ProHoster > Blog > Pangangasiwa > Data leak sa Ukraine. Parallel sa batas ng EU

Data leak sa Ukraine. Parallel sa batas ng EU

Data leak sa Ukraine. Parallel sa batas ng EU

Dumagundong sa buong Ukraine ang iskandalo sa pagtagas ng data ng lisensya sa pagmamaneho sa pamamagitan ng Telegram bot. Ang mga hinala sa una ay nahulog sa application ng mga serbisyo ng gobyerno na "DIYA", ngunit ang pagkakasangkot ng aplikasyon sa insidenteng ito ay mabilis na tinanggihan. Ang mga tanong mula sa seryeng "sino ang nag-leak ng data at kung paano" ay ipagkakatiwala sa estado na kinakatawan ng Ukrainian police, ang SBU at mga eksperto sa computer at teknikal, ngunit ang isyu ng pagsunod sa aming batas sa proteksyon ng personal na data sa mga katotohanan ng ang digital na panahon ay isinasaalang-alang ng may-akda ng publikasyon, si Vyacheslav Ustimenko, isang consultant sa law firm na Icon Partners.

Ang Ukraine ay nagsusumikap na sumali sa EU, at ito ay nagpapahiwatig ng pag-ampon ng mga pamantayang European para sa proteksyon ng personal na data.

Gayahin natin ang isang kaso at isipin na ang isang non-profit na organisasyon mula sa EU ay nag-leak ng parehong dami ng data ng lisensya sa pagmamaneho at ang katotohanang ito ay natukoy ng mga lokal na ahensyang nagpapatupad ng batas.

Sa EU, hindi tulad ng Ukraine, mayroong isang regulasyon sa proteksyon ng personal na data - GDPR.

Ang pagtagas ay nagpapahiwatig ng mga paglabag sa mga prinsipyong inilarawan sa:

  • Artikulo 25 GDPR Proteksyon ng personal na data ayon sa disenyo at bilang default;
  • Artikulo 32 GDPR. Seguridad sa pagproseso;
  • Artikulo 5 sugnay 1.f GDPR. Prinsipyo ng integridad at pagiging kumpidensyal.

Sa EU, ang mga multa para sa paglabag sa GDPR ay kinakalkula nang paisa-isa, sa pagsasagawa, sila ay pagmumultahin ng 200,000+ euro.

Ano ang dapat baguhin sa Ukraine

Ang kasanayang nakuha sa proseso ng pagsuporta sa IT at mga online na negosyo sa Ukraine at sa ibang bansa ay nagpakita ng mga problema at tagumpay ng GDPR.

Nasa ibaba ang anim na pagbabago na dapat ipasok sa batas ng Ukrainian.

#Iangkop ang legislative framework sa digital era

Mula nang lagdaan ang Kasunduan ng Asosasyon sa EU, ang Ukraine ay bumubuo ng bagong batas sa proteksyon ng data, at ang GDPR ay naging isang gabay na liwanag.

Ang pagpasa ng batas sa proteksyon ng personal na data ay hindi napakadali. Tila mayroong isang "balangkas" sa anyo ng regulasyon ng GDPR at kailangan mo lamang na buuin ang "karne" (iangkop ang mga pamantayan), ngunit maraming mga kontrobersyal na isyu ang lumitaw, kapwa mula sa punto ng view ng pagsasanay at batas. .

Halimbawa:

  • ang magbubukas ng data ay ituring na personal,
  • ilalapat ba ang batas sa mga ahensyang nagpapatupad ng batas,
  • ano ang pananagutan sa paglabag sa batas, maihahambing ba ang halaga ng mga multa sa mga European, atbp.

Ang pangunahing punto ay ang batas ay kailangang iakma at hindi kopyahin mula sa GDPR. Marami pa ring hindi nalutas na mga problema sa Ukraine na hindi pangkaraniwan para sa mga bansa sa EU.

#Pag-isahin ang terminolohiya

Tukuyin kung ano ang personal na data at kumpidensyal na impormasyon. Ang Konstitusyon ng Ukraine, Artikulo 32, ay nagbabawal sa pagproseso ng kumpidensyal na impormasyon. Ang kahulugan ng kumpidensyal na impormasyon ay nakapaloob sa hindi bababa sa dalawampung Batas.

Mga panipi mula sa orihinal na pinagmulan sa Ukrainian dito

  • impormasyon tungkol sa nasyonalidad, edukasyon, kultura ng pamilya, mga pagbabago sa relihiyon, katayuan sa kalusugan, mga address, petsa at lugar ng kapanganakan (Bahagi 2 ng Artikulo 11 ng Batas ng Ukraine "Sa Impormasyon");
  • impormasyon tungkol sa lugar ng paninirahan (Bahagi 8 ng Artikulo 6 ng Batas ng Ukraine "Sa kalayaan ng paglipat at malayang pagpili ng paninirahan sa Ukraine");
  • impormasyon tungkol sa mga kakaibang buhay ng mga komunidad, na nakuha mula sa brutalisasyon ng mga komunidad (Artikulo 10 ng Batas ng Ukraine "Sa brutalisasyon ng mga komunidad");
  • ang pangunahing data na inalis sa proseso ng pagsasagawa ng Population Census (Artikulo 16 ng Batas ng Ukraine "Sa All-Ukrainian Population Census");
  • mga pahayag na isinumite ng aplikante para sa pagkilala bilang isang refugee o espesyal na proteksyon, na mangangailangan ng karagdagang proteksyon (Bahagi 10, Artikulo 7 ng Batas ng Ukraine "Sa mga refugee at espesyal na proteksyon, na mangangailangan ng karagdagang o napapanahong proteksyon");
  • impormasyon tungkol sa mga deposito ng pensiyon, mga pagbabayad ng pensiyon at kita ng pamumuhunan (sobra) na inilalaan sa indibidwal na pension account ng isang kalahok sa pondo ng pensiyon, pension deposit account ng mga pisikal na asset ib, mga kontrata para sa insurance ng pre-age pension (Bahagi 3 ng Artikulo 53 ng ang Batas ng Ukraine "Sa Non-Government Pension Insurance");
  • impormasyon tungkol sa estado ng mga asset ng pensiyon na namuhunan sa accumulative pension account ng taong nakaseguro (Bahagi 1 ng Artikulo 98 ng Batas ng Ukraine "Sa Legal na Seguro ng Pensiyon ng Estado");
  • impormasyon tungkol sa paksa ng kontrata para sa pagbuo ng siyentipikong pananaliksik o pananaliksik at pag-unlad at mga teknolohikal na robot, ang kanilang pag-unlad at mga resulta (Artikulo 895 ng Civil Code ng Ukraine)
  • Impormasyon na maaaring magamit upang makilala ang tao ng isang menor de edad na nagkasala o kung ano ang bumubuo sa katotohanan ng pagpapakamatay ng menor de edad (Bahagi 3 ng Artikulo 62 ng Batas ng Ukraine "Sa TV at Radio Communications");
  • Impormasyon tungkol sa namatay (Artikulo 7 ng Batas ng Ukraine "Sa mga serbisyo ng libing");
    mga pahayag tungkol sa pagbabayad ng paggawa (Artikulo 31 ng Batas ng Ukraine "Sa pagbabayad ng paggawa" Ang mga pahayag tungkol sa pagbabayad ng paggawa ay ibinibigay lamang sa mga kaso ng batas, ngunit din sa pagpapasya ng manggagawa);
  • mga aplikasyon at materyales para sa pagpapalabas ng mga patent (Artikulo 19 ng Batas ng Ukraine "Sa Proteksyon ng Mga Karapatan sa Mga Produkto at Modelo");
  • impormasyon na matatagpuan sa mga teksto ng mga desisyon ng korte at ginagawang posible na makilala ang isang pisikal na tao, kabilang ang: mga pangalan (pangalan, ayon sa palayaw ng Ama) ng mga pisikal na tao; lugar ng paninirahan o pisikal na aktibidad mula sa mga itinalagang address, numero ng telepono at iba pang mga detalye sa pakikipag-ugnayan, email address, numero ng pagkakakilanlan (mga code); mga numero ng pagpaparehistro ng mga sasakyang pang-transportasyon (Artikulo 7 ng Batas ng Ukraine "Sa pag-access sa mga desisyon sa barko").
  • data tungkol sa isang taong kinuha sa ilalim ng proteksyon mula sa mga paglilitis sa kriminal (Artikulo 15 ng Batas ng Ukraine "Sa pagtiyak ng kaligtasan ng mga taong nakikilahok sa mga paglilitis sa kriminal");
  • mga materyales ng aplikasyon ng isang pisikal o legal na tao para sa pagpaparehistro ng iba't ibang Roslin, ang mga resulta ng pagsusuri ng iba't ibang Roslin (Artikulo 23 ng Batas ng Ukraine "Sa proteksyon ng mga karapatan sa mga varieties ng Roslin");
  • data tungkol sa abogado sa korte o ahensyang nagpapatupad ng batas, na kinuha sa ilalim ng proteksyon (Artikulo 10 ng Batas ng Ukraine "Sa soberanong proteksyon ng mga opisyal ng pulisya sa korte at mga ahensya ng pagpapatupad ng batas");
  • isang hanay ng mga talaan tungkol sa mga indibidwal na dumanas ng karahasan (personal na data) na matatagpuan sa Register, pati na rin ang impormasyong may nakabahaging access. (Bahagi 10, Artikulo 16 ng Batas ng Ukraine "Sa Pag-iwas at Pag-iwas sa Karahasan sa Tahanan");
  • Impormasyon tungkol sa pagiging kompidensiyal ng mga kalakal na gumagalaw sa kordon ng militar ng Ukraine (Bahagi 1 ng Artikulo 263 ng Kodigo Militar ng Ukraine);
  • Impormasyon na dapat isama sa aplikasyon para sa pagpaparehistro ng estado ng mga produktong panggamot at mga suplemento sa kanila (bahagi 8 ng artikulo 9 ng Batas ng Ukraine "Sa mga produktong panggamot");

#Lumayo sa mga evaluative na konsepto

Maraming mga evaluative na konsepto sa GDPR. Ang mga konsepto ng pagpapahalaga sa isang bansang walang paunang batas (ibig sabihin ay Ukraine) ay higit na puwang para sa "pag-iwas sa responsibilidad" kaysa kapaki-pakinabang para sa populasyon at sa bansa sa kabuuan.

#Ipakilala ang konsepto ng DPO

Ang Data Protection Officer (DPO) ay isang independiyenteng dalubhasa sa proteksyon ng data. Ang batas ay dapat na malinaw at walang evaluative na mga konsepto na kinokontrol ang pangangailangan para sa mandatoryong appointment ng isang eksperto sa posisyon ng DPO. Paano nila ito ginagawa sa European Union nakasulat dito.

#Tukuyin ang antas ng responsibilidad para sa mga paglabag sa larangan ng personal na data, ibahin ang mga multa depende sa laki (profit) ng kumpanya.

  • 34 thousand Hryvnia

    Wala pa ring kultura ng proteksyon ng personal na data sa Ukraine; ang kasalukuyang Batas "Sa Proteksyon ng Personal na Data" ay nagsasabi na "ang isang paglabag ay nangangailangan ng pananagutan na itinatag ng batas." Ang multa sa ilalim ng Administrative Code para sa iligal na pag-access sa personal na data at para sa paglabag sa mga karapatan ng mga paksa ay hanggang UAH 34,000.

  • 20 milyong euro

    Ang multa para sa paglabag sa GDPR ang pinakamalaki sa mundo – hanggang 20,000,000 euros, o hanggang 4% ng kabuuang taunang turnover ng kumpanya para sa nakaraang taon ng pananalapi. Natanggap ng Google ang unang multa nitong 50 milyong euro para sa mga paglabag sa privacy ng data na kinasasangkutan ng mga mamamayan ng France.

  • 114 milyong euro

    Ipinagdiwang ng GDPR ang ika-2 anibersaryo nito noong Mayo at nakakolekta ng 114 milyong euro na multa. Kadalasang tina-target ng mga regulator ang mga higanteng kumpanya na may milyun-milyong data ng user.

    Nahaharap ang hotel chain na Marriott International at British Airways ng multimillion-dollar na multa ngayong taon para sa mga paglabag sa data na inaasahang matatalo sa Google para sa pinakamataas na multa. Nagbabala ang mga regulator ng U.K. na plano nilang parusahan sila na may kabuuang tinatayang $366 milyon.

    Ang mga multa na may anim na zero ay ibinibigay sa mga pandaigdigang kumpanya na ang mga serbisyo ay ginagamit namin araw-araw. Gayunpaman, hindi ito nangangahulugan na ang maliliit, hindi pamilyar na mga kumpanya ay hindi napapailalim sa mga parusa.

    Isang Austrian postal company ang nakatanggap ng multa na 18 million euros para sa paggawa at pagbebenta ng mga profile ng 3 milyong tao na naglalaman ng impormasyon tungkol sa mga address, personal na kagustuhan at political affiliations.

    Ang isang serbisyo sa pagbabayad sa Lithuania ay hindi nagtanggal ng personal na data ng mga kliyente kapag hindi na kailangan para sa pagproseso at nakatanggap ng multa na 61,000 euro.

    Nagpadala ang isang non-profit na organisasyon sa Belgium ng direktang email marketing kahit na nag-opt out ang mga tatanggap at nakatanggap ng €1000 na multa.

    Ang 1000 euro ay walang halaga kumpara sa pinsala sa reputasyon.

#Ang kaligayahan ay wala sa multa

"Ang sinumang gustong malaman ang impormasyon tungkol sa akin ay malalaman pa rin, sa kabila ng batas" - ito ang sinasabi ng maraming tao sa Ukraine at sa mga bansang CIS, sa kasamaang palad.

Ngunit paunti-unti ang mga tao na naniniwala sa maling kuru-kuro tungkol sa "magnanakaw sila ng larawan ng pasaporte at kukuha ng utang sa aking pangalan," dahil kahit na sa iyong mga kamay ang orihinal ng pasaporte ng ibang tao ay imposibleng gawin ito ayon sa batas.

Ang mga tao ay nahahati sa 2 kampo:

  • Ang mga "paranoid" na naniniwala sa relihiyon ng personal na data ay nag-iisip bago lagyan ng tsek ang kahon at pumayag sa pagproseso ng data.
  • Ang "mga walang pakialam", o mga taong awtomatikong naglalabas ng kanilang personal na data sa network, ay hindi nag-iisip tungkol sa mga kahihinatnan. At pagkatapos ay ninakaw ang kanilang mga credit card, nag-sign up sila para sa mga umuulit na pagbabayad, ninakaw ang kanilang mga messenger account, na-hack ang kanilang mga email, o na-withdraw ang cryptocurrency mula sa kanilang wallet.

Kalayaan at demokrasya

Ang proteksyon ng personal na data ay tungkol sa kalayaan sa pagpili ng isang tao, ang kultura ng lipunan at demokrasya. Mas madaling pamahalaan ang lipunan na may mas maraming data; posibleng hulaan ang pagpili ng isang tao at itulak siya sa nais na aksyon. Mahirap para sa isang tao na gawin ang gusto niya kung siya ay pinapanood, ang tao ay nagiging komportable, at bilang isang resulta, kontrolado, iyon ay, ang tao ay hindi nagagawa ang kanyang gusto, ngunit bilang siya ay kumbinsido na gawin.

Hindi perpekto ang GDPR, ngunit tinutupad nito ang pangunahing ideya at layunin sa EU - Napagtanto ng mga Europeo na ang isang malayang tao ay nakapag-iisa na nagmamay-ari at namamahala sa kanyang personal na data.

Ang Ukraine ay nasa simula pa lamang ng paglalakbay nito, inihahanda na ang lupa. Mula sa estado, ang mga residente ay makakatanggap ng isang bagong teksto ng batas, malamang na isang independiyenteng katawan ng regulasyon, ngunit ang mga Ukrainians mismo ay dapat na makarating sa mga modernong halaga ng Europa at ang pag-unawa na ang demokrasya sa 2020 ay dapat ding umiral sa digital space.

PS Nagsusulat ako sa social media. mga network tungkol sa jurisprudence at IT business. Ako ay nalulugod kung mag-subscribe ka sa isa sa aking mga account. Ito ay tiyak na magdaragdag ng pagganyak upang bumuo ng iyong profile at magtrabaho sa nilalaman.

Facebook
Instagram

Ang mga rehistradong user lamang ang maaaring lumahok sa survey. Mag-sign in, pakiusap

Sumulat tungkol sa batas ng Russian Federation sa personal na data?

  • 51,4%oo19

  • 48,6%mas mabuting pumili ng ibang paksa18

37 user ang bumoto. 19 na user ang umiwas.

Pinagmulan: www.habr.com

Magdagdag ng komento