ProHoster > Blog > yönetim > Ukrayna'da veri sızıntısı. AB mevzuatıyla paralellikler

Ukrayna'da veri sızıntısı. AB mevzuatıyla paralellikler

Ukrayna'da veri sızıntısı. AB mevzuatıyla paralellikler

Ehliyet verilerinin bir Telegram botu aracılığıyla sızdırılmasıyla ilgili skandal tüm Ukrayna'yı kasıp kavurdu. Başlangıçta devlet hizmetleri uygulaması “DIYA” hakkında şüpheler oluştu ancak uygulamanın bu olayla ilgisi kısa sürede reddedildi. "Verileri kimin ve nasıl sızdırdığı" dizisindeki sorular Ukrayna polisi, SBU ve bilgisayar ve teknik uzmanlar tarafından temsil edilen devlete emanet edilecek, ancak kişisel verilerin korunmasına ilişkin mevzuatımızın gerçeklerle uyumu meselesi dijital çağ, yayının yazarı Icon Partners hukuk firmasında danışman olan Vyacheslav Ustimenko tarafından değerlendirildi.

Ukrayna AB'ye katılmaya çalışıyor ve bu, kişisel verilerin korunmasına ilişkin Avrupa standartlarının benimsenmesi anlamına geliyor.

Bir vakayı simüle edelim ve AB'den kar amacı gütmeyen bir kuruluşun aynı miktarda sürücü belgesi verisini sızdırdığını ve bu gerçeğin yerel kolluk kuvvetleri tarafından belirlendiğini hayal edelim.

AB'de, Ukrayna'nın aksine, kişisel verilerin korunmasına ilişkin bir düzenleme (GDPR) bulunmaktadır.

Sızıntı, aşağıda açıklanan ilkelerin ihlal edildiğini gösteriyor:

  • Madde 25 GDPR Tasarım gereği ve varsayılan olarak kişisel verilerin korunması;
  • Madde 32 GDPR. İşleme güvenliği;
  • Madde 5 fıkra 1.f GDPR. Dürüstlük ve gizlilik ilkesi.

AB'de, GDPR'nin ihlaline ilişkin para cezaları ayrı ayrı hesaplanıyor; pratikte bu cezalar 200,000'den fazla avroyla cezalandırılıyor.

Ukrayna'da ne değiştirilmeli?

Hem Ukrayna'da hem de yurt dışında BT ve çevrimiçi işletmeleri destekleme sürecinde kazanılan uygulama, GDPR'nin sorunlarını ve başarılarını gösterdi.

Aşağıda Ukrayna mevzuatına getirilmesi gereken altı değişiklik yer almaktadır.

#Yasal çerçeveyi dijital çağa uyarlayın

AB ile Ortaklık Anlaşması'nın imzalanmasından bu yana Ukrayna yeni veri koruma mevzuatı geliştiriyor ve GDPR yol gösterici bir ışık haline geldi.

Kişisel verilerin korunmasına ilişkin yasanın çıkarılması o kadar kolay olmadı. Görünüşe göre GDPR düzenlemesi şeklinde bir "iskelet" var ve sadece "et" oluşturmanız (normları uyarlamanız) gerekiyor, ancak hem uygulama hem de hukuk açısından birçok tartışmalı konu ortaya çıkıyor .

Örneğin:

  • açılan verilerin kişisel sayılacağını,
  • kanun kolluk kuvvetlerine uygulanacak mı,
  • yasayı ihlal etmenin sorumluluğu nedir, para cezalarının miktarı Avrupa cezalarıyla karşılaştırılabilir mi, vb.

Kilit nokta, mevzuatın uyarlanması ve GDPR'den kopyalanmaması gerektiğidir. Ukrayna'da hâlâ AB ülkelerine özgü olmayan birçok çözülmemiş sorun var.

#Terminolojiyi birleştirin

Kişisel verinin ve gizli bilginin ne olduğunu belirleyin. Ukrayna Anayasası'nın 32. maddesi gizli bilgilerin işlenmesini yasaklamaktadır. Gizli bilginin tanımı en az yirmi Kanunda yer almaktadır.

Burada Ukraynaca orijinal kaynaktan alıntılar var

  • uyruk, eğitim, aile kültürü, dini değişiklikler, sağlık durumu, adresler, doğum tarihi ve yeri hakkında bilgiler (Ukrayna “Bilgi Hakkında” Kanununun 2. Maddesinin 11. Bölümü);
  • ikamet yeri hakkında bilgi (Ukrayna Kanununun “Transfer özgürlüğü ve Ukrayna'da serbestçe ikamet seçimine ilişkin” 8. Maddesinin 6. Bölümü);
  • topluluklara yönelik vahşetten elde edilen, toplulukların yaşam özelliklerine ilişkin bilgiler (Ukrayna Kanununun “Toplulukların vahşetine ilişkin” Madde 10);
  • Nüfus Sayımının yapılması sürecinde kaldırılan birincil veriler (Ukrayna “Tüm Ukrayna Nüfus Sayımı Hakkında” Kanunun 16. Maddesi);
  • başvuru sahibi tarafından mülteci veya özel koruma olarak tanınmak üzere sunulan ve ek koruma gerektiren beyanlar (Ukrayna Kanununun 10. Maddesi, "Ek veya zamanında koruma gerektiren mülteciler ve özel koruma hakkında" Madde 7);
  • emeklilik fonu katılımcısının bireysel emeklilik hesabına tahsis edilen emeklilik mevduatları, emeklilik ödemeleri ve yatırım gelirleri (fazlası), fiziksel varlıklara ilişkin emeklilik mevduatı hesabı ib, erken yaş emekliliği sigortasına ilişkin sözleşmeler (Madde 3, Kısım 53) Ukrayna “Devlet Dışı Emeklilik Sigortası Kanunu”;
  • sigortalı kişinin birikimli emeklilik hesabına yatırılan emeklilik varlıklarının durumu hakkında bilgi (Ukrayna “Yasal Devlet Emeklilik Sigortası Kanununun 1. Maddesinin 98. Bölümü);
  • bilimsel araştırma veya araştırma ve geliştirme ile teknolojik robotların geliştirilmesine ilişkin sözleşmenin konusu, bunların ilerlemesi ve sonuçları hakkında bilgi (Ukrayna Medeni Kanunu'nun 895. maddesi)
  • Reşit olmayan bir suçlunun şahsını tanımlamak için kullanılabilecek bilgiler veya reşit olmayan kişinin intiharı gerçeğini oluşturan bilgiler (Ukrayna “TV ve Radyo İletişiminde” Kanununun 3. Maddesinin 62. Bölümü);
  • Merhum hakkında bilgi (Ukrayna “Cenaze hizmetlerine ilişkin” Kanunun 7. Maddesi);
    emeğin ödenmesine ilişkin beyanlar (Ukrayna "Emek ödenmesine ilişkin" Kanunun 31. Maddesi) İşçiliğin ödenmesine ilişkin beyanlar yalnızca mevzuatla ilgili durumlarda, aynı zamanda işçinin takdirine bağlı olarak verilir;
  • patent verilmesine ilişkin başvurular ve materyaller (Ukrayna Kanununun “Ürün ve Model Haklarının Korunması Hakkında” Madde 19);
  • Mahkeme kararlarının metinlerinde bulunabilen ve gerçek bir kişinin kimliğinin belirlenmesini mümkün kılan bilgiler, örneğin: gerçek kişilerin isimleri (Babanın takma ismine göre isimler); belirlenen adreslerden ikamet yeri veya fiziksel aktivite, telefon numaraları ve diğer iletişim bilgileri, e-posta adresleri, kimlik numaraları (kodlar); nakliye araçlarının kayıt numaraları (Ukrayna Kanununun 7. Maddesi “Gemilere erişim kararları”).
  • cezai işlemlere karşı koruma altına alınan bir kişiye ilişkin veriler (Ukrayna Kanununun “Cezai işlemlere katılan kişilerin güvenliğinin sağlanmasına ilişkin” Madde 15);
  • Roslin çeşidinin tescili için gerçek veya tüzel kişinin başvurusuna ilişkin materyaller, Roslin çeşidinin incelenmesinin sonuçları (Ukrayna Kanununun “Roslin çeşitlerine ilişkin hakların korunmasına ilişkin” Madde 23);
  • avukat hakkında koruma altına alınan mahkemeye veya kolluk kuvvetine sunulan veriler (Ukrayna Kanununun 10. Maddesi “Polis memurlarının mahkemeye ve kolluk kuvvetlerine egemen olarak korunmasına ilişkin”);
  • Kayıtta yer alan şiddete maruz kalan bireylere ilişkin bir dizi kayıt (kişisel veriler) ve ayrıca ortak erişime sahip bilgiler. (Ukrayna “Aile İçi Şiddetin Önlenmesi ve Önlenmesine İlişkin” Kanununun 10. Bölümü, 16. Maddesi);
  • Ukrayna askeri kordonundan geçen malların gizliliğine ilişkin bilgiler (Ukrayna Askeri Kanunu'nun 1. Maddesinin 263. Bölümü);
  • Tıbbi ürünlerin ve bunlara eklerin devlet tescili başvurusuna dahil edilmesi gereken bilgiler (Ukrayna “İlaç Ürünleri Hakkında” Kanunun 8. maddesinin 9. kısmı);

#Değerlendirici kavramlardan uzaklaşın

GDPR'de birçok değerlendirme kavramı bulunmaktadır. Emsal hukukun bulunmadığı bir ülkede (yani Ukrayna) değerleme kavramları, nüfus ve bir bütün olarak ülke için yararlı olmaktan çok, “sorumluluktan kaçmak” için bir alandır.

#DPO kavramını tanıtın

Veri koruma görevlisi (DPO) bağımsız bir veri koruma uzmanıdır. Mevzuat, bir uzmanın DPO pozisyonuna zorunlu olarak atanması ihtiyacını açıkça ve değerlendirme kavramları olmaksızın düzenlemelidir. Avrupa Birliği'nde bunu nasıl yapıyorlar? burada yazılı.

#Kişisel veri alanındaki ihlallere ilişkin sorumluluk düzeyini belirlemek, Şirketin büyüklüğüne (karına) bağlı olarak cezaları farklılaştırın.

  • 34 bin Grivnası

    Ukrayna'da hala kişisel verilerin korunması kültürü yok; mevcut “Kişisel Verilerin Korunması Hakkında Kanun”, “ihlalin kanunla belirlenen sorumluluğu gerektirdiğini” söylüyor. Kişisel verilere yasadışı erişim ve öznelerin haklarının ihlali nedeniyle İdare Kanunu uyarınca para cezası 34,000 UAH'a kadardır.

  • 20 milyon Euro

    GDPR'yi ihlal etmenin cezası, dünyadaki en büyük para cezasıdır - 20,000,000 Euro'ya kadar veya şirketin bir önceki mali yıldaki toplam yıllık cirosunun %4'üne kadar. Google, Fransız vatandaşlarının dahil olduğu veri gizliliği ihlalleri nedeniyle ilk 50 milyon avroluk para cezasını aldı.

  • 114 milyon Euro

    GDPR, mayıs ayında 2. yıl dönümünü kutladı ve 114 milyon euro para cezası topladı. Düzenleyiciler genellikle milyonlarca kullanıcı verisine sahip dev şirketleri hedef alıyor.

    Otel zinciri Marriott International ve British Airways, veri ihlalleri nedeniyle bu yıl multimilyon dolarlık cezalarla karşı karşıya kalacak ve en yüksek cezalarda Google'ı geride bırakması bekleniyor. İngiltere'deki düzenleyiciler, bu kişilere yaklaşık 366 milyon dolar tutarında ceza vermeyi planladıkları konusunda uyardı.

    Hizmetlerini her gün kullandığımız küresel şirketlere altı sıfırlı cezalar kesiliyor. Ancak bu, küçük, yabancı şirketlerin cezalara tabi olmayacağı anlamına gelmiyor.

    Avusturyalı bir posta şirketi, adresler, kişisel tercihler ve siyasi bağlantılar hakkında bilgi içeren 18 milyon kişinin profilini oluşturduğu ve sattığı için 3 milyon euro para cezasına çarptırıldı.

    Litvanya'daki bir ödeme hizmeti, artık işleme gerek kalmadığında müşterilerin kişisel verilerini silmedi ve 61,000 avro para cezası aldı.

    Belçika'da kar amacı gütmeyen bir kuruluş, alıcıların bu seçeneği tercih edip 1000 Euro para cezası almalarına rağmen doğrudan e-posta pazarlaması gönderdi.

    1000 Euro, itibarın uğradığı zararın yanında hiçbir şey değildir.

#Mutluluk cezalarda değil

"Benim hakkımda bilgi edinmek isteyen, yasaya rağmen yine de öğrenecektir" - ne yazık ki Ukrayna ve BDT ülkelerinde pek çok kişi bunu söylüyor.

Ancak “pasaport fotoğrafını çalıp benim adıma kredi çekecekler” yanılgısına inananların sayısı giderek azalıyor, çünkü başkasının pasaportunun orijinali elinizde olsa bile bunu yapmak yasal olarak imkansız.

İnsanlar 2 kampa ayrılıyor:

  • Kişisel veri dinine inanan “paranoyaklar” bir kutuyu işaretlemeden ve veri işlemeye izin vermeden önce düşünüyor.
  • “Umursamayanlar” veya kişisel verilerini otomatik olarak ağa sızdıranlar sonuçları düşünmüyor. Ve sonra kredi kartları çalınıyor, yinelenen ödemelere kaydoluyorlar, messenger hesapları çalınıyor, e-postaları hackleniyor ya da kripto para birimleri cüzdanlarından çekiliyor.

Özgürlük ve demokrasi

Kişisel verilerin korunması kişinin tercih özgürlüğü, toplum kültürü ve demokrasi ile ilgilidir. Daha fazla veriyle toplumu yönetmek daha kolay; kişinin seçimini tahmin etmek ve onu istenilen eyleme itmek mümkün. Bir kişinin izleniyorsa istediğini yapması zordur, kişi rahatlar ve bunun sonucunda kontrol edilir, yani kişi bilinçaltında istediğini değil, yapmaya ikna edildiği gibi yapar.

GDPR mükemmel olmasa da AB'deki ana fikri ve hedefi karşılıyor - Avrupalılar, bağımsız bir kişinin kişisel verilerinin bağımsız olarak sahibi olduğunu ve yönettiğini fark etti.

Ukrayna yolculuğunun henüz başında, zemin hazırlanıyor. Eyalet sakinleri, büyük olasılıkla bağımsız bir düzenleyici kurum olan yeni bir yasa metnini devletten alacaklar, ancak Ukraynalıların kendilerinin modern Avrupa değerlerine ve 2020'de demokrasinin dijital alanda da var olması gerektiği anlayışına gelmeleri gerekiyor.

PS Sosyal medyada yazıyorum. hukuk ve BT işleriyle ilgili ağlar. Hesaplarımdan birine abone olursanız çok sevinirim. Bu kesinlikle profilinizi geliştirmek ve içerik üzerinde çalışmak için motivasyon katacaktır.

Facebook
Instagram

Ankete sadece kayıtlı kullanıcılar katılabilir. Giriş yapLütfen.

Rusya Federasyonu'nun kişisel verilere ilişkin mevzuatı hakkında yazar mısınız?

  • %51,4evet19

  • %48,6başka bir konu seçsen iyi olur18

37 kullanıcı oy kullandı. 19 kişi çekimser kaldı.

Kaynak: habr.com

Yorum ekle