🥇ข้อมูลรั่วไหลในยูเครน ความสอดคล้องกับกฎหมายของสหภาพยุโรป

เรื่องอื้อฉาวเกี่ยวกับการรั่วไหลของข้อมูลใบขับขี่ผ่านทางบอท Telegram ดังกึกก้องไปทั่วยูเครน ในตอนแรกมีข้อสงสัยเกี่ยวกับแอปพลิเคชันบริการของรัฐบาล “DIYA” แต่ความเกี่ยวข้องของแอปพลิเคชันในเหตุการณ์นี้ถูกปฏิเสธอย่างรวดเร็ว คำถามจากซีรีส์ "ใครรั่วไหลข้อมูลและอย่างไร" จะถูกมอบให้กับรัฐที่เป็นตัวแทนของตำรวจยูเครน, SBU และผู้เชี่ยวชาญด้านคอมพิวเตอร์และทางเทคนิค แต่ปัญหาของการปฏิบัติตามกฎหมายของเราเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคลด้วยความเป็นจริงของ ยุคดิจิทัลได้รับการพิจารณาโดยผู้เขียนสิ่งพิมพ์ Vyacheslav Ustimenko ที่ปรึกษาของสำนักงานกฎหมาย Icon Partners

ยูเครนมุ่งมั่นที่จะเข้าร่วมสหภาพยุโรป และนี่หมายถึงการนำมาตรฐานยุโรปมาใช้ในการปกป้องข้อมูลส่วนบุคคล

ลองจำลองกรณีและจินตนาการว่าองค์กรที่ไม่แสวงหาผลกำไรจากสหภาพยุโรปรั่วไหลข้อมูลใบขับขี่จำนวนเท่ากัน และข้อเท็จจริงนี้ถูกกำหนดโดยหน่วยงานบังคับใช้กฎหมายในท้องถิ่น

ในสหภาพยุโรป ต่างจากยูเครนตรงที่มีกฎระเบียบเกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล - GDPR

การรั่วไหลบ่งบอกถึงการละเมิดหลักการที่อธิบายไว้ใน:

มาตรา 25 GDPR การคุ้มครองข้อมูลส่วนบุคคลตามการออกแบบและตามค่าเริ่มต้น
มาตรา 32 GDPR ความปลอดภัยของการประมวลผล
มาตรา 5 ข้อ 1.f GDPR หลักการของความซื่อสัตย์และการรักษาความลับ

ในสหภาพยุโรป ค่าปรับสำหรับการละเมิด GDPR จะถูกคำนวณเป็นรายบุคคล ในทางปฏิบัติจะถูกปรับเป็นจำนวนมากกว่า 200,000 ยูโร

สิ่งที่ควรมีการเปลี่ยนแปลงในยูเครน

แนวปฏิบัติที่ได้รับในกระบวนการสนับสนุนธุรกิจไอทีและออนไลน์ทั้งในยูเครนและต่างประเทศได้แสดงให้เห็นถึงปัญหาและความสำเร็จของ GDPR

ด้านล่างนี้คือการเปลี่ยนแปลงหกประการที่ควรนำมาใช้ในกฎหมายของยูเครน

#ปรับกรอบกฎหมายให้เข้ากับยุคดิจิทัล

นับตั้งแต่การลงนามในข้อตกลงสมาคมกับสหภาพยุโรป ยูเครนก็ได้พัฒนากฎหมายคุ้มครองข้อมูลใหม่และ GDPR ก็กลายเป็นแสงสว่างนำทาง

การผ่านกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคลไม่ใช่เรื่องง่าย ดูเหมือนว่ามี "โครงกระดูก" ในรูปแบบของกฎระเบียบ GDPR และคุณเพียงแค่ต้องสร้าง "เนื้อ" (ปรับบรรทัดฐาน) แต่ประเด็นขัดแย้งมากมายเกิดขึ้นทั้งจากมุมมองของการปฏิบัติและกฎหมาย .

ตัวอย่างเช่น:

จะเปิดข้อมูลถือเป็นส่วนบุคคล
กฎหมายจะนำไปใช้กับหน่วยงานบังคับใช้กฎหมายหรือไม่
การละเมิดกฎหมายมีความรับผิดชอบอะไรจำนวนค่าปรับจะเทียบได้กับค่าปรับของยุโรปหรือไม่ ฯลฯ

ประเด็นสำคัญคือกฎหมายจำเป็นต้องได้รับการปรับเปลี่ยนและไม่คัดลอกมาจาก GDPR ยังมีปัญหาที่ยังไม่ได้รับการแก้ไขอีกมากมายในยูเครนซึ่งไม่ปกติสำหรับประเทศในสหภาพยุโรป

#รวมคำศัพท์

กำหนดว่าข้อมูลส่วนบุคคลและข้อมูลลับคืออะไร รัฐธรรมนูญของประเทศยูเครน มาตรา 32 ห้ามการประมวลผลข้อมูลที่เป็นความลับ คำจำกัดความของข้อมูลที่เป็นความลับมีอยู่ในกฎหมายอย่างน้อยยี่สิบฉบับ

คำพูดจากแหล่งต้นฉบับในภาษายูเครนที่นี่

ข้อมูลเกี่ยวกับสัญชาติ การศึกษา วัฒนธรรมครอบครัว การเปลี่ยนแปลงทางศาสนา สถานะสุขภาพ ที่อยู่ วันเดือนปีเกิดและสถานที่เกิด (ส่วนที่ 2 ของมาตรา 11 ของกฎหมายของประเทศยูเครน "ข้อมูล");
ข้อมูลเกี่ยวกับสถานที่อยู่อาศัย (ส่วนที่ 8 ของมาตรา 6 ของกฎหมายของประเทศยูเครน "เสรีภาพในการโอนและการเลือกที่อยู่อาศัยฟรีในยูเครน");
ข้อมูลเกี่ยวกับลักษณะเฉพาะของชีวิตชุมชนที่ได้รับจากการทารุณกรรมของชุมชน (มาตรา 10 ของกฎหมายของประเทศยูเครน "เรื่องการทารุณกรรมของชุมชน");
ข้อมูลหลักที่ถูกลบออกในกระบวนการดำเนินการสำรวจสำมะโนประชากร (มาตรา 16 ของกฎหมายของประเทศยูเครน "ในการสำรวจสำมะโนประชากรทั้งหมดของชาวยูเครน");
ข้อความที่ผู้สมัครส่งมาเพื่อรับรองว่าเป็นผู้ลี้ภัยหรือการคุ้มครองพิเศษซึ่งจะต้องมีการคุ้มครองเพิ่มเติม (ส่วนที่ 10 มาตรา 7 ของกฎหมายของประเทศยูเครน “เกี่ยวกับผู้ลี้ภัยและการคุ้มครองพิเศษซึ่งจะต้องมีการคุ้มครองเพิ่มเติมหรือทันเวลา”);
ข้อมูลเกี่ยวกับเงินฝากบำนาญ การจ่ายเงินบำนาญ และรายได้จากการลงทุน (ส่วนเกิน) ที่จัดสรรให้กับบัญชีบำนาญส่วนบุคคลของผู้เข้าร่วมกองทุนบำเหน็จบำนาญ บัญชีเงินฝากบำนาญของสินทรัพย์ทางกายภาพ ib สัญญาสำหรับการประกันเงินบำนาญก่อนวัยอันควร (ส่วนที่ 3 ของมาตรา 53 ของ กฎหมายของประเทศยูเครน "ในการประกันบำนาญที่ไม่ใช่ของรัฐบาล" ;
ข้อมูลเกี่ยวกับสถานะของสินทรัพย์บำนาญที่ลงทุนในบัญชีเงินบำนาญสะสมของผู้ประกันตน (ส่วนที่ 1 ของมาตรา 98 ของกฎหมายของประเทศยูเครน "ในการประกันบำนาญของรัฐตามกฎหมาย");
ข้อมูลเกี่ยวกับเรื่องของสัญญาเพื่อการพัฒนาการวิจัยทางวิทยาศาสตร์หรือการวิจัยและพัฒนาและหุ่นยนต์เทคโนโลยีความคืบหน้าและผลลัพธ์ (มาตรา 895 แห่งประมวลกฎหมายแพ่งของประเทศยูเครน)
ข้อมูลที่สามารถใช้เพื่อระบุตัวบุคคลของผู้กระทำผิดผู้เยาว์หรือสิ่งที่ก่อให้เกิดข้อเท็จจริงของการฆ่าตัวตายของผู้เยาว์ (ส่วนที่ 3 ของมาตรา 62 ของกฎหมายของประเทศยูเครน "การสื่อสารทางทีวีและวิทยุ");
ข้อมูลเกี่ยวกับผู้เสียชีวิต (มาตรา 7 ของกฎหมายของประเทศยูเครน "บริการงานศพ");
คำแถลงเกี่ยวกับการจ่ายค่าจ้าง (มาตรา 31 ของกฎหมายของประเทศยูเครน“ ในการจ่ายค่าจ้าง” คำแถลงเกี่ยวกับการจ่ายค่าจ้างจะออกเฉพาะในกรณีของกฎหมายเท่านั้น แต่ยังขึ้นอยู่กับดุลยพินิจของคนงานด้วย)
การใช้งานและวัสดุสำหรับการออกสิทธิบัตร (มาตรา 19 ของกฎหมายของประเทศยูเครน "ว่าด้วยการคุ้มครองสิทธิในผลิตภัณฑ์และรุ่น");
ข้อมูลที่สามารถพบได้ในข้อความคำตัดสินของศาลและทำให้สามารถระบุตัวบุคคลได้ รวมถึง: ชื่อ (ชื่อตามชื่อเล่นของบิดา) ของบุคคล สถานที่พำนักหรือการออกกำลังกายจากที่อยู่ที่กำหนด หมายเลขโทรศัพท์และรายละเอียดการติดต่ออื่น ๆ ที่อยู่อีเมล หมายเลขประจำตัว (รหัส) หมายเลขทะเบียนของยานพาหนะขนส่ง (มาตรา 7 ของกฎหมายของประเทศยูเครน "ในการเข้าถึงการตัดสินใจของเรือ")
ข้อมูลเกี่ยวกับบุคคลที่อยู่ภายใต้การคุ้มครองจากการดำเนินคดีทางอาญา (มาตรา 15 ของกฎหมายของประเทศยูเครน "ในการรับรองความปลอดภัยของบุคคลที่มีส่วนร่วมในการดำเนินคดีทางอาญา");
วัสดุของการสมัครของบุคคลทางกายภาพหรือทางกฎหมายสำหรับการลงทะเบียนพันธุ์ Roslin ผลการตรวจสอบพันธุ์ Roslin (มาตรา 23 ของกฎหมายของประเทศยูเครน "ในการคุ้มครองสิทธิในพันธุ์ Roslin");
ข้อมูลเกี่ยวกับทนายความต่อศาลหรือหน่วยงานบังคับใช้กฎหมายที่อยู่ภายใต้การคุ้มครอง (มาตรา 10 ของกฎหมายของประเทศยูเครน “ในการคุ้มครองอธิปไตยของเจ้าหน้าที่ตำรวจต่อศาลและหน่วยงานบังคับใช้กฎหมาย”);
ชุดบันทึกเกี่ยวกับบุคคลที่ประสบความรุนแรง (ข้อมูลส่วนบุคคล) ที่อยู่ในทะเบียน รวมถึงข้อมูลที่เข้าถึงได้ร่วมกัน (ส่วนที่ 10 มาตรา 16 ของกฎหมายของประเทศยูเครน “ว่าด้วยการป้องกันและป้องกันความรุนแรงในครอบครัว”);
ข้อมูลเกี่ยวกับการรักษาความลับของสินค้าที่เคลื่อนผ่านวงล้อมทหารของยูเครน (ส่วนที่ 1 ของมาตรา 263 แห่งประมวลกฎหมายทหารของประเทศยูเครน)
ข้อมูลที่ควรรวมอยู่ในการสมัครเพื่อลงทะเบียนผลิตภัณฑ์ยาและอาหารเสริมของรัฐ (ส่วนที่ 8 ของข้อ 9 ของกฎหมายของประเทศยูเครน "เกี่ยวกับผลิตภัณฑ์ยา");

#หลีกหนีจากแนวคิดเชิงประเมินผล

มีแนวคิดเชิงประเมินมากมายใน GDPR แนวคิดการประเมินค่าในประเทศที่ไม่มีกฎหมายแบบอย่าง (หมายถึงยูเครน) ถือเป็นพื้นที่สำหรับ "การหลีกเลี่ยงความรับผิดชอบ" มากกว่ามีประโยชน์สำหรับประชากรและประเทศโดยรวม

#แนะนำแนวคิด อ.ส.ค

เจ้าหน้าที่คุ้มครองข้อมูล (DPO) เป็นผู้เชี่ยวชาญด้านการปกป้องข้อมูลอิสระ กฎหมายต้องชัดเจนและไม่มีแนวคิดในการประเมินเพื่อควบคุมความจำเป็นในการแต่งตั้งผู้เชี่ยวชาญให้ดำรงตำแหน่งของ อ.ส.ค. พวกเขาทำอย่างไรในสหภาพยุโรป เขียนที่นี่.

#กำหนดระดับความรับผิดชอบต่อการละเมิดในด้านข้อมูลส่วนบุคคล แยกค่าปรับตามขนาด (กำไร) ของบริษัท

34 ฮรีฟเนีย
ยังไม่มีวัฒนธรรมของการปกป้องข้อมูลส่วนบุคคลในยูเครน กฎหมายปัจจุบัน "เกี่ยวกับการคุ้มครองข้อมูลส่วนบุคคล" กล่าวว่า "การละเมิดนำมาซึ่งความรับผิดที่กฎหมายกำหนด" ค่าปรับภายใต้ประมวลกฎหมายปกครองสำหรับการเข้าถึงข้อมูลส่วนบุคคลอย่างผิดกฎหมายและการละเมิดสิทธิของอาสาสมัครนั้นสูงถึง UAH 34,000
20 ล้านยูโร
ค่าปรับสำหรับการละเมิด GDPR ถือเป็นค่าปรับที่ใหญ่ที่สุดในโลก สูงถึง 20,000,000 ยูโร หรือสูงถึง 4% ของมูลค่าการซื้อขายประจำปีของบริษัทในปีงบประมาณก่อนหน้า Google ได้รับการปรับครั้งแรก 50 ล้านยูโรจากการละเมิดความเป็นส่วนตัวของข้อมูลที่เกี่ยวข้องกับพลเมืองฝรั่งเศส
114 ล้านยูโร
GDPR ฉลองครบรอบ 2 ปีในเดือนพฤษภาคมและเรียกเก็บเงินค่าปรับ 114 ล้านยูโร หน่วยงานกำกับดูแลมักมุ่งเป้าไปที่บริษัทยักษ์ใหญ่ด้วยข้อมูลผู้ใช้นับล้าน
เครือโรงแรมแมริออท อินเตอร์เนชั่นแนล และบริติชแอร์เวย์ เผชิญค่าปรับหลายล้านดอลลาร์ในปีนี้จากการละเมิดข้อมูลที่คาดว่าจะเอาชนะ Google ด้วยค่าปรับสูงสุด หน่วยงานกำกับดูแลของสหราชอาณาจักรได้เตือนว่าพวกเขาวางแผนที่จะลงโทษพวกเขาเป็นจำนวนเงินรวมประมาณ 366 ล้านดอลลาร์
ค่าปรับที่มีศูนย์หกตัวจะออกให้กับบริษัทระดับโลกที่เราใช้บริการทุกวัน อย่างไรก็ตาม นี่ไม่ได้หมายความว่าบริษัทขนาดเล็กที่ไม่คุ้นเคยจะไม่ถูกลงโทษ
บริษัทไปรษณีย์แห่งหนึ่งในออสเตรียถูกปรับ 18 ล้านยูโรฐานสร้างและขายโปรไฟล์ของบุคคล 3 ล้านคนซึ่งมีข้อมูลเกี่ยวกับที่อยู่ ความชอบส่วนบุคคล และความเกี่ยวข้องทางการเมือง
บริการชำระเงินในลิทัวเนียไม่ได้ลบข้อมูลส่วนบุคคลของลูกค้าเมื่อไม่จำเป็นต้องประมวลผลอีกต่อไปและได้รับค่าปรับ 61,000 ยูโร
องค์กรไม่แสวงหากำไรในเบลเยียมส่งอีเมลการตลาดโดยตรง แม้ว่าผู้รับจะเลือกไม่รับและได้รับค่าปรับ 1000 ยูโรก็ตาม
1000 ยูโรเทียบไม่ได้กับความเสียหายต่อชื่อเสียง

#ความสุขไม่ได้อยู่ที่ค่าปรับ

“ ใครก็ตามที่ต้องการทราบข้อมูลเกี่ยวกับฉันจะหาข้อมูลต่อไปแม้จะมีกฎหมายก็ตาม” - นี่คือสิ่งที่หลายคนพูดในยูเครนและประเทศ CIS น่าเสียดาย

แต่มีคนจำนวนน้อยลงที่เชื่อความเข้าใจผิดเกี่ยวกับ "พวกเขาจะขโมยรูปถ่ายหนังสือเดินทางและกู้เงินในนามของฉัน" เพราะถึงแม้จะมีหนังสือเดินทางต้นฉบับของคนอื่นอยู่ในมือของคุณ ก็เป็นไปไม่ได้ตามกฎหมายที่จะทำเช่นนี้

ประชาชนแบ่งออกเป็น 2 ค่าย คือ

“คนหวาดระแวง” ที่เชื่อในศาสนาแห่งข้อมูลส่วนบุคคลคิดก่อนทำเครื่องหมายในช่องและยินยอมให้ประมวลผลข้อมูล
“ผู้ที่ไม่สนใจ” หรือผู้ที่รั่วไหลข้อมูลส่วนตัวของตนไปยังเครือข่ายโดยอัตโนมัติ ไม่คิดเกี่ยวกับผลที่ตามมา จากนั้นบัตรเครดิตของพวกเขาก็ถูกขโมย พวกเขาลงทะเบียนเพื่อชำระเงินแบบประจำ บัญชี Messenger ของพวกเขาถูกขโมย อีเมลของพวกเขาถูกแฮ็ก หรือสกุลเงินดิจิทัลถูกถอนออกจากกระเป๋าเงินของพวกเขา

เสรีภาพและประชาธิปไตย

การคุ้มครองข้อมูลส่วนบุคคลเป็นเรื่องเกี่ยวกับเสรีภาพในการเลือกบุคคล วัฒนธรรมของสังคม และประชาธิปไตย การจัดการสังคมด้วยข้อมูลมากขึ้นทำได้ง่ายกว่าโดยสามารถคาดเดาการเลือกของบุคคลและผลักดันให้เขาดำเนินการตามที่ต้องการได้ เป็นเรื่องยากสำหรับคนๆ หนึ่งที่จะทำในสิ่งที่เขาต้องการหากเขาถูกจับตามอง บุคคลนั้นก็จะสบายใจ และผลที่ตามมาก็คือ ถูกควบคุม นั่นคือบุคคลนั้นไม่ได้ทำตามที่เขาต้องการโดยไม่รู้ตัว แต่เป็นไปตามที่เขาเชื่อมั่นว่าจะทำ

GDPR ไม่ได้สมบูรณ์แบบ แต่ตอบสนองแนวคิดหลักและเป้าหมายในสหภาพยุโรป - ชาวยุโรปได้ตระหนักว่าบุคคลที่เป็นอิสระเป็นเจ้าของและจัดการข้อมูลส่วนบุคคลของเขาอย่างอิสระ

ยูเครนเป็นเพียงจุดเริ่มต้นของการเดินทางเท่านั้น กำลังเตรียมพื้นดิน ผู้อยู่อาศัยจะได้รับข้อความใหม่ของกฎหมายจากรัฐซึ่งส่วนใหญ่น่าจะเป็นหน่วยงานกำกับดูแลที่เป็นอิสระ แต่ชาวยูเครนเองก็ต้องคำนึงถึงคุณค่าของยุโรปสมัยใหม่และความเข้าใจว่าประชาธิปไตยในปี 2020 ควรมีอยู่ในพื้นที่ดิจิทัลด้วย

ป.ล. ฉันกำลังเขียนบนโซเชียลมีเดีย เครือข่ายเกี่ยวกับนิติศาสตร์และธุรกิจไอที ฉันจะยินดีหากคุณสมัครรับหนึ่งในบัญชีของฉัน สิ่งนี้จะเพิ่มแรงจูงใจในการพัฒนาโปรไฟล์ของคุณและทำงานกับเนื้อหาอย่างแน่นอน

Facebook
Instagram

เฉพาะผู้ใช้ที่ลงทะเบียนเท่านั้นที่สามารถเข้าร่วมในการสำรวจได้ เข้าสู่ระบบ, โปรด.