ProHoster > Blog > administracja > Wyciek danych na Ukrainie. Paralele z prawodawstwem UE

Wyciek danych na Ukrainie. Paralele z prawodawstwem UE

Wyciek danych na Ukrainie. Paralele z prawodawstwem UE

Skandal związany z wyciekiem danych z prawa jazdy za pośrednictwem bota Telegramu wstrząsnął całą Ukrainą. Podejrzenia padły początkowo na aplikację służb rządowych „DIYA”, jednak szybko zaprzeczono jej udziałowi w tym incydencie. Pytania z cyklu „kto i w jaki sposób wyciekły dane” zostaną powierzone państwu reprezentowanemu przez ukraińską policję, SBU oraz ekspertów informatycznych i technicznych, jednak kwestia zgodności naszego ustawodawstwa dotyczącego ochrony danych osobowych z realiami nad erą cyfrową zastanawiał się autor publikacji Wiaczesław Ustimenko, konsultant w kancelarii prawnej Icon Partners.

Ukraina dąży do członkostwa w UE, a to oznacza przyjęcie europejskich standardów ochrony danych osobowych.

Zasymulujmy przypadek i wyobraźmy sobie, że organizacja non-profit z UE wyciekła taką samą ilość danych z prawa jazdy, a fakt ten został ustalony przez lokalne organy ścigania.

W UE, w przeciwieństwie do Ukrainy, obowiązuje rozporządzenie o ochronie danych osobowych – RODO.

Wyciek wskazuje na naruszenie zasad opisanych w:

  • Artykuł 25 RODO Ochrona danych osobowych już w fazie projektowania i domyślna;
  • Artykuł 32 RODO. Bezpieczeństwo przetwarzania;
  • Art. 5 ust. 1 lit. f RODO. Zasada rzetelności i poufności.

W UE kary za naruszenie RODO naliczane są indywidualnie, w praktyce groziłaby im kara w wysokości ponad 200,000 XNUMX euro.

Co należy zmienić na Ukrainie

Praktyka zdobyta w procesie wspierania przedsiębiorstw informatycznych i internetowych zarówno na Ukrainie, jak i za granicą pokazała problemy i osiągnięcia RODO.

Poniżej przedstawiamy sześć zmian, które należy wprowadzić do ukraińskiego ustawodawstwa.

#Dostosuj ramy prawne do ery cyfrowej

Od czasu podpisania Układu o stowarzyszeniu z UE Ukraina opracowuje nowe przepisy dotyczące ochrony danych, a RODO stało się światłem przewodnim.

Uchwalenie ustawy o ochronie danych osobowych nie było takie proste. Wydaje się, że istnieje „szkielet” w postaci rozporządzenia RODO i trzeba już tylko „mięso” zbudować (dostosować normy), jednak pojawia się wiele kwestii kontrowersyjnych, zarówno z punktu widzenia praktyki, jak i prawa .

Na przykład:

  • czy otwarte dane będą uważane za dane osobowe,
  • czy prawo będzie miało zastosowanie do organów ścigania,
  • jaka jest odpowiedzialność za naruszenie prawa, czy wysokość kar będzie porównywalna z europejskimi itp.

Kluczową kwestią jest to, że przepisy należy dostosować, a nie kopiować z RODO. Na Ukrainie nadal pozostaje wiele nierozwiązanych problemów, które nie są typowe dla krajów UE.

#Ujednolić terminologię

Ustal, czym są dane osobowe i informacje poufne. Konstytucja Ukrainy art. 32 zabrania przetwarzania informacji poufnych. Definicja informacji poufnych zawarta jest w co najmniej dwudziestu ustawach.

Tutaj cytaty z oryginalnego źródła w języku ukraińskim

  • informacje o narodowości, wykształceniu, kulturze rodzinnej, zmianach religijnych, stanie zdrowia, adresach, dacie i miejscu urodzenia (część 2 art. 11 ukraińskiej ustawy „O informacjach”);
  • informacja o miejscu zamieszkania (część 8 art. 6 ustawy Ukrainy „O swobodzie przemieszczania się i swobodnym wyborze pobytu na Ukrainie”);
  • informacje o osobliwościach życia społeczności, uzyskane w wyniku brutalizacji społeczności (art. 10 ustawy Ukrainy „O brutalizacji społeczności”);
  • dane pierwotne usunięte w procesie przeprowadzania Spisu Powszechnego Ludności (art. 16 Ustawy Ukrainy „O ogólnoukraińskim spisie ludności”);
  • oświadczenia złożone przez osobę ubiegającą się o uznanie za uchodźcę lub specjalną ochronę, która będzie wymagała dodatkowej ochrony (Część 10, art. 7 ustawy Ukrainy „O uchodźcach i specjalnej ochronie, która będzie wymagała dodatkowej lub terminowej ochrony”);
  • informacje o lokatach emerytalnych, wpłatach emerytalnych oraz dochodach (nadwyżce) z lokat gromadzonych na indywidualnym koncie emerytalnym uczestnika funduszu emerytalnego, rachunku emerytalnym środków trwałych ib, umowach o ubezpieczenie emerytury przede wszystkim (art. 3 część 53 art. ustawa Ukrainy „O pozarządowym ubezpieczeniu emerytalnym”);
  • informacja o stanie środków emerytalnych zgromadzonych na zbiorczym koncie emerytalnym ubezpieczonego (część 1 art. 98 ukraińskiej ustawy „O legalnym państwowym ubezpieczeniu emerytalnym”);
  • informacja o przedmiocie umowy o rozwój badań naukowych lub robotów badawczo-rozwojowych i technologicznych, ich postępie i wynikach (art. 895 Kodeksu cywilnego Ukrainy)
  • Informacje, które można wykorzystać do zidentyfikowania osoby nieletniego sprawcy przestępstwa lub tego, co stanowi fakt samobójstwa nieletniego (część 3 art. 62 ukraińskiej ustawy „O łączności telewizyjnej i radiowej”);
  • Informacje o zmarłym (art. 7 ustawy Ukrainy „O usługach pogrzebowych”);
    oświadczenia o wynagrodzeniu za pracę dla pracownika (art. 31 ustawy Ukrainy „O wynagrodzeniu za pracę” Oświadczenia o wynagrodzeniu za pracę wydawane są tylko w przypadkach określonych przepisami prawa, ale także według uznania pracownika);
  • wnioski i materiały do ​​wydawania patentów (art. 19 ustawy Ukrainy „O ochronie praw do produktów i modeli”);
  • informacje, które można znaleźć w tekstach orzeczeń sądowych i które pozwalają na identyfikację osoby fizycznej, w tym: imiona i nazwiska (nazwiska, zgodnie z pseudonimem Ojca) osób fizycznych; miejsce zamieszkania lub aktywności fizycznej z wyznaczonych adresów, numerów telefonów i innych danych kontaktowych, adresów e-mail, numerów identyfikacyjnych (kodów); numery rejestracyjne pojazdów transportowych (art. 7 ustawy Ukrainy „O dostępie do decyzji dotyczących statków”).
  • dane osoby objętej ochroną przed postępowaniem karnym (art. 15 ustawy Ukrainy „O zapewnieniu bezpieczeństwa osobom biorącym udział w postępowaniu karnym”);
  • materiały dotyczące wniosku osoby fizycznej lub prawnej o rejestrację odmiany Roslin, wyniki badania odmiany Roslin (art. 23 ustawy Ukrainy „O ochronie praw do odmian Roslin”);
  • dane adwokata do sądu lub organu ścigania objęte ochroną (art. 10 ustawy Ukrainy „O suwerennej ochronie funkcjonariuszy policji przed sądem i organami ścigania”);
  • zbiór danych o osobach, które doznały przemocy (dane osobowe), znajdujący się w Rejestrze, a także informacje o udostępnionym dostępie. (Część 10, art. 16 ustawy Ukrainy „O zapobieganiu i zapobieganiu przemocy w rodzinie”);
  • Informacja dotycząca poufności towarów przemieszczanych przez kordon wojskowy Ukrainy (część 1 art. 263 Kodeksu wojskowego Ukrainy);
  • Informacje, które należy uwzględnić we wniosku o państwową rejestrację produktów leczniczych i suplementów do nich (część 8 art. 9 ukraińskiej ustawy „O produktach leczniczych”);

#Odejdź od koncepcji wartościujących

W RODO istnieje wiele koncepcji ewaluacyjnych. Koncepcje wyceny w kraju bez precedensu (czyli na Ukrainie) są raczej przestrzenią do „uchylania się od odpowiedzialności” niż pożyteczną dla społeczeństwa i kraju jako całości.

#Wprowadź pojęcie DPO

Inspektor ochrony danych (IOD) jest niezależnym ekspertem w dziedzinie ochrony danych. Ustawodawstwo musi jasno i bez koncepcji wartościujących regulować konieczność obowiązkowego powołania biegłego na stanowisko DPO. Jak to robią w Unii Europejskiej napisano tutaj.

#Określić poziom odpowiedzialności za naruszenia w zakresie danych osobowych, zróżnicować kary w zależności od wielkości (zysku) przedsiębiorstwa.

  • 34 tysiące hrywien

    Na Ukrainie nadal nie ma kultury ochrony danych osobowych, obowiązująca ustawa „O ochronie danych osobowych” stanowi, że „naruszenie pociąga za sobą odpowiedzialność przewidzianą przez prawo”. Kara na mocy Kodeksu administracyjnego za nielegalny dostęp do danych osobowych i naruszenie praw podmiotów wynosi do 34,000 XNUMX UAH.

  • 20 mln euro

    Kara za naruszenie RODO jest najwyższa na świecie – sięga 20,000,000 4 50 euro, czyli do XNUMX% całkowitego rocznego obrotu firmy za poprzedni rok obrotowy. Google otrzymał pierwszą karę w wysokości XNUMX milionów euro za naruszenia prywatności danych z udziałem obywateli francuskich.

  • 114 mln euro

    W maju RODO obchodziło drugą rocznicę swojego istnienia i zebrało kary w wysokości 2 milionów euro. Organy regulacyjne często atakują gigantyczne firmy dysponujące milionami danych użytkowników.

    Sieci hoteli Marriott International i British Airways grożą w tym roku wielomilionowe kary za naruszenia bezpieczeństwa danych, które mają wyprzedzić Google w najwyższych karach. Brytyjskie organy regulacyjne ostrzegły, że planują nałożyć na nie kary w łącznej szacunkowej wysokości 366 milionów dolarów.

    Kary z sześcioma zerami wystawiane są globalnym firmom, z których usług korzystamy na co dzień. Nie oznacza to jednak, że małe, nieznane firmy nie podlegają karom.

    Austriacka firma pocztowa została ukarana grzywną w wysokości 18 milionów euro za tworzenie i sprzedaż profili 3 milionów osób zawierających informacje o adresach, osobistych preferencjach i przynależności politycznej.

    Usługodawca płatniczy na Litwie nie usunął danych osobowych klientów, gdy nie było już potrzeby ich przetwarzania, i otrzymał karę w wysokości 61,000 XNUMX euro.

    Organizacja non-profit z Belgii wysłała bezpośrednie treści marketingowe e-mailem nawet po tym, jak odbiorcy zrezygnowali i otrzymali grzywnę w wysokości 1000 euro.

    1000 euro to nic w porównaniu ze stratą dla reputacji.

#Szczęście nie jest w karach

„Kto chce poznać informacje o mnie, i tak dowie się tego wbrew prawu” – tak niestety twierdzi wiele osób na Ukrainie i w krajach WNP.

Jednak coraz mniej osób wierzy w błędne przekonanie, że „ukradną zdjęcie paszportowe i zaciągną pożyczkę na moje nazwisko”, ponieważ nawet mając w rękach oryginał cudzego paszportu, jest to prawnie niemożliwe.

Ludzie dzielą się na 2 obozy:

  • „paranoicy”, którzy wyznają religię danych osobowych, zastanawiają się przed zaznaczeniem pola i wyrażeniem zgody na przetwarzanie danych.
  • „ci, którym to nie przeszkadza”, czyli osoby, które automatycznie wyciekają do sieci swoje dane osobowe, nie myślą o konsekwencjach. A potem kradną im karty kredytowe, zapisują się do płatności cyklicznych, konta komunikatorów są kradzione, ich e-maile zostają zhakowane lub kryptowaluta jest pobierana z portfela.

Wolność i demokracja

Ochrona danych osobowych dotyczy wolności wyboru osoby, kultury społeczeństwa i demokracji. Mając więcej danych, łatwiej jest zarządzać społeczeństwem, można przewidzieć wybór człowieka i popchnąć go do pożądanego działania. Trudno jest człowiekowi robić to, co chce, jeśli jest obserwowany, czuje się komfortowo, a co za tym idzie – kontrolowany, to znaczy osoba podświadomie nie robi tego, co chce, ale tak, jak jest do tego przekonana.

RODO nie jest idealne, ale realizuje główną ideę i cel w UE – Europejczycy zdali sobie sprawę, że niezależna osoba samodzielnie posiada i zarządza swoimi danymi osobowymi.

Ukraina jest dopiero na początku swojej drogi, grunt jest przygotowywany. Od państwa mieszkańcy otrzymają nowy tekst ustawy, najprawdopodobniej niezależny organ regulacyjny, ale sami Ukraińcy muszą dojść do nowoczesnych europejskich wartości i zrozumienia, że ​​demokracja w 2020 roku powinna istnieć także w przestrzeni cyfrowej.

PS Piszę w mediach społecznościowych. sieci dotyczące orzecznictwa i biznesu IT. Będzie mi miło, jeśli zasubskrybujesz jedno z moich kont. Z pewnością doda to motywacji do rozwijania swojego profilu i pracy nad treścią.

Facebook
Instagram

W ankiecie mogą brać udział tylko zarejestrowani użytkownicy. Zaloguj się, Proszę.

Napisz o ustawodawstwie Federacji Rosyjskiej dotyczącym danych osobowych?

  • 51,4%Tak 19

  • 48,6%lepiej wybierz inny temat18

Głosowało 37 użytkowników. 19 użytkowników wstrzymało się od głosu.

Źródło: www.habr.com

Dodaj komentarz