Skandali me rrjedhjen e të dhënave të patentës së shoferit përmes një boti Telegram bubulloi në të gjithë Ukrainën. Dyshimet fillimisht ranë mbi aplikacionin e shërbimeve qeveritare “DIYA”, por përfshirja e aplikacionit në këtë incident u mohua shpejt. Pyetjet nga seria "kush i ka nxjerrë të dhënat dhe si" do t'i besohen shtetit të përfaqësuar nga policia ukrainase, SBU dhe ekspertët kompjuterikë dhe teknikë, por çështja e përputhshmërisë së legjislacionit tonë për mbrojtjen e të dhënave personale me realitetet e epoka dixhitale u konsiderua nga autori i botimit, Vyacheslav Ustimenko, një konsulent në firmën ligjore Icon Partners.
Ukraina po përpiqet të anëtarësohet në BE dhe kjo nënkupton miratimin e standardeve evropiane për mbrojtjen e të dhënave personale.
Le të simulojmë një rast dhe të imagjinojmë që një organizatë jofitimprurëse nga BE-ja ka nxjerrë të njëjtën sasi të dhënash për patentë shoferin dhe ky fakt është përcaktuar nga agjencitë vendore të zbatimit të ligjit.
Në BE, ndryshe nga Ukraina, ekziston një rregullore për mbrojtjen e të dhënave personale - GDPR.
Rrjedhja tregon shkelje të parimeve të përshkruara në:
- Neni 25 GDPR Mbrojtja e të dhënave personale sipas dizajnit dhe si parazgjedhje;
- Neni 32 GDPR. Siguria e përpunimit;
- Neni 5 klauzola 1.f GDPR. Parimi i integritetit dhe konfidencialitetit.
Në BE, gjobat për shkelje të GDPR llogariten individualisht, në praktikë do të gjobiteshin 200,000+ euro.
Çfarë duhet të ndryshojë në Ukrainë
Praktika e fituar në procesin e mbështetjes së IT dhe bizneseve online si në Ukrainë ashtu edhe jashtë saj ka treguar problemet dhe arritjet e GDPR.
Më poshtë janë gjashtë ndryshime që duhet të futen në legjislacionin ukrainas.
#Përshtat kuadrin legjislativ me epokën dixhitale
Që nga nënshkrimi i Marrëveshjes së Asociimit me BE-në, Ukraina ka zhvilluar legjislacion të ri për mbrojtjen e të dhënave dhe GDPR është bërë një dritë udhëzuese.
Miratimi i një ligji për mbrojtjen e të dhënave personale nuk ishte aq i lehtë. Duket se ka një "skelet" në formën e rregullores GDPR dhe thjesht duhet të ndërtoni "mishin" (përshtatni normat), por lindin shumë çështje të diskutueshme, si nga pikëpamja e praktikës ashtu edhe nga ligji. .
Për shembull:
- të dhënat e hapura do të konsiderohen personale,
- a do të zbatohet ligji për agjencitë e zbatimit të ligjit,
- cila është përgjegjësia për shkeljen e ligjit, a do të jetë masa e gjobave e krahasueshme me ato europiane etj.
Pika kryesore është se legjislacioni duhet të përshtatet dhe jo të kopjohet nga GDPR. Ka ende shumë probleme të pazgjidhura në Ukrainë që nuk janë tipike për vendet e BE-së.
#Unifikimi i terminologjisë
Përcaktoni se çfarë janë të dhënat personale dhe informacioni konfidencial. Kushtetuta e Ukrainës, neni 32, ndalon përpunimin e informacionit konfidencial. Përkufizimi i informacionit konfidencial përmbahet në të paktën njëzet ligje.
Citate nga burimi origjinal në gjuhën ukrainase këtu
- informacion në lidhje me kombësinë, arsimin, kulturën familjare, ndryshimet fetare, gjendjen shëndetësore, adresat, datën dhe vendin e lindjes (Pjesa 2 e nenit 11 të ligjit të Ukrainës "Për informacionin");
- informacion në lidhje me vendbanimin (Pjesa 8 e nenit 6 të Ligjit të Ukrainës "Për lirinë e transferimit dhe zgjedhjen e lirë të vendbanimit në Ukrainë");
- informacione për veçoritë e jetës së komuniteteve, të marra nga brutalizimi i komuniteteve (neni 10 i Ligjit të Ukrainës "Për brutalizimin e komuniteteve");
- të dhënat parësore të hequra në procesin e kryerjes së Regjistrimit të Popullsisë (neni 16 i Ligjit të Ukrainës "Për Regjistrimin Gjithëukrainas të Popullsisë");
- deklaratat që dorëzohen nga aplikanti për njohje si refugjat ose mbrojtje speciale, të cilat do të kërkojnë mbrojtje shtesë (Pjesa 10, neni 7 i Ligjit të Ukrainës "Për refugjatët dhe mbrojtjen e veçantë, e cila do të kërkojë mbrojtje shtesë ose në kohë");
- informacion në lidhje me depozitat e pensioneve, pagesat e pensioneve dhe të ardhurat nga investimet (teprica) që ndahen në llogarinë individuale të pensionit të një pjesëmarrësi të fondit pensional, llogarinë e depozitës së pensionit të aseteve fizike ib, kontratat për sigurimin e pensionit para moshës (Pjesa 3 e nenit 53 të Ligji i Ukrainës "Për sigurimin e pensioneve joqeveritare");
- informacion në lidhje me gjendjen e mjeteve pensionale të investuara në llogarinë e pensionit akumulues të personit të siguruar (Pjesa 1 e nenit 98 të Ligjit të Ukrainës "Për sigurimin e pensionit të shtetit ligjor");
- informacion në lidhje me subjektin e kontratës për zhvillimin e kërkimit shkencor ose kërkimit dhe projektimit dhe robotëve teknologjikë, përparimin dhe rezultatet e tyre (neni 895 i Kodit Civil të Ukrainës)
- Informacioni që mund të përdoret për të identifikuar personin e një shkelësi të mitur ose çfarë përbën faktin e vetëvrasjes së të miturit (Pjesa 3 e nenit 62 të Ligjit të Ukrainës "Për komunikimet televizive dhe radio");
- Informacion për të ndjerin (neni 7 i Ligjit të Ukrainës "Për shërbimet e funeralit");
deklaratat për pagesën e punës (neni 31 i Ligjit të Ukrainës "Për pagesën e punës" Deklaratat për pagesën e punës lëshohen vetëm në rastet e legjislacionit, por edhe në diskrecionin e punëtorit); - aplikimet dhe materialet për lëshimin e patentave (neni 19 i Ligjit të Ukrainës "Për mbrojtjen e të drejtave të produkteve dhe modeleve");
- informacione që gjenden në tekstet e vendimeve gjyqësore dhe bëjnë të mundur identifikimin e një personi fizik, duke përfshirë: emrat (emrat, sipas babait, pseudonimit) të personave fizikë; vendbanimi ose aktiviteti fizik nga adresat e caktuara, numrat e telefonit dhe detajet e tjera të kontaktit, adresat e emailit, numrat e identifikimit (kodet); numrat e regjistrimit të automjeteve të transportit (neni 7 i Ligjit të Ukrainës "Për aksesin në vendimet e anijeve").
- të dhëna për një person të marrë nën mbrojtje nga procedimi penal (neni 15 i ligjit të Ukrainës "Për garantimin e sigurisë së personave që marrin pjesë në procedimin penal");
- materialet e aplikimit të një personi fizik ose juridik për regjistrimin e varietetit Roslin, rezultatet e ekzaminimit të varietetit Roslin (neni 23 i Ligjit të Ukrainës "Për mbrojtjen e të drejtave të varieteteve Roslin");
- të dhëna për avokatin në gjykatë ose agjenci të zbatimit të ligjit, të marra nën mbrojtje (neni 10 i ligjit të Ukrainës "Për mbrojtjen sovrane të oficerëve të policisë në gjykatë dhe agjencitë e zbatimit të ligjit");
- një grup të dhënash për individët që kanë pësuar dhunë (të dhëna personale) që gjenden në regjistër, si dhe informacione me akses të përbashkët. (Pjesa 10, neni 16 i Ligjit të Ukrainës "Për Parandalimin dhe Parandalimin e Dhunës në Familje");
- Informacion në lidhje me konfidencialitetin e mallrave që lëvizin nëpër kordonin ushtarak të Ukrainës (Pjesa 1 e nenit 263 të Kodit Ushtarak të Ukrainës);
- Informacioni që duhet të përfshihet në aplikimin për regjistrimin shtetëror të produkteve medicinale dhe shtojcave për to (pjesa 8 e nenit 9 të Ligjit të Ukrainës "Për produktet medicinale");
#Largohuni nga konceptet vlerësuese
Ka shumë koncepte vlerësuese në GDPR. Konceptet e vlerësimit në një vend pa ligj precedent (nënkupton Ukrainën) janë më shumë një hapësirë për "shmangien e përgjegjësisë" sesa të dobishme për popullsinë dhe vendin në tërësi.
# Prezantoni konceptin e DPO
Oficeri për mbrojtjen e të dhënave (DPO) është një ekspert i pavarur për mbrojtjen e të dhënave. Legjislacioni duhet të rregullojë qartë dhe pa koncepte vlerësuese nevojën për emërimin e detyrueshëm të një eksperti në pozicionin e OPAK. Si e bëjnë këtë në Bashkimin Evropian .
#Përcaktoni nivelin e përgjegjësisë për shkeljet në fushën e të dhënave personale, të diferencojë gjobat në varësi të madhësisë (fitimit) të shoqërisë.
- 34 mijë hryvnia
Nuk ka ende një kulturë të mbrojtjes së të dhënave personale në Ukrainë; Ligji aktual "Për Mbrojtjen e të Dhënave Personale" thotë se "një shkelje përfshin përgjegjësinë e përcaktuar me ligj". Gjoba sipas Kodit Administrativ për akses të paligjshëm në të dhënat personale dhe për shkelje të të drejtave të subjekteve është deri në 34,000 UAH.
- 20 milionë euro
Gjoba për shkeljen e GDPR është më e madhja në botë – deri në 20,000,000 euro, ose deri në 4% të xhiros totale vjetore të kompanisë për vitin e kaluar financiar. Google mori gjobën e parë prej 50 milionë eurosh për shkelje të privatësisë së të dhënave që përfshinin shtetas francezë.
- 114 milionë euro
GDPR festoi 2 vjetorin e tij në maj dhe mblodhi 114 milionë euro gjoba. Rregullatorët shpesh synojnë kompani gjigante me miliona të dhëna përdoruesish.
Zinxhiri i hoteleve Marriott International dhe British Airways përballen me gjoba shumëmilionëshe këtë vit për shkelje të të dhënave që pritet të mposhtin Google për gjobat më të larta. Rregullatorët e Mbretërisë së Bashkuar kanë paralajmëruar se planifikojnë t'i penalizojnë ata në një vlerë prej rreth 366 milionë dollarësh.
Gjoba me gjashtë zero lëshohen për kompanitë globale, shërbimet e të cilave ne i përdorim çdo ditë. Megjithatë, kjo nuk do të thotë se kompanitë e vogla, të panjohura nuk i nënshtrohen gjobave.
Një kompani postare austriake mori një gjobë prej 18 milionë eurosh për krijimin dhe shitjen e profileve të 3 milionë njerëzve që përmbanin informacione për adresat, preferencat personale dhe përkatësitë politike.
Një shërbim pagese në Lituani nuk i fshiu të dhënat personale të klientëve kur nuk kishte më nevojë për përpunim dhe mori një gjobë prej 61,000 euro.
Një organizatë jofitimprurëse në Belgjikë dërgoi marketing të drejtpërdrejtë me email edhe pasi marrësit kishin hequr dorë dhe kishin marrë një gjobë prej 1000 €.
1000 euro nuk janë asgjë në krahasim me dëmtimin e reputacionit.
#Lumturia nuk është në gjoba
"Kushdo që dëshiron të dijë informacione për mua, do ta zbulojë gjithsesi, pavarësisht ligjit" - kjo është ajo që shumë njerëz thonë në Ukrainë dhe vendet e CIS, për fat të keq.
Por gjithnjë e më pak njerëz e besojnë keqkuptimin se "ata do të vjedhin një foto pasaporte dhe do të marrin një kredi në emrin tim", sepse edhe me origjinalin e pasaportës së dikujt tjetër në duart tuaja është ligjërisht e pamundur ta bëni këtë.
Njerëzit janë të ndarë në 2 kampe:
- “Paranoidët” që besojnë në fenë e të dhënave personale mendojnë përpara se të kontrollojnë një kuti dhe të japin pëlqimin për përpunimin e të dhënave.
- “Ata që nuk u interesojnë”, ose njerëzit që nxjerrin automatikisht të dhënat e tyre personale në rrjet, nuk mendojnë për pasojat. Dhe pastaj kartat e tyre të kreditit janë vjedhur, ata regjistrohen për pagesa të përsëritura, llogaritë e tyre të mesazherëve janë vjedhur, emailet e tyre janë hakuar ose kriptovaluta tërhiqet nga portofoli i tyre.
Liria dhe demokracia
Mbrojtja e të dhënave personale ka të bëjë me lirinë e zgjedhjes së një personi, kulturën e shoqërisë dhe demokracinë. Është më e lehtë të menaxhosh shoqërinë me më shumë të dhëna; është e mundur të parashikosh zgjedhjen e një personi dhe ta shtysh atë drejt veprimit të dëshiruar. Është e vështirë për njeriun të bëjë si të dojë nëse është i vëzhguar, njeriu bëhet i rehatshëm dhe si rrjedhim i kontrolluar, pra personi në mënyrë të pandërgjegjshme nuk bën si të dojë, por siç ishte i bindur të bënte.
GDPR nuk është perfekt, por përmbush idenë dhe qëllimin kryesor në BE - evropianët kanë kuptuar se një person i pavarur zotëron dhe menaxhon në mënyrë të pavarur të dhënat e tij personale.
Ukraina është vetëm në fillim të rrugëtimit të saj, terreni po përgatitet. Nga shteti, banorët do të marrin një tekst të ri të ligjit, me shumë gjasa një organ rregullator i pavarur, por vetë ukrainasit duhet të vijnë te vlerat moderne evropiane dhe të kuptuarit se demokracia në vitin 2020 duhet të ekzistojë edhe në hapësirën dixhitale.
PS po shkruaj ne rrjetet sociale. rrjete rreth jurisprudencës dhe biznesit të IT. Do të jem i kënaqur nëse abonoheni në një nga llogaritë e mia. Kjo sigurisht që do të shtojë motivimin për të zhvilluar profilin tuaj dhe për të punuar në përmbajtje.
Vetëm përdoruesit e regjistruar mund të marrin pjesë në anketë. , te lutem
Shkruani për legjislacionin e Federatës Ruse për të dhënat personale?
-
51,4%po 19
-
48,6%më mirë zgjidhni një temë tjetër18
37 përdorues votuan. 19 përdorues abstenuan.
Burimi: www.habr.com