Datu noplūde Ukrainā. Paralēles ES likumdošanai

Skandāls ar autovadītāja apliecības datu noplūdi caur Telegram botu dārdēja visā Ukrainā. Sākotnēji aizdomas kritās uz valsts dienestu aplikāciju “DIYA”, taču aplikācijas saistību ar šo incidentu ātri vien noraidīja. Jautājumi no sērijas “kas un kā nopludināja datus” tiks uzticēti Ukrainas policijas, SBU un datoru un tehnisko ekspertu pārstāvētajai valstij, bet jautājums par mūsu tiesību aktu par personas datu aizsardzību atbilstību realitātei digitālo laikmetu uzskatīja publikācijas autors, advokātu biroja Icon Partners konsultants Vjačeslavs Ustimenko.

Ukraina cenšas pievienoties ES, un tas nozīmē, ka ir jāpieņem Eiropas standarti personas datu aizsardzībai.

Simulēsim kādu gadījumu un iedomāsimies, ka kāda bezpeļņas organizācija no ES nopludinājusi tikpat daudz autovadītāja apliecības datu un šo faktu noteica vietējās tiesībsargājošās iestādes.

ES, atšķirībā no Ukrainas, ir regula par personas datu aizsardzību – GDPR.

Noplūde norāda uz to principu pārkāpumiem, kas aprakstīti:

• VDAR 25. pants; Personas datu aizsardzība izstrādāta un pēc noklusējuma;
• GDPR 32. pants. Apstrādes drošība;
• VDAR 5. panta 1. f punkts. Integritātes un konfidencialitātes princips.

ES naudas sodi par GDPR pārkāpšanu tiek aprēķināti individuāli, praksē tie tiktu sodīti 200,000 XNUMX+ eiro apmērā.

Kas būtu jāmaina Ukrainā

IT un tiešsaistes biznesa atbalsta procesā gūtā prakse gan Ukrainā, gan ārvalstīs ir parādījusi GDPR problēmas un sasniegumus.

Zemāk ir sešas izmaiņas, kas būtu jāievieš Ukrainas tiesību aktos.

#Pielāgot tiesisko regulējumu digitālajam laikmetam

Kopš asociācijas līguma ar ES parakstīšanas Ukraina ir izstrādājusi jaunus datu aizsardzības tiesību aktus, un GDPR ir kļuvis par vadošo gaismu.

Likuma par personas datu aizsardzību pieņemšana nebija tik vienkārša. Šķiet, ka GDPR regulas veidā ir “skelets” un atliek tikai izveidot “gaļu” (pielāgot normas), taču rodas daudz strīdīgu jautājumu gan no prakses, gan no likuma viedokļa. .

Piemēram:

• vai atvērtie dati tiks uzskatīti par personiskiem,
• vai likums attieksies uz tiesībaizsardzības iestādēm,
• kāda ir atbildība par likuma pārkāpšanu, vai sodu apmēri būs salīdzināmi ar Eiropas utt.

Galvenais ir tas, ka tiesību akti ir jāpielāgo, nevis jāpārkopē no GDPR. Ukrainā joprojām ir daudz neatrisinātu problēmu, kas nav raksturīgas ES valstīm.

#Unificēt terminoloģiju

Nosakiet, kas ir personas dati un konfidenciāla informācija. Ukrainas konstitūcijas 32. pants aizliedz konfidenciālas informācijas apstrādi. Konfidenciālas informācijas definīcija ir ietverta vismaz divdesmit likumos.

Citāti no oriģinālā avota ukraiņu valodā šeit

• informācija par tautību, izglītību, ģimenes kultūru, reliģiskajām izmaiņām, veselības stāvokli, adresēm, dzimšanas datumu un vietu (Ukrainas likuma “Par informāciju” 2. panta 11. daļa);
• informācija par dzīvesvietu (Ukrainas likuma “Par pārcelšanās brīvību un brīvu dzīvesvietas izvēli Ukrainā” 8.panta 6.daļa);
• informācija par kopienu dzīves īpatnībām, kas iegūta, veicot kopienu brutalizāciju (Ukrainas likuma “Par kopienu brutalizāciju” 10. pants);
• tautas skaitīšanas laikā izņemtie primārie dati (Ukrainas likuma “Par visas Ukrainas tautas skaitīšanu” 16. pants);
• izziņas, kuras iesniedz pieteikuma iesniedzējs atzīšanai par bēgli vai īpašu aizsardzību, kam būs nepieciešama papildu aizsardzība (Ukrainas likuma “Par bēgļiem un īpašu aizsardzību, kam būs nepieciešama papildu vai savlaicīga aizsardzība” 10. daļas 7. pants);
• informācija par pensiju noguldījumiem, pensiju maksājumiem un ieguldījumu ienākumiem (pārpalikumu), kas tiek novirzīts pensiju fonda dalībnieka individuālajam pensiju kontam, fizisko līdzekļu pensijas depozīta kontā ib, pirms vecuma pensijas apdrošināšanas līgumiem (3.panta trešā daļa). Ukrainas likums “Par nevalstisko pensiju apdrošināšanu”;
• informācija par apdrošinātās personas uzkrājošās pensijas kontā ieguldīto pensiju līdzekļu stāvokli (Ukrainas likuma "Par tiesisko valsts pensiju apdrošināšanu" 1. panta 98. daļa);
• informācija par zinātniskās pētniecības vai pētniecības un attīstības un tehnoloģisko robotu izstrādes līguma priekšmetu, to progresu un rezultātiem (Ukrainas Civilkodeksa 895. pants)
• Informācija, ko var izmantot, lai identificētu nepilngadīgā likumpārkāpēja personu vai kas veido nepilngadīgās pašnāvības faktu (Ukrainas likuma "Par TV un radiosakariem" 3. panta 62. daļa);
• Informācija par mirušo (Ukrainas likuma “Par apbedīšanas pakalpojumiem” 7. pants);
  izziņas par darbaspēka samaksu (Ukrainas likuma “Par darba samaksu” 31. pants. Izziņas par darba samaksu izsniedz tikai likumdošanas gadījumos, bet arī pēc darba ņēmēja ieskatiem);
• pieteikumi un materiāli patentu izsniegšanai (Ukrainas likuma “Par tiesību uz izstrādājumiem un modeļiem aizsardzību” 19. pants);
• informācija, kas atrodama tiesu nolēmumu tekstos un ļauj identificēt fizisko personu, tai skaitā: fizisko personu vārdi (vārdi, pēc Tēva segvārda); dzīvesvieta vai fiziskās aktivitātes no norādītajām adresēm, tālruņu numuriem un citām kontaktinformācijām, e-pasta adresēm, identifikācijas numuriem (kodiem); transportlīdzekļu reģistrācijas numuri (Ukrainas likuma “Par piekļuvi kuģu lēmumiem” 7. pants).
• dati par personu, kas ņemta aizsardzībā no kriminālprocesa (Ukrainas likuma "Par kriminālprocesā iesaistīto personu drošības nodrošināšanu" 15. pants);
• fiziskas vai juridiskas personas pieteikuma Roslin šķirnes reģistrācijai materiāli, Roslin šķirnes pārbaudes rezultāti (Ukrainas likuma “Par tiesību aizsardzību uz Roslin šķirnēm” 23.pants);
• dati par advokātu tiesai vai tiesībaizsardzības iestādei, kas ņemti aizsardzībā (Ukrainas likuma “Par policijas darbinieku suverēno aizsardzību tiesā un tiesībaizsardzības iestādēm” 10. pants);
• ierakstu kopums par vardarbībā cietušām personām (personas dati), kas atrodas Reģistrā, kā arī informācija ar kopīgu piekļuvi. (Ukrainas likuma “Par vardarbības ģimenē novēršanu un novēršanu” 10. daļas 16. pants);
• Informācija par to preču konfidencialitāti, kuras pārvietojas caur Ukrainas militāro kordonu (Ukrainas Militārā kodeksa 1. panta 263. daļa);
• Informācija, kas jāiekļauj zāļu un to papildinājumu valsts reģistrācijas pieteikumā (Ukrainas likuma “Par zālēm” 8. panta 9. daļa);

#Izvairieties no vērtējošiem jēdzieniem

GDPR ir daudz izvērtējošu jēdzienu. Vērtēšanas jēdzieni valstī bez precedenta likuma (ar to saprotot Ukrainu) ir vairāk vieta “izvairīšanās no atbildības”, nevis noderīga iedzīvotājiem un valstij kopumā.

#Iepazīstieties ar DPO jēdzienu

Datu aizsardzības speciālists (DPO) ir neatkarīgs datu aizsardzības eksperts. Tiesību aktos skaidri un bez vērtējošiem jēdzieniem ir jāreglamentē nepieciešamība obligāti iecelt ekspertu DAI amatā. Kā viņi to dara Eiropas Savienībā rakstīts šeit.

#Noteikt atbildības līmeni par pārkāpumiem personas datu jomā, diferencēt soda naudas atkarībā no uzņēmuma lieluma (peļņas).

• 34 tūkstoši grivnu

  Ukrainā joprojām nav personas datu aizsardzības kultūras, pašreizējais Fizisko personu datu aizsardzības likums saka, ka "pārkāpums paredz likumā noteikto atbildību". Saskaņā ar Administratīvo kodeksu naudas sods par nelikumīgu piekļuvi personas datiem un subjektu tiesību pārkāpumiem ir līdz 34,000 XNUMX UAH.

• 20 miljoni eiro

  Sods par GDPR pārkāpšanu ir pasaulē lielākais – līdz 20,000,000 4 50 eiro jeb līdz XNUMX% no uzņēmuma iepriekšējā finanšu gada kopējā gada apgrozījuma. Google saņēma savu pirmo sodu XNUMX miljonu eiro apmērā par datu privātuma pārkāpumiem, kas saistīti ar Francijas pilsoņiem.

• 114 miljoni eiro

  GDPR maijā atzīmēja savu 2. gadadienu un iekasēja 114 miljonus eiro soda naudās. Regulatori bieži vien ir vērsti uz milzīgiem uzņēmumiem ar miljoniem lietotāju datu.

  Viesnīcu ķēdei Marriott International un British Airways šogad draud vairāku miljonu dolāru naudas sodi par datu pārkāpumiem, kas, domājams, pārspēs Google par augstākajiem sodiem. Apvienotās Karalistes regulatori ir brīdinājuši, ka plāno sodīt viņus par kopējo summu 366 miljoni USD.

  Naudas sodi ar sešām nullēm tiek piemēroti globāliem uzņēmumiem, kuru pakalpojumus mēs izmantojam katru dienu. Taču tas nenozīmē, ka maziem, nepazīstamiem uzņēmumiem nepiemēro sodus.

  Austrijas pasta uzņēmums saņēma naudas sodu 18 miljonu eiro apmērā par 3 miljonu cilvēku profilu izveidi un pārdošanu, kuros bija informācija par adresēm, personiskajām vēlmēm un politiskajām piederībām.

  Maksājumu dienests Lietuvā neizdzēsa klientu personas datus, kad apstrāde vairs nebija nepieciešama, un saņēma naudas sodu 61,000 XNUMX eiro apmērā.

  Kāda bezpeļņas organizācija Beļģijā nosūtīja tiešo e-pasta mārketingu pat pēc tam, kad adresāti bija atteikušies un saņēma 1000 eiro sodu.

  1000 eiro ir nieks, ja salīdzina ar kaitējumu reputācijai.

#Laime nav naudas sodos

“Kas vēlas uzzināt informāciju par mani, tas tik un tā uzzinās, neskatoties uz likumu” - tā diemžēl saka daudzi cilvēki Ukrainā un NVS valstīs.

Taču arvien mazāk cilvēku tic maldīgajam priekšstatam par "viņi nozags pases fotoattēlu un paņems kredītu uz mana vārda", jo pat ar svešas pases oriģinālu rokās to nav juridiski iespējams izdarīt.

Cilvēki ir sadalīti 2 nometnēs:

• “paranoiķi”, kuri tic personas datu reliģijai, padomā, pirms atzīmē kādu rūtiņu un piekrīt datu apstrādei.
• "tie, kuriem vienalga" vai cilvēki, kuri automātiski nopludina savus personas datus tīklā, nedomā par sekām. Un tad viņu kredītkartes tiek nozagtas, viņi pierakstās uz periodiskiem maksājumiem, tiek nozagti kurjera konti, uzlauzti e-pasti vai izņemta kriptovalūta no maka.

Brīvība un demokrātija

Personas datu aizsardzība ir saistīta ar personas izvēles brīvību, sabiedrības kultūru un demokrātiju. Ar lielāku datu apjomu ir vieglāk pārvaldīt sabiedrību, ir iespējams paredzēt cilvēka izvēli un virzīt viņu uz vēlamo darbību. Cilvēkam ir grūti darīt, kā viņš vēlas, ja viņš tiek uzraudzīts, cilvēks kļūst ērti, un rezultātā tiek kontrolēts, tas ir, cilvēks zemapziņā nedara tā, kā viņš vēlas, bet kā viņš bija pārliecināts.

GDPR nav ideāls, taču tas izpilda galveno ideju un mērķi ES – eiropieši ir sapratuši, ka neatkarīga persona neatkarīgi pieder un pārvalda savus personas datus.

Ukraina ir tikai sava ceļa sākumā, tiek gatavota augsne. No valsts iedzīvotāji saņems jaunu likuma tekstu, visticamāk, neatkarīgu regulējošo institūciju, bet ukraiņiem pašiem ir jānāk pie modernām eiropeiskām vērtībām un izpratnes, ka demokrātijai 2020. gadā ir jāpastāv arī digitālajā telpā.

PS Es rakstu sociālajos tīklos. tīkli par jurisprudenci un IT biznesu. Būšu priecīgs, ja abonēsit kādu no maniem kontiem. Tas noteikti papildinās motivāciju attīstīt savu profilu un strādāt pie satura.

Facebook
Instagram

Aptaujā var piedalīties tikai reģistrēti lietotāji. Ielogoties, lūdzu.

Vai rakstīt par Krievijas Federācijas tiesību aktiem par personas datiem?

• 51,4%jā 19

• 48,6%labāk izvēlies citu tēmu18

Nobalsoja 37 lietotāji. 19 lietotāji atturējās.

Avots: www.habr.com