priemonių registracijos numeriai (Ukrainos įstatymo „Dėl galimybės susipažinti su laivo sprendimais“ 7 straipsnis).
  • duomenys apie asmenį, paimtą ginti nuo baudžiamojo proceso (Ukrainos įstatymo „Dėl baudžiamajame procese dalyvaujančių asmenų saugumo užtikrinimo“ 15 str.);
  • fizinio ar juridinio asmens prašymo įregistruoti Roslin veislę medžiaga, Roslin veislės tyrimo rezultatai (Ukrainos įstatymo „Dėl teisių į Roslin veisles apsaugos“ 23 straipsnis);
  • duomenys apie advokatą teismui ar teisėsaugos institucijai, paimti ginti (Ukrainos įstatymo „Dėl suverenios policijos pareigūnų apsaugos teismui ir teisėsaugos institucijoms“ 10 str.);
  • Registre esantis įrašų apie smurtą patyrusius asmenis rinkinys (asmens duomenys), taip pat informacija su bendra prieiga. (Ukrainos įstatymo „Dėl smurto artimoje aplinkoje prevencijos ir prevencijos“ 10 dalis, 16 straipsnis);
  • Informacija apie prekių, gabenamų per Ukrainos karinį kordoną, konfidencialumą (Ukrainos karinio kodekso 1 straipsnio 263 dalis);
  • Informacija, kuri turi būti įtraukta į paraišką valstybinei vaistų ir jų priedų registracijai (Ukrainos įstatymo „Dėl vaistų“ 8 straipsnio 9 dalis);

#Pasitrauk nuo vertinamųjų sąvokų

BDAR yra daug vertinamųjų sąvokų. Vertinimo sąvokos šalyje be precedento įstatymų (turima omenyje Ukrainoje) yra labiau erdvė „išvengti atsakomybės“, nei naudinga gyventojams ir visai šaliai.

#Pristatykite DAP sąvoką

Duomenų apsaugos pareigūnas (DAP) yra nepriklausomas duomenų apsaugos ekspertas. Teisės aktai turi aiškiai ir be vertinamųjų sąvokų reglamentuoti privalomo eksperto skyrimo į DAP pareigas būtinybę. Kaip jie tai daro Europos Sąjungoje parašyta čia.

#Nustatykite atsakomybės už pažeidimus asmens duomenų srityje lygį, diferencijuoti baudas priklausomai nuo įmonės dydžio (pelno).

  • 34 tūkstančiai grivinų

    Ukrainoje vis dar nėra asmens duomenų apsaugos kultūros, galiojantis „Asmens duomenų apsaugos įstatymas“ sako, kad „pažeidimas užtraukia įstatymo nustatytą atsakomybę“. Už neteisėtą prieigą prie asmens duomenų ir už subjektų teisių pažeidimą Administraciniame kodekse numatyta bauda iki 34,000 XNUMX grivinų.

  • 20 milijonų eurų

    Bauda už GDPR pažeidimą yra didžiausia pasaulyje – iki 20,000,000 4 50 eurų, arba iki XNUMX% visos praėjusių finansinių metų įmonės metinės apyvartos. „Google“ gavo pirmąją XNUMX milijonų eurų baudą už duomenų privatumo pažeidimus, susijusius su Prancūzijos piliečiais.

  • 114 milijonų eurų

    Gegužės mėnesį GDPR atšventė savo 2-ąsias metines ir surinko 114 milijonų eurų baudų. Reguliavimo institucijos dažnai taikosi į milžiniškas įmones, turinčias milijonus vartotojų duomenų.

    Viešbučių tinklui „Marriott International“ ir „British Airways“ šiemet gresia kelių milijonų dolerių baudos už duomenų pažeidimus, kurie, kaip tikimasi, aplenks „Google“ už didžiausias baudas. JK reguliuotojai perspėjo, kad planuoja jiems skirti 366 mln.

    Pasaulinėms įmonėms, kurių paslaugomis naudojamės kasdien, skiriamos baudos su šešiais nuliais. Tačiau tai nereiškia, kad mažoms, nepažįstamoms įmonėms netaikomos baudos.

    Austrijos pašto įmonė gavo 18 milijonų eurų baudą už 3 milijonų žmonių profilių, kuriuose buvo informacijos apie adresus, asmenines nuostatas ir politines pažiūras, sukūrimą ir pardavimą.

    Mokėjimo tarnyba Lietuvoje neištrynė klientų asmens duomenų, kai nebereikėjo tvarkyti ir gavo 61,000 XNUMX eurų baudą.

    Ne pelno organizacija Belgijoje siuntė tiesioginę rinkodarą el. paštu net po to, kai gavėjai atsisakė ir gavo 1000 XNUMX eurų baudą.

    1000 eurų yra niekis, palyginus su žala reputacijai.

#Laimė – ne baudose

„Kas nori sužinoti informacijos apie mane, tas vis tiek sužinos, nepaisant įstatymų“, – taip, deja, daug kas sako Ukrainoje ir NVS šalyse.

Tačiau vis mažiau žmonių patiki klaidinga nuomone „pavogs paso nuotrauką ir paims paskolą mano vardu“, nes net ir turint kito paso originalą jūsų rankose teisiškai to padaryti neįmanoma.

Žmonės suskirstyti į 2 stovyklas:

  • „paranojikai“, tikintys asmens duomenų religija, pagalvoja prieš pažymėdami langelį ir sutikdami su duomenų tvarkymu.
  • „tie, kuriems nerūpi“, arba žmonės, kurie automatiškai nutekina savo asmens duomenis į tinklą, negalvoja apie pasekmes. Ir tada pavagiamos jų kreditinės kortelės, jie registruojasi į pasikartojančius mokėjimus, pavagiamos jų „Messenger“ paskyros, nulaužiami elektroniniai laiškai arba išimama kriptovaliuta iš piniginės.

Laisvė ir demokratija

Asmens duomenų apsauga yra susijusi su asmens pasirinkimo laisve, visuomenės kultūra ir demokratija. Turint daugiau duomenų, lengviau valdyti visuomenę, galima numatyti žmogaus pasirinkimą ir pastūmėti jį norimam veiksmui. Žmogui sunku daryti taip, kaip jis nori, jei jis yra stebimas, žmogus tampa patogus, o dėl to ir kontroliuojamas, tai yra žmogus pasąmoningai daro ne taip, kaip nori, o taip, kaip buvo įsitikinęs.

GDPR nėra tobulas, tačiau įgyvendina pagrindinę idėją ir tikslą ES – europiečiai suprato, kad nepriklausomas asmuo savarankiškai valdo ir tvarko savo asmens duomenis.

Ukraina dar tik savo kelio pradžioje, ruošiama dirva. Iš valstybės gyventojai gaus naują įstatymo tekstą, greičiausiai nepriklausomą reguliavimo instituciją, tačiau patys ukrainiečiai turi ateiti prie šiuolaikinių europinių vertybių ir supratimo, kad demokratija 2020 metais turėtų egzistuoti ir skaitmeninėje erdvėje.

PS Rašau socialiniuose tinkluose. tinklai apie jurisprudenciją ir IT verslą. Man bus malonu, jei užsiprenumeruosite vieną iš mano paskyrų. Tai tikrai paskatins kurti savo profilį ir dirbti su turiniu.

Facebook
Instagram

Apklausoje gali dalyvauti tik registruoti vartotojai. Prisijungti, Prašau.

Rašyti apie Rusijos Federacijos įstatymus dėl asmens duomenų?

  • 51,4%taip 19

  • 48,6%geriau pasirinkti kitą temą18

Balsavo 37 vartotojų. 19 vartotojai susilaikė.

Šaltinis: www.habr.com

Добавить комментарий