ProHoster > blog > administratie > Datalek in Oekraïne. Parallellen met EU-wetgeving

Datalek in Oekraïne. Parallellen met EU-wetgeving

Datalek in Oekraïne. Parallellen met EU-wetgeving

Het schandaal met het lekken van rijbewijsgegevens via een Telegram-bot donderde door heel Oekraïne. Aanvankelijk waren er verdenkingen op de applicatie van overheidsdiensten “DIYA”, maar de betrokkenheid van de applicatie bij dit incident werd al snel ontkend. Vragen uit de serie “wie de gegevens heeft gelekt en hoe” zullen worden toevertrouwd aan de staat, vertegenwoordigd door de Oekraïense politie, de SBU en computer- en technische experts, maar de kwestie van de naleving van onze wetgeving inzake de bescherming van persoonsgegevens met de realiteit van het digitale tijdperk werd overwogen door de auteur van de publicatie, Vyacheslav Ustimenko, een consultant bij het advocatenkantoor Icon Partners.

Oekraïne streeft ernaar lid te worden van de EU, en dit impliceert de goedkeuring van Europese normen voor de bescherming van persoonsgegevens.

Laten we een geval simuleren en ons voorstellen dat een non-profitorganisatie uit de EU dezelfde hoeveelheid rijbewijsgegevens heeft gelekt en dat dit feit is vastgesteld door lokale wetshandhavingsinstanties.

In de EU bestaat er, in tegenstelling tot Oekraïne, een verordening over de bescherming van persoonsgegevens: AVG.

Het lek duidt op schendingen van de principes beschreven in:

  • Artikel 25 AVG Bescherming van persoonsgegevens door ontwerp en door standaardinstellingen;
  • Artikel 32 AVG. Beveiliging van de verwerking;
  • Artikel 5 lid 1.f AVG. Principe van integriteit en vertrouwelijkheid.

In de EU worden boetes voor overtreding van de AVG individueel berekend, in de praktijk zouden ze een boete van meer dan 200,000 euro krijgen.

Wat moet er veranderen in Oekraïne

De praktijk die is opgedaan bij het ondersteunen van IT- en onlinebedrijven, zowel in Oekraïne als in het buitenland, heeft de problemen en resultaten van de AVG aangetoond.

Hieronder staan ​​zes wijzigingen die in de Oekraïense wetgeving moeten worden ingevoerd.

#Pas het wetgevingskader aan het digitale tijdperk aan

Sinds de ondertekening van de associatieovereenkomst met de EU heeft Oekraïne nieuwe wetgeving inzake gegevensbescherming ontwikkeld en is de AVG een leidend licht geworden.

Het aannemen van een wet inzake de bescherming van persoonsgegevens was niet zo eenvoudig. Het lijkt erop dat er een ‘skelet’ is in de vorm van de AVG-regelgeving en dat je alleen maar het ‘vlees’ hoeft op te bouwen (de normen aanpassen), maar er doen zich veel controversiële kwesties voor, zowel vanuit het oogpunt van de praktijk als vanuit het oogpunt van de wet. .

Bijvoorbeeld:

  • zullen open data als persoonlijk worden beschouwd,
  • zal de wet van toepassing zijn op wetshandhavingsinstanties,
  • wat is de verantwoordelijkheid voor het overtreden van de wet, zal het bedrag van de boetes vergelijkbaar zijn met de Europese, enz.

Het belangrijkste punt is dat de wetgeving moet worden aangepast en niet moet worden gekopieerd uit de AVG. Er zijn nog steeds veel onopgeloste problemen in Oekraïne die niet typisch zijn voor EU-landen.

#Verenig terminologie

Bepaal wat persoonlijke gegevens en vertrouwelijke informatie zijn. De grondwet van Oekraïne, artikel 32, verbiedt de verwerking van vertrouwelijke informatie. De definitie van vertrouwelijke informatie is opgenomen in ten minste twintig wetten.

Citaten uit de oorspronkelijke bron in het Oekraïens hier

  • informatie over nationaliteit, opleiding, familiecultuur, religieuze veranderingen, gezondheidsstatus, adressen, geboortedatum en -plaats (deel 2 van artikel 11 van de wet van Oekraïne “Over informatie”);
  • informatie over de woonplaats (Deel 8 van artikel 6 van de wet van Oekraïne “Over de vrijheid van overdracht en de vrije keuze van verblijfplaats in Oekraïne”);
  • informatie over de eigenaardigheden van het leven van gemeenschappen, verkregen uit de brutalisering van gemeenschappen (artikel 10 van de wet van Oekraïne “Over de brutalisering van gemeenschappen”);
  • de primaire gegevens die zijn verwijderd tijdens het uitvoeren van de volkstelling (artikel 16 van de wet van Oekraïne “Over de volkstelling van heel Oekraïne”);
  • verklaringen die zijn ingediend door de aanvrager van erkenning als vluchteling of speciale bescherming, waarvoor aanvullende bescherming nodig is (Deel 10, artikel 7 van de wet van Oekraïne “Over vluchtelingen en speciale bescherming, waarvoor aanvullende of tijdige bescherming nodig is”);
  • informatie over pensioenstortingen, pensioenuitkeringen en beleggingsinkomsten (overschotten) die worden toegerekend aan de individuele pensioenrekening van een pensioenfondsdeelnemer, pensioendepositorekening van fysieke bezittingen ib, contracten voor verzekering van preleeftijdspensioen (deel 3 van artikel 53 van de wet van Oekraïne “op niet-overheidspensioenverzekeringen”;
  • informatie over de stand van de pensioenvermogens die zijn belegd op de accumulatieve pensioenrekening van de verzekerde (deel 1 van artikel 98 van de wet van Oekraïne “Over de wettelijke staatspensioenverzekering”);
  • informatie over het onderwerp van het contract voor de ontwikkeling van wetenschappelijk onderzoek of onderzoek en ontwerp en technologische robots, hun voortgang en resultaten (artikel 895 van het Burgerlijk Wetboek van Oekraïne)
  • Informatie die kan worden gebruikt om de persoon van een minderjarige dader te identificeren of wat het feit van de zelfmoord van de minderjarige inhoudt (Deel 3 van artikel 62 van de wet van Oekraïne “Op tv en radiocommunicatie”);
  • Informatie over de overledene (artikel 7 van de wet van Oekraïne “Over uitvaartdiensten”);
    verklaringen over de betaling van arbeid voor een werknemer (artikel 31 van de wet van Oekraïne "Over de betaling voor werk" Verklaringen over de betaling voor werk worden alleen afgegeven in gevallen van wetgeving, maar ook naar goeddunken van de werknemer);
  • aanvragen en materialen voor de uitgifte van patenten (artikel 19 van de wet van Oekraïne “Betreffende de bescherming van rechten op producten en modellen”);
  • informatie die terug te vinden is in de teksten van rechterlijke uitspraken en die het mogelijk maakt een fysieke persoon te identificeren, waaronder: namen (namen, volgens vaders bijnaam) van fysieke personen; woonplaats of fysieke activiteit van aangewezen adressen, telefoonnummers en andere contactgegevens, e-mailadressen, identificatienummers (codes); registratienummers van transportvoertuigen (artikel 7 van de wet van Oekraïne “Betreffende beslissingen over de toegang tot schepen”).
  • gegevens over een persoon die is opgenomen onder bescherming tegen strafrechtelijke procedures (artikel 15 van de wet van Oekraïne “Betreffende het waarborgen van de veiligheid van personen die deelnemen aan strafrechtelijke procedures”);
  • materialen van de aanvraag van een fysieke of rechtspersoon voor registratie van de Roslin-variëteit, de resultaten van het onderzoek van de Roslin-variëteit (artikel 23 van de wet van Oekraïne "Betreffende de bescherming van rechten op Roslin-variëteiten");
  • gegevens over de advocaat aan de rechtbank of wetshandhavingsinstantie, onder bescherming genomen (artikel 10 van de wet van Oekraïne “Over de soevereine bescherming van politieagenten aan de rechtbank en wetshandhavingsinstanties”);
  • een reeks gegevens over personen die het slachtoffer zijn geworden van geweld (persoonsgegevens) die zich in het register bevinden, evenals informatie met gedeelde toegang. (Deel 10, artikel 16 van de wet van Oekraïne “inzake de preventie en preventie van huiselijk geweld”);
  • Informatie over de vertrouwelijkheid van goederen die door het militaire cordon van Oekraïne worden vervoerd (deel 1 van artikel 263 van de Militaire Code van Oekraïne);
  • Informatie die moet worden opgenomen in de aanvraag voor staatsregistratie van geneesmiddelen en aanvullingen daarop (deel 8 van artikel 9 van de wet van Oekraïne "Betreffende geneesmiddelen");

#Ga weg van evaluatieve concepten

Er zijn veel evaluatieve concepten in de AVG. Waarderingsconcepten in een land zonder precedentwetgeving (dat wil zeggen Oekraïne) zijn eerder een ruimte voor het “ontwijken van verantwoordelijkheid” dan nuttig voor de bevolking en het land als geheel.

#Introduceer het concept van DPO

Functionaris Gegevensbescherming (DPO) is een onafhankelijke deskundige op het gebied van gegevensbescherming. De wetgeving moet duidelijk en zonder evaluatieve concepten de noodzaak van de verplichte aanstelling van een deskundige in de functie van DPO regelen. Hoe ze dat doen in de Europese Unie hier geschreven.

#Bepaal de mate van verantwoordelijkheid voor schendingen op het gebied van persoonsgegevens, boetes differentiëren afhankelijk van de grootte (winst) van het bedrijf.

  • 34 duizend hryvnia

    Er bestaat nog steeds geen cultuur van bescherming van persoonsgegevens in Oekraïne; de ​​huidige wet “Betreffende de bescherming van persoonsgegevens” zegt dat “een overtreding aansprakelijkheid met zich meebrengt die door de wet is vastgelegd.” De boete op grond van de Administratieve Code voor illegale toegang tot persoonlijke gegevens en voor schending van de rechten van proefpersonen bedraagt ​​maximaal 34,000 UAH.

  • 20 miljoen euro

    De boete voor het overtreden van de AVG is de hoogste ter wereld: maximaal 20,000,000 euro, of maximaal 4% van de totale jaaromzet van het bedrijf over het voorgaande boekjaar. Google kreeg zijn eerste boete van 50 miljoen euro voor schendingen van de privacy van gegevens waarbij Franse burgers betrokken waren.

  • 114 miljoen euro

    De GDPR vierde in mei haar tweede verjaardag en incasseerde 2 miljoen euro aan boetes. Toezichthouders richten zich vaak op gigantische bedrijven met miljoenen gebruikersgegevens.

    Hotelketen Marriott International en British Airways worden dit jaar geconfronteerd met boetes van miljoenen dollars voor datalekken die naar verwachting Google zullen verslaan voor de hoogste boetes. Britse toezichthouders hebben gewaarschuwd dat ze van plan zijn hen een boete van in totaal 366 miljoen dollar te geven.

    Er worden boetes met zes nullen opgelegd aan mondiale bedrijven waarvan we dagelijks gebruik maken van de diensten. Dit betekent echter niet dat kleine, onbekende bedrijven niet worden bestraft.

    Een Oostenrijks postbedrijf kreeg een boete van 18 miljoen euro voor het aanmaken en verkopen van profielen van 3 miljoen mensen die informatie bevatten over adressen, persoonlijke voorkeuren en politieke voorkeuren.

    Een betaaldienst in Litouwen verwijderde de persoonsgegevens van klanten niet toen er geen noodzaak meer was voor verwerking en kreeg een boete van 61,000 euro.

    Een non-profitorganisatie in België stuurde direct e-mailmarketing, zelfs nadat de ontvangers zich hadden afgemeld en een boete van € 1000 hadden gekregen.

    1000 euro is niets vergeleken met de reputatieschade.

#Geluk zit niet in boetes

"Wie informatie over mij wil weten, komt er ondanks de wet toch achter" - dit is helaas wat veel mensen in Oekraïne en de GOS-landen zeggen.

Maar steeds minder mensen geloven in de misvatting dat ze ‘een pasfoto zullen stelen en op mijn naam een ​​lening zullen afsluiten’, want zelfs met het origineel van het paspoort van iemand anders in je handen is het juridisch onmogelijk om dit te doen.

Mensen zijn verdeeld in 2 kampen:

  • “Paranoïden” die geloven in de religie van persoonlijke gegevens denken na voordat ze een vakje aanvinken en toestemming geven voor gegevensverwerking.
  • “Degenen die er niets om geven”, of mensen die automatisch hun persoonlijke gegevens naar het netwerk lekken, denken niet na over de gevolgen. En dan worden hun creditcards gestolen, melden ze zich aan voor terugkerende betalingen, worden hun messenger-accounts gestolen, worden hun e-mails gehackt of wordt cryptocurrency uit hun portemonnee gehaald.

Vrijheid en democratie

Bescherming van persoonsgegevens gaat over de keuzevrijheid van een persoon, de cultuur van de samenleving en de democratie. Met meer data is het makkelijker om de samenleving te besturen; het is mogelijk om iemands keuze te voorspellen en hem tot de gewenste actie te bewegen. Het is moeilijk voor een persoon om te doen wat hij wil als hij in de gaten wordt gehouden, de persoon voelt zich op zijn gemak en wordt daardoor gecontroleerd, dat wil zeggen dat de persoon onbewust niet doet wat hij wil, maar zoals hij ervan overtuigd was te doen.

De AVG is niet perfect, maar vervult wel het hoofdidee en doel in de EU: Europeanen zijn zich gaan realiseren dat een onafhankelijk persoon zijn persoonlijke gegevens onafhankelijk bezit en beheert.

Oekraïne staat nog maar aan het begin van zijn reis; de grond wordt voorbereid. Van de staat zullen de inwoners een nieuwe wetstekst ontvangen, hoogstwaarschijnlijk een onafhankelijke regelgevende instantie, maar de Oekraïners zelf moeten tot moderne Europese waarden komen en tot het inzicht komen dat democratie in 2020 ook in de digitale ruimte moet bestaan.

PS Ik schrijf op sociale media. netwerken over jurisprudentie en IT-business. Ik zal het leuk vinden als je je abonneert op een van mijn accounts. Dit zal zeker de motivatie toevoegen om je profiel te ontwikkelen en aan de inhoud te werken.

Facebook
Instagram

Alleen geregistreerde gebruikers kunnen deelnemen aan het onderzoek. Inloggen, Alsjeblieft.

Schrijven over de wetgeving van de Russische Federatie inzake persoonsgegevens?

  • 51,4%Ja 19

  • 48,6%kies beter een ander onderwerp18

37 gebruikers hebben gestemd. 19 gebruikers onthielden zich van stemming.

Bron: www.habr.com

Voeg een reactie