ProHoster > Log > administrasjon > Datalekkasje i Ukraina. Parallelt med EU-lovgivningen

Datalekkasje i Ukraina. Parallelt med EU-lovgivningen

Datalekkasje i Ukraina. Parallelt med EU-lovgivningen

Skandalen med lekkasje av førerkortdata gjennom en Telegram-bot tordnet over hele Ukraina. Mistanker falt først på applikasjonen for offentlige tjenester "DIYA", men søknadens involvering i denne hendelsen ble raskt avvist. Spørsmål fra serien "hvem lekket dataene og hvordan" vil bli overlatt til staten representert av det ukrainske politiet, SBU og data- og tekniske eksperter, men spørsmålet om samsvar med vår lovgivning om beskyttelse av personopplysninger med realitetene i den digitale æraen ble vurdert av forfatteren av publikasjonen Vyacheslav Ustimenko, en konsulent ved advokatfirmaet Icon Partners.

Ukraina streber etter å bli med i EU, og dette innebærer vedtakelse av europeiske standarder for beskyttelse av personopplysninger.

La oss simulere en sak og forestille oss at en ideell organisasjon fra EU lekket samme mengde førerkortdata, og dette faktum ble bestemt av lokale rettshåndhevelsesbyråer.

I EU, i motsetning til Ukraina, er det en forskrift om beskyttelse av personopplysninger – GDPR.

Lekkasjen indikerer brudd på prinsippene beskrevet i:

  • Artikkel 25 GDPR Personopplysningsbeskyttelse ved design og som standard;
  • Artikkel 32 GDPR. Behandlingssikkerhet;
  • Artikkel 5 paragraf 1.f GDPR. Prinsippet om integritet og konfidensialitet.

I EU beregnes bøter for brudd på GDPR individuelt, i praksis vil de bli bøtelagt 200,000 XNUMX+ euro.

Hva bør endres i Ukraina

Praksisen som er oppnådd i prosessen med å støtte IT- og nettvirksomheter både i Ukraina og i utlandet har vist problemene og resultatene til GDPR.

Nedenfor er seks endringer som bør innføres i ukrainsk lovgivning.

#Tilpass det lovgivende rammeverket til den digitale tidsalder

Siden undertegningen av assosiasjonsavtalen med EU har Ukraina utviklet ny databeskyttelseslovgivning, og GDPR har blitt et ledelys.

Å vedta en lov om beskyttelse av personopplysninger var ikke så lett. Det ser ut til at det er et "skjelett" i form av GDPR-forordningen og du trenger bare å bygge opp "kjøttet" (tilpasse normene), men mange kontroversielle spørsmål dukker opp, både fra praksis og lov. .

For eksempel:

  • vil åpne data anses som personlige,
  • vil loven gjelde for rettshåndhevelsesbyråer,
  • hva er ansvaret for brudd på loven, vil bøtebeløpet være sammenlignbart med europeiske osv.

Det sentrale er at lovverket må tilpasses og ikke kopieres fra GDPR. Det er fortsatt mange uløste problemer i Ukraina som ikke er typiske for EU-land.

#Forene terminologi

Bestem hva som er personopplysninger og konfidensiell informasjon. Ukrainas grunnlov, artikkel 32, forbyr behandling av konfidensiell informasjon. Definisjonen av konfidensiell informasjon finnes i minst tjue lover.

Sitater fra originalkilden på ukrainsk her

  • informasjon om nasjonalitet, utdanning, familiekultur, religiøse endringer, helsestatus, adresser, fødselsdato og -sted (del 2 av artikkel 11 i Ukrainas lov "Om informasjon");
  • informasjon om bosted (del 8 av artikkel 6 i Ukrainas lov "Om overføringsfrihet og fritt valg av bosted i Ukraina");
  • informasjon om særegenheter ved livet til samfunn, hentet fra brutalisering av samfunn (artikkel 10 i Ukrainas lov "Om brutalisering av samfunn");
  • de primære dataene som ble fjernet i prosessen med å gjennomføre folketellingen (artikkel 16 i Ukrainas lov "Om den all-ukrainske folketellingen");
  • uttalelser som sendes inn av søkeren for anerkjennelse som flyktning eller spesiell beskyttelse, som vil kreve ytterligere beskyttelse (Del 10, artikkel 7 i Ukrainas lov "Om flyktninger og spesiell beskyttelse, som vil kreve ekstra eller rettidig beskyttelse");
  • informasjon om pensjonsinnskudd, pensjonsutbetalinger og investeringsinntekter (overskudd) som avsettes til den individuelle pensjonskontoen til en pensjonskassedeltaker, pensjonsinnskuddskonto for fysiske eiendeler ib, kontrakter om forsikring av føralderspensjon (del 3 av artikkel 53 i Ukrainas lov "om ikke-statlig pensjonsforsikring") ;
  • informasjon om tilstanden til pensjonsmidler investert i den akkumulerte pensjonskontoen til den forsikrede personen (del 1 av artikkel 98 i Ukrainas lov "Om den juridiske statlige pensjonsforsikringen");
  • informasjon om emnet for kontrakten for utvikling av vitenskapelig forskning eller forskning og utvikling og teknologiske roboter, deres fremgang og resultater (artikkel 895 i Civil Code of Ukraine)
  • Informasjon som kan brukes til å identifisere personen til en mindre lovbryter eller hva som utgjør faktumet av den mindreåriges selvmord (del 3 av artikkel 62 i Ukrainas lov "på TV og radiokommunikasjon");
  • Informasjon om den avdøde (artikkel 7 i Ukrainas lov "Om begravelsestjenester");
    uttalelser om betaling av arbeidskraft (artikkel 31 i Ukrainas lov "Ved betaling av arbeidskraft" Uttalelser om betaling av arbeidskraft utstedes bare i tilfeller av lovgivning, men også etter arbeidstakerens skjønn);
  • søknader og materialer for utstedelse av patenter (artikkel 19 i Ukrainas lov "Om beskyttelse av rettigheter til produkter og modeller");
  • informasjon som kan finnes i tekstene til rettsavgjørelser og gjør det mulig å identifisere en fysisk person, inkludert: navn (navn, i henhold til fars kallenavn) på fysiske personer; bosted eller fysisk aktivitet fra oppgitte adresser, telefonnumre og andre kontaktdetaljer, e-postadresser, identifikasjonsnumre (koder); registreringsnummer for transportkjøretøyer (artikkel 7 i Ukrainas lov "Om tilgang til skipsbeslutninger").
  • data om en person tatt under beskyttelse fra straffesak (artikkel 15 i Ukrainas lov "Om å sikre sikkerheten til personer som deltar i straffesak");
  • materialer for søknaden til en fysisk eller juridisk person for registrering av Roslin-sorten, resultatene av undersøkelsen av Roslin-sorten (artikkel 23 i Ukrainas lov "Om beskyttelse av rettigheter til Roslin-varianter");
  • data om advokaten til domstolen eller rettshåndhevelsesbyrået, tatt under beskyttelse (artikkel 10 i Ukrainas lov "Om suveren beskyttelse av polititjenestemenn til domstolen og rettshåndhevelsesbyråer");
  • et sett med journaler om personer som har vært utsatt for vold (personopplysninger) som ligger i registeret, samt informasjon med delt tilgang. (Del 10, artikkel 16 i Ukrainas lov "Om forebygging og forebygging av vold i hjemmet");
  • Informasjon om konfidensialiteten til varer som beveger seg gjennom militærkordonet i Ukraina (del 1 av artikkel 263 i Ukrainas militærkode);
  • Informasjon som bør inkluderes i søknaden om statlig registrering av legemidler og kosttilskudd til dem (del 8 av artikkel 9 i Ukrainas lov "Om legemidler");

#Kom deg vekk fra evaluerende konsepter

Det er mange evaluerende konsepter i GDPR. Verdsettelseskonsepter i et land uten presedenslovgivning (som betyr Ukraina) er mer et rom for å "unngå ansvar" enn nyttige for befolkningen og landet som helhet.

#Introduser konseptet DPO

Databeskyttelsesansvarlig (DPO) er en uavhengig databeskyttelsesekspert. Lovverket skal klart og uten evaluerende begreper regulere behovet for obligatorisk oppnevning av ekspert til stillingen som DPO. Hvordan de gjør det i EU skrevet her.

#Bestemme ansvarsnivået for brudd på personopplysningsfeltet, differensiere bøter avhengig av størrelsen (overskuddet) på selskapet.

  • 34 tusen hryvnia

    Det er fortsatt ingen kultur for beskyttelse av personopplysninger i Ukraina; den gjeldende loven "om beskyttelse av personopplysninger" sier at "en overtredelse medfører ansvar etablert ved lov." Boten i henhold til Administrative Code for ulovlig tilgang til personopplysninger og for brudd på rettighetene til subjekter er opptil 34,000 XNUMX UAH.

  • 20 millioner euro

    Boten for brudd på GDPR er den største i verden – opptil 20,000,000 4 50 euro, eller opptil XNUMX % av selskapets totale årlige omsetning for forrige regnskapsår. Google mottok sin første bot på XNUMX millioner euro for brudd på personvernet som involverte franske statsborgere.

  • 114 millioner euro

    GDPR feiret sitt 2-årsjubileum i mai og samlet inn 114 millioner euro i bøter. Regulatorer retter seg ofte mot gigantiske selskaper med millioner av brukerdata.

    Hotellkjeden Marriott International og British Airways står overfor bøter på flere millioner dollar i år for datainnbrudd som forventes å slå Google for de høyeste bøtene. Britiske tilsynsmyndigheter har advart om at de planlegger å straffe dem med anslagsvis 366 millioner dollar.

    Bøter med seks nuller gis til globale selskaper hvis tjenester vi bruker hver dag. Dette betyr imidlertid ikke at små, ukjente selskaper ikke er underlagt straff.

    Et østerriksk postselskap fikk en bot på 18 millioner euro for å ha opprettet og solgt profiler til 3 millioner mennesker som inneholdt informasjon om adresser, personlige preferanser og politiske tilhørigheter.

    En betalingstjeneste i Litauen slettet ikke klienters personopplysninger da det ikke lenger var behov for behandling og fikk en bot på 61,000 XNUMX euro.

    En ideell organisasjon i Belgia sendte direkte e-postmarkedsføring selv etter at mottakerne hadde meldt seg ut og mottok en bot på €1000.

    1000 euro er ingenting sammenlignet med skaden på omdømmet.

#Lykke er ikke i bøter

"Den som vil vite informasjon om meg vil finne ut uansett, til tross for loven" - dette er det mange som sier i Ukraina og CIS-landene, dessverre.

Men færre og færre mennesker tror på misoppfatningen om "de vil stjele et passbilde og ta opp et lån i mitt navn," for selv med originalen til en annens pass i hendene er det juridisk umulig å gjøre dette.

Folk er delt inn i 2 leire:

  • "paranoider" som tror på religionen personopplysninger, tenk før de krysser av i en boks og samtykker til databehandling.
  • "de som ikke bryr seg", eller personer som automatisk lekker sine personlige data til nettverket, tenker ikke på konsekvensene. Og så blir kredittkortene deres stjålet, de registrerer seg for gjentakende betalinger, messenger-kontoene deres blir stjålet, e-postene deres blir hacket eller kryptovalutaen trekkes fra lommeboken.

Frihet og demokrati

Beskyttelse av personopplysninger handler om en persons valgfrihet, samfunnskultur og demokrati. Det er lettere å administrere samfunnet med mer data; det er mulig å forutsi en persons valg og presse ham til ønsket handling. Det er vanskelig for en person å gjøre som han vil hvis han blir overvåket, personen blir komfortabel, og som et resultat kontrollert, det vil si at personen underbevisst ikke gjør som han vil, men som han ble overbevist om å gjøre.

GDPR er ikke perfekt, men den oppfyller hovedideen og -målet i EU – Europeere har innsett at en uavhengig person eier og forvalter personopplysningene sine.

Ukraina er bare i begynnelsen av sin reise, bakken forberedes. Fra staten vil innbyggerne motta en ny lovtekst, mest sannsynlig et uavhengig reguleringsorgan, men ukrainere må selv komme til moderne europeiske verdier og forståelsen av at demokrati i 2020 også bør eksistere i det digitale rom.

PS Jeg skriver på sosiale medier. nettverk om rettsvitenskap og IT-virksomhet. Jeg vil bli glad hvis du abonnerer på en av kontoene mine. Dette vil garantert legge til motivasjon til å utvikle profilen din og jobbe med innhold.

Facebook
Instagram

Kun registrerte brukere kan delta i undersøkelsen. Logg inn, vær så snill.

Skrive om lovgivningen til den russiske føderasjonen om personopplysninger?

  • 51,4%ja19

  • 48,6%bedre å velge et annet emne18

37 brukere stemte. 19 brukere avsto.

Kilde: www.habr.com

Legg til en kommentar