ProHoster > BLOG > administrare > Scurgere de date în Ucraina. Paralele cu legislația UE

Scurgere de date în Ucraina. Paralele cu legislația UE

Scurgere de date în Ucraina. Paralele cu legislația UE

Scandalul cu scurgerea datelor permisului de conducere printr-un bot Telegram a tunat în toată Ucraina. Suspiciunile au căzut inițial asupra aplicației de servicii guvernamentale „DIYA”, dar implicarea aplicației în acest incident a fost rapid respinsă. Întrebările din seria „cine a scurs datele și cum” vor fi încredințate statului reprezentat de poliția ucraineană, SBU și experți informatici și tehnici, dar problema conformității legislației noastre privind protecția datelor cu caracter personal cu realitățile din era digitală a fost considerată de autorul publicației, Vyacheslav Ustimenko, consultant la firma de avocatură Icon Partners.

Ucraina se străduiește să adere la UE, iar acest lucru implică adoptarea standardelor europene pentru protecția datelor cu caracter personal.

Să simulăm un caz și să ne imaginăm că o organizație non-profit din UE a scurs aceeași cantitate de date privind permisul de conducere și acest fapt a fost determinat de agențiile locale de aplicare a legii.

În UE, spre deosebire de Ucraina, există un regulament privind protecția datelor cu caracter personal - GDPR.

Scurgerea indică încălcări ale principiilor descrise în:

  • Articolul 25 GDPR Protecția datelor cu caracter personal prin proiectare și implicit;
  • Articolul 32 GDPR. Securitatea prelucrării;
  • Articolul 5 clauza 1.f GDPR. Principiul integrității și confidențialității.

În UE amenzile pentru încălcarea GDPR sunt calculate individual, în practică ar fi amendate cu peste 200,000 de euro.

Ce ar trebui schimbat în Ucraina

Practica dobândită în procesul de susținere a afacerilor IT și online atât în ​​Ucraina, cât și în străinătate a arătat problemele și realizările GDPR.

Mai jos sunt șase modificări care ar trebui introduse în legislația ucraineană.

#Adaptați cadrul legislativ la era digitală

De la semnarea Acordului de Asociere cu UE, Ucraina a dezvoltat o nouă legislație privind protecția datelor, iar GDPR a devenit o lumină călăuzitoare.

Adoptarea unei legi privind protecția datelor cu caracter personal nu a fost atât de ușoară. Se pare că există un „schelet” sub forma regulamentului GDPR și trebuie doar să construiți „carnea” (adaptați normele), dar apar multe probleme controversate, atât din punct de vedere al practicii, cât și al legii. .

De exemplu:

  • datele deschise vor fi considerate personale,
  • se va aplica legea agențiilor de aplicare a legii,
  • care este responsabilitatea încălcării legii, valoarea amenzilor va fi comparabilă cu cele europene etc.

Punctul cheie este că legislația trebuie adaptată și nu copiată din GDPR. Există încă multe probleme nerezolvate în Ucraina, care nu sunt tipice pentru țările UE.

#Unificați terminologia

Determinați ce sunt date personale și informații confidențiale. Articolul 32 din Constituția Ucrainei interzice prelucrarea informațiilor confidențiale. Definiția informațiilor confidențiale este cuprinsă în cel puțin douăzeci de legi.

Citate din sursa originală în ucraineană aici

  • informații despre naționalitate, educație, cultura de familie, schimbări religioase, starea de sănătate, adrese, data și locul nașterii (Partea 2 a articolului 11 din Legea Ucrainei „Cu privire la informații”);
  • informații despre locul de reședință (Partea 8 a articolului 6 din Legea Ucrainei „Cu privire la libertatea de transfer și libera alegere a reședinței în Ucraina”);
  • informații despre particularitățile vieții comunităților, obținute din brutalizarea comunităților (articolul 10 din Legea Ucrainei „Cu privire la brutalizarea comunităților”);
  • datele primare eliminate în procesul de efectuare a recensământului populației (articolul 16 din Legea Ucrainei „Cu privire la recensământul populației din întreaga Ucraina”);
  • declarațiile care sunt depuse de către solicitant pentru recunoașterea ca refugiat sau protecție specială, care va necesita protecție suplimentară (Partea 10, articolul 7 din Legea Ucrainei „Cu privire la refugiați și protecție specială, care va necesita protecție suplimentară sau în timp util”);
  • informații despre depozitele de pensii, plățile de pensii și veniturile din investiții (excedent) care sunt alocate contului de pensie individual al unui participant la fond de pensii, contul de depozit de pensie al activelor fizice ib, contractele de asigurare a pensiei anticipate (Partea 3 a articolului 53 din Legea Ucrainei „Cu privire la asigurările de pensii neguvernamentale”;
  • informații despre starea activelor de pensii investite în contul de pensie acumulată al persoanei asigurate (Partea 1 a articolului 98 din Legea Ucrainei „Cu privire la asigurarea juridică de pensie de stat”);
  • informații despre obiectul contractului pentru dezvoltarea cercetării științifice sau a cercetării și dezvoltării și roboților tehnologici, progresul și rezultatele acestora (articolul 895 din Codul civil al Ucrainei)
  • Informații care pot fi utilizate pentru a identifica persoana unui infractor minor sau ceea ce constituie faptul sinuciderea minorului (Partea 3 a articolului 62 din Legea Ucrainei „Cu privire la comunicațiile TV și radio”);
  • Informații despre decedat (Articolul 7 din Legea Ucrainei „Cu privire la serviciile funerare”);
    declarații despre plata forței de muncă (Articolul 31 din Legea Ucrainei „Cu privire la plata forței de muncă” Declarațiile despre plata forței de muncă sunt emise numai în cazuri de legislație, dar și la latitudinea lucrătorului);
  • cereri și materiale pentru eliberarea brevetelor (Articolul 19 din Legea Ucrainei „Cu privire la protecția drepturilor asupra produselor și modelelor”);
  • informații care pot fi găsite în textele hotărârilor judecătorești și care fac posibilă identificarea unei persoane fizice, inclusiv: numele (numele, după porecla Tatălui) ale persoanelor fizice; locul de reședință sau activitate fizică de la adresele desemnate, numerele de telefon și alte detalii de contact, adrese de e-mail, numere de identificare (coduri); numerele de înmatriculare ale vehiculelor de transport (Articolul 7 din Legea Ucrainei „Cu privire la deciziile de acces la nave”).
  • date despre o persoană luată sub protecție împotriva procedurilor penale (Articolul 15 din Legea Ucrainei „Cu privire la asigurarea securității persoanelor care participă la procedurile penale”);
  • materiale de aplicare a unei persoane fizice sau juridice pentru înregistrarea soiului Roslin, rezultatele examinării soiului Roslin (Articolul 23 din Legea Ucrainei „Cu privire la protecția drepturilor asupra soiurilor Roslin”);
  • date despre avocatul instanței sau agenției de aplicare a legii, luate sub protecție (articolul 10 din Legea Ucrainei „Cu privire la protecția suverană a ofițerilor de poliție către instanță și agențiile de aplicare a legii”);
  • un set de înregistrări despre persoanele care au suferit violență (date cu caracter personal) care se află în Registr, precum și informații cu acces partajat. (Partea 10, articolul 16 din Legea Ucrainei „Cu privire la prevenirea și prevenirea violenței în familie”);
  • Informații privind confidențialitatea mărfurilor care circulă prin cordonul militar al Ucrainei (Partea 1 a articolului 263 din Codul militar al Ucrainei);
  • Informații care ar trebui incluse în cererea de înregistrare de stat a medicamentelor și a suplimentelor la acestea (partea 8 a articolului 9 din Legea Ucrainei „Cu privire la medicamentele”);

#Depărtați-vă de conceptele evaluative

Există multe concepte evaluative în GDPR. Conceptele de evaluare într-o țară fără legislație precedentă (adică Ucraina) sunt mai mult un spațiu pentru „evadarea responsabilităților” decât utile pentru populație și țară în ansamblu.

#Introduceți conceptul de DPO

Responsabilul cu protecția datelor (DPO) este un expert independent în protecția datelor. Legislația trebuie să reglementeze clar și fără concepte evaluative necesitatea numirii obligatorii a unui expert în funcția de DPO. Cum o fac în Uniunea Europeană scris aici.

#Determină nivelul de responsabilitate pentru încălcări în domeniul datelor cu caracter personal, diferentiaza amenzile in functie de marimea (profitul) firmei.

  • 34 de mii de grivne

    În Ucraina nu există încă o cultură a protecției datelor cu caracter personal; legea actuală „Cu privire la protecția datelor cu caracter personal” spune că „o încălcare atrage răspunderea stabilită de lege”. Amenda conform Codului Administrativ pentru acces ilegal la date cu caracter personal și pentru încălcarea drepturilor subiecților este de până la 34,000 UAH.

  • 20 de milioane de euro

    Amenda pentru încălcarea GDPR este cea mai mare din lume – până la 20,000,000 de euro, sau până la 4% din cifra de afaceri anuală totală a companiei pentru anul financiar precedent. Google a primit prima sa amendă de 50 de milioane de euro pentru încălcarea confidențialității datelor care implică cetățeni francezi.

  • 114 de milioane de euro

    GDPR și-a sărbătorit a 2-a aniversare în mai și a încasat 114 milioane de euro în amenzi. Autoritățile de reglementare vizează adesea companii gigantice cu milioane de date despre utilizatori.

    Lanțul hotelier Marriott International și British Airways se confruntă cu amenzi de mai multe milioane de dolari în acest an pentru încălcarea datelor, care se așteaptă să învingă Google pentru cele mai mari amenzi. Autoritățile de reglementare din Marea Britanie au avertizat că intenționează să le sancționeze cu un total estimat de 366 de milioane de dolari.

    Amenzile cu șase zerouri sunt emise companiilor globale ale căror servicii le folosim în fiecare zi. Cu toate acestea, acest lucru nu înseamnă că companiile mici, necunoscute, nu sunt supuse sancțiunilor.

    O companie poștală austriacă a primit o amendă de 18 milioane de euro pentru crearea și vânzarea de profiluri a 3 milioane de persoane care conțineau informații despre adrese, preferințe personale și afilieri politice.

    Un serviciu de plată din Lituania nu a șters datele personale ale clienților atunci când nu mai era nevoie de procesare și a primit o amendă de 61,000 de euro.

    O organizație non-profit din Belgia a trimis marketing direct prin e-mail chiar și după ce destinatarii au renunțat și au primit o amendă de 1000 de euro.

    1000 de euro nu este nimic în comparație cu prejudiciul adus reputației.

#Fericirea nu este în amenzi

„Cine dorește să afle informații despre mine, va afla oricum, în ciuda legii” - așa spun mulți oameni din Ucraina și țările CSI, din păcate.

Dar din ce în ce mai puțini oameni cred în concepția greșită despre „vor fura o fotografie de pașaport și vor lua un împrumut în numele meu”, deoarece chiar și cu originalul pașaportului altcuiva în mâinile tale, este imposibil din punct de vedere legal să faci asta.

Oamenii sunt împărțiți în 2 tabere:

  • „paranoicii” care cred în religia datelor cu caracter personal se gândesc înainte de a bifa o casetă și de a consimți la prelucrarea datelor.
  • „cei cărora nu le pasă”, sau persoanele care își scurg automat datele personale în rețea, nu se gândesc la consecințe. Și apoi le sunt furate cărțile de credit, se înscriu pentru plăți recurente, conturile de mesagerie le sunt furate, e-mailurile le sunt sparte sau criptomoneda este retrasă din portofel.

Libertate și democrație

Protecția datelor cu caracter personal se referă la libertatea de alegere a unei persoane, cultura societății și democrație. Este mai ușor să gestionezi societatea cu mai multe date; este posibil să prezici alegerea unei persoane și să o împingi la acțiunea dorită. Este dificil pentru o persoană să facă ce vrea dacă este urmărită, persoana devine confortabilă și, ca urmare, controlată, adică persoana în mod subconștient nu face ceea ce vrea, ci așa cum a fost convins să facă.

GDPR nu este perfect, dar îndeplinește ideea și obiectivul principal în UE - europenii și-au dat seama că o persoană independentă deține și gestionează în mod independent datele sale personale.

Ucraina este abia la începutul călătoriei sale, terenul este pregătit. De la stat, rezidenții vor primi un nou text de lege, cel mai probabil un organism de reglementare independent, dar ucrainenii înșiși trebuie să ajungă la valorile europene moderne și la înțelegerea că democrația în 2020 ar trebui să existe și în spațiul digital.

PS: scriu pe rețelele de socializare. rețele despre jurisprudență și afaceri IT. Voi fi încântat dacă vă abonați la unul dintre conturile mele. Acest lucru va adăuga cu siguranță motivație pentru a vă dezvolta profilul și a lucra la conținut.

Facebook
Instagram

Numai utilizatorii înregistrați pot participa la sondaj. Loghează-te, Vă rog.

Scrieți despre legislația Federației Ruse privind datele personale?

  • 51,4%da19

  • 48,6%mai bine alege alt subiect18

Au votat 37 utilizatori. 19 utilizatori s-au abținut.

Sursa: www.habr.com

Adauga un comentariu