Prohoster > Blog > quản lý > Rò rỉ dữ liệu ở Ukraina Tương tự với luật pháp EU

Rò rỉ dữ liệu ở Ukraina Tương tự với luật pháp EU

Rò rỉ dữ liệu ở Ukraina Tương tự với luật pháp EU

Vụ bê bối rò rỉ dữ liệu giấy phép lái xe thông qua bot Telegram đã gây chấn động khắp Ukraine. Những nghi ngờ ban đầu đổ dồn vào ứng dụng dịch vụ chính phủ “DIYA”, nhưng sự liên quan của ứng dụng này đến vụ việc này nhanh chóng bị phủ nhận. Các câu hỏi trong loạt bài “ai đã làm rò rỉ dữ liệu và như thế nào” sẽ được giao cho nhà nước đại diện bởi cảnh sát Ukraine, SBU và các chuyên gia máy tính và kỹ thuật, nhưng vấn đề tuân thủ luật pháp của chúng tôi về bảo vệ dữ liệu cá nhân với thực tế của Kỷ nguyên kỹ thuật số đã được tác giả của ấn phẩm Vyacheslav Ustimenko, nhà tư vấn tại công ty luật Icon Partners, xem xét.

Ukraine đang nỗ lực gia nhập EU và điều này ngụ ý việc áp dụng các tiêu chuẩn Châu Âu để bảo vệ dữ liệu cá nhân.

Hãy mô phỏng một trường hợp và tưởng tượng rằng một tổ chức phi lợi nhuận từ EU đã rò rỉ cùng một lượng dữ liệu giấy phép lái xe và sự thật này đã được xác định bởi các cơ quan thực thi pháp luật địa phương.

Ở EU, không giống như Ukraine, có quy định về bảo vệ dữ liệu cá nhân - GDPR.

Sự rò rỉ cho thấy sự vi phạm các nguyên tắc được mô tả trong:

  • Điều 25 GDPR Bảo vệ dữ liệu cá nhân theo thiết kế và theo mặc định;
  • Điều 32 GDPR. Bảo mật xử lý;
  • Điều 5 khoản 1.f GDPR. Nguyên tắc toàn vẹn và bảo mật.

Tại EU, tiền phạt vi phạm GDPR được tính riêng lẻ, trên thực tế, họ sẽ bị phạt hơn 200,000 euro.

Điều gì nên thay đổi ở Ukraine

Thực tiễn đạt được trong quá trình hỗ trợ các doanh nghiệp CNTT và trực tuyến ở Ukraine và nước ngoài đã cho thấy những vấn đề và thành tựu của GDPR.

Dưới đây là sáu thay đổi cần được đưa vào luật pháp Ukraina.

#Thích ứng khuôn khổ pháp lý với kỷ nguyên số

Kể từ khi ký Thỏa thuận liên kết với EU, Ukraine đã phát triển luật bảo vệ dữ liệu mới và GDPR đã trở thành kim chỉ nam.

Việc thông qua luật bảo vệ dữ liệu cá nhân không hề dễ dàng. Dường như đã có “bộ xương” dưới dạng quy định GDPR và bạn chỉ cần xây dựng “thịt” (điều chỉnh các quy tắc), nhưng nảy sinh nhiều vấn đề gây tranh cãi, cả từ quan điểm thực tiễn và pháp luật .

Ví dụ:

  • dữ liệu mở sẽ được coi là cá nhân,
  • pháp luật sẽ áp dụng cho các cơ quan thực thi pháp luật,
  • vi phạm pháp luật có trách nhiệm gì, mức phạt có tương đương với châu Âu không, v.v.

Điểm mấu chốt là luật pháp cần phải được điều chỉnh và không được sao chép từ GDPR. Vẫn còn nhiều vấn đề chưa được giải quyết ở Ukraine mà không phải là vấn đề điển hình ở các nước EU.

#Thống nhất thuật ngữ

Xác định dữ liệu cá nhân và thông tin bí mật là gì. Hiến pháp Ukraine, Điều 32, cấm xử lý thông tin bí mật. Định nghĩa về thông tin bí mật được quy định trong ít nhất XNUMX bộ luật.

Trích dẫn từ nguồn gốc bằng tiếng Ukraina tại đây

  • thông tin về quốc tịch, giáo dục, văn hóa gia đình, thay đổi tôn giáo, tình trạng sức khỏe, địa chỉ, ngày và nơi sinh (Phần 2 Điều 11 Luật Ukraine “Về thông tin”);
  • thông tin về nơi cư trú (Phần 8 của Điều 6 Luật Ukraine “Về quyền tự do di chuyển và tự do lựa chọn nơi cư trú ở Ukraine”);
  • thông tin về đặc thù cuộc sống của cộng đồng, thu được từ sự tàn bạo của cộng đồng (Điều 10 của Luật Ukraine “Về hành vi tàn bạo của cộng đồng”);
  • dữ liệu sơ cấp bị loại bỏ trong quá trình tiến hành Tổng điều tra dân số (Điều 16 của Luật Ukraine “Về Tổng điều tra dân số toàn Ukraine”);
  • tuyên bố của người nộp đơn để được công nhận là người tị nạn hoặc được bảo vệ đặc biệt sẽ cần được bảo vệ bổ sung (Phần 10, Điều 7 của Luật Ukraina “Về người tị nạn và sự bảo vệ đặc biệt, sẽ cần được bảo vệ bổ sung hoặc kịp thời”);
  • thông tin về tiền gửi lương hưu, thanh toán lương hưu và thu nhập đầu tư (thặng dư) được phân bổ vào tài khoản lương hưu cá nhân của người tham gia quỹ hưu trí, tài khoản tiền gửi lương hưu bằng tài sản vật chất ib, hợp đồng bảo hiểm lương hưu trước tuổi (Phần 3 Điều 53 của Luật Ukraina “Về bảo hiểm hưu trí phi chính phủ” ;
  • thông tin về tình trạng tài sản lương hưu được đầu tư vào tài khoản lương hưu tích lũy của người được bảo hiểm (Phần 1 Điều 98 của Luật Ukraine “Về Bảo hiểm Hưu trí Nhà nước Hợp pháp”);
  • thông tin về đối tượng của hợp đồng phát triển nghiên cứu khoa học hoặc nghiên cứu và phát triển và robot công nghệ, tiến độ và kết quả của chúng (Điều 895 của Bộ luật Dân sự Ukraine)
  • Thông tin có thể được sử dụng để xác định danh tính của người phạm tội vị thành niên hoặc yếu tố cấu thành thực tế vụ tự tử của trẻ vị thành niên (Phần 3 của Điều 62 của Luật Ukraine “Trên truyền hình và vô tuyến”);
  • Thông tin về người đã khuất (Điều 7 của Luật Ukraine “Về dịch vụ tang lễ”);
    các tuyên bố về việc trả lương cho lao động (Điều 31 của Luật Ukraine “Về việc trả lương cho lao động” Các tuyên bố về việc trả lương cho lao động chỉ được ban hành trong các trường hợp có luật pháp nhưng cũng theo quyết định của người lao động);
  • đơn đăng ký và tài liệu để cấp bằng sáng chế (Điều 19 của Luật Ukraine “Về bảo vệ quyền đối với sản phẩm và mẫu mã”);
  • thông tin có thể tìm thấy trong văn bản các quyết định của tòa án và giúp xác định danh tính một thể nhân, bao gồm: tên (tên, theo biệt danh của Cha) của thể nhân; nơi cư trú hoặc hoạt động thể chất từ ​​các địa chỉ được chỉ định, số điện thoại và các chi tiết liên lạc khác, địa chỉ email, số nhận dạng (mã); số đăng ký phương tiện vận tải (Điều 7 của Luật Ukraine “Về việc tiếp cận các quyết định của tàu”).
  • dữ liệu về người được bảo vệ khỏi tố tụng hình sự (Điều 15 của Luật Ukraine “Về việc đảm bảo an toàn cho những người tham gia tố tụng hình sự”);
  • tài liệu về đơn đăng ký của cá nhân hoặc pháp nhân để đăng ký giống Roslin, kết quả kiểm định giống Roslin (Điều 23 của Luật Ukraine “Về bảo vệ quyền đối với giống Roslin”);
  • dữ liệu về luật sư đối với tòa án hoặc cơ quan thực thi pháp luật, được bảo vệ (Điều 10 của Luật Ukraine “Về bảo vệ chủ quyền của các sĩ quan cảnh sát đối với tòa án và các cơ quan thực thi pháp luật”);
  • một bộ hồ sơ về những cá nhân bị bạo lực (dữ liệu cá nhân) có trong Sổ đăng ký, cũng như thông tin có quyền truy cập chung. (Phần 10, Điều 16 Luật Ukraine “Về phòng ngừa và ngăn chặn bạo lực gia đình”);
  • Thông tin liên quan đến tính bảo mật của hàng hóa di chuyển qua hàng rào quân sự của Ukraine (Phần 1 của Điều 263 Bộ luật Quân sự Ukraine);
  • Thông tin cần có trong đơn đăng ký nhà nước về các sản phẩm thuốc và các chất bổ sung cho chúng (phần 8 điều 9 của Luật Ukraine “Về các sản phẩm thuốc”);

#Tránh xa những khái niệm đánh giá

Có nhiều khái niệm đánh giá trong GDPR. Khái niệm định giá ở một quốc gia không có tiền lệ (nghĩa là Ukraine) giống như một không gian để “tránh trách nhiệm” hơn là hữu ích cho người dân và cả đất nước nói chung.

#Giới thiệu khái niệm DPO

Nhân viên bảo vệ dữ liệu (DPO) là một chuyên gia bảo vệ dữ liệu độc lập. Pháp luật phải quy định rõ ràng và không có khái niệm mang tính đánh giá về sự cần thiết phải bổ nhiệm bắt buộc một chuyên gia vào vị trí DPO. Họ làm điều đó như thế nào ở Liên minh Châu Âu viết ở đây.

#Xác định mức độ trách nhiệm đối với các vi phạm trong lĩnh vực dữ liệu cá nhân, mức phạt khác nhau tùy theo quy mô (lợi nhuận) của công ty.

  • 34 nghìn hryvnia

    Vẫn chưa có văn hóa bảo vệ dữ liệu cá nhân ở Ukraine; Luật “Về bảo vệ dữ liệu cá nhân” hiện hành nói rằng “một hành vi vi phạm sẽ dẫn đến trách nhiệm pháp lý theo quy định của pháp luật”. Mức phạt theo Bộ luật Hành chính đối với hành vi truy cập bất hợp pháp vào dữ liệu cá nhân và vi phạm quyền của chủ thể lên tới 34,000 UAH.

  • 20 triệu euro

    Mức phạt vì vi phạm GDPR là lớn nhất thế giới – lên tới 20,000,000 euro, tương đương 4% tổng doanh thu hàng năm của công ty trong năm tài chính trước đó. Google đã nhận khoản tiền phạt đầu tiên 50 triệu euro vì vi phạm quyền riêng tư dữ liệu liên quan đến công dân Pháp.

  • 114 triệu euro

    GDPR đã kỷ niệm 2 năm thành lập vào tháng 114 và thu về XNUMX triệu euro tiền phạt. Các cơ quan quản lý thường nhắm tới các công ty khổng lồ có hàng triệu dữ liệu người dùng.

    Chuỗi khách sạn Marriott International và British Airways phải đối mặt với mức phạt hàng triệu đô la trong năm nay vì vi phạm dữ liệu, dự kiến ​​sẽ đánh bại Google để có mức phạt cao nhất. Các cơ quan quản lý của Vương quốc Anh đã cảnh báo rằng họ có kế hoạch phạt họ với tổng số tiền ước tính là 366 triệu USD.

    Các khoản tiền phạt có sáu số XNUMX được áp dụng cho các công ty toàn cầu có dịch vụ mà chúng ta sử dụng hàng ngày. Tuy nhiên, điều này không có nghĩa là các công ty nhỏ, không quen thuộc không bị phạt.

    Một công ty bưu chính của Áo đã bị phạt 18 triệu euro vì tạo và bán hồ sơ của 3 triệu người có chứa thông tin về địa chỉ, sở thích cá nhân và đảng phái chính trị.

    Một dịch vụ thanh toán ở Lithuania đã không xóa dữ liệu cá nhân của khách hàng khi không còn nhu cầu xử lý và bị phạt 61,000 euro.

    Một tổ chức phi lợi nhuận ở Bỉ đã gửi email tiếp thị trực tiếp ngay cả sau khi người nhận đã chọn không tham gia và nhận khoản tiền phạt €1000.

    1000 euro chẳng là gì so với sự tổn hại đến danh tiếng.

#Hạnh phúc không ở tiền phạt

“Bất cứ ai muốn biết thông tin về tôi thì dù sao cũng sẽ tìm ra, bất chấp luật pháp” - thật không may, đây là điều mà nhiều người ở Ukraine và các nước CIS nói.

Nhưng ngày càng ít người tin vào quan niệm sai lầm về việc “họ sẽ ăn cắp ảnh hộ chiếu và đứng tên tôi để vay tiền”, bởi vì ngay cả khi có bản gốc hộ chiếu của người khác trong tay thì về mặt pháp lý cũng không thể làm được điều này.

Mọi người chia làm 2 phe:

  • Những người “hoang tưởng” tin vào tôn giáo của dữ liệu cá nhân hãy suy nghĩ trước khi đánh dấu vào ô và đồng ý xử lý dữ liệu.
  • “những người không quan tâm”, hoặc những người tự động rò rỉ dữ liệu cá nhân của mình lên mạng, không nghĩ đến hậu quả. Và sau đó thẻ tín dụng của họ bị đánh cắp, họ đăng ký thanh toán định kỳ, tài khoản nhắn tin của họ bị đánh cắp, email của họ bị hack hoặc tiền điện tử bị rút khỏi ví của họ.

Tự do và dân chủ

Bảo vệ dữ liệu cá nhân liên quan đến quyền tự do lựa chọn của một người, văn hóa xã hội và dân chủ. Việc quản lý xã hội sẽ dễ dàng hơn khi có nhiều dữ liệu hơn; có thể dự đoán sự lựa chọn của một người và thúc đẩy anh ta thực hiện hành động mong muốn. Một người khó có thể làm theo ý mình nếu bị theo dõi, người đó trở nên thoải mái và kết quả là bị kiểm soát, tức là trong tiềm thức người đó không làm theo ý mình mà làm như anh ta đã bị thuyết phục.

GDPR không hoàn hảo nhưng nó đáp ứng được ý tưởng và mục tiêu chính ở EU - Người châu Âu đã nhận ra rằng một người độc lập sở hữu và quản lý dữ liệu cá nhân của mình một cách độc lập.

Ukraine chỉ mới ở giai đoạn đầu của cuộc hành trình, mặt bằng đang được chuẩn bị. Từ nhà nước, người dân sẽ nhận được văn bản luật mới, rất có thể là một cơ quan quản lý độc lập, nhưng bản thân người Ukraine phải tiếp cận các giá trị châu Âu hiện đại và hiểu rằng nền dân chủ vào năm 2020 cũng phải tồn tại trong không gian kỹ thuật số.

Tái bút Tôi đang viết trên mạng xã hội. mạng lưới về luật học và kinh doanh CNTT. Tôi sẽ rất vui nếu bạn đăng ký một trong các tài khoản của tôi. Điều này chắc chắn sẽ tiếp thêm động lực để phát triển hồ sơ của bạn và làm việc về nội dung.

Facebook
Instagram

Chỉ những người dùng đã đăng ký mới có thể tham gia khảo sát. Đăng nhập, xin vui lòng.

Viết về luật pháp của Liên bang Nga về dữ liệu cá nhân?

  • 51,4%vâng19

  • 48,6%tốt hơn nên chọn chủ đề khác18

37 người dùng bình chọn. 19 người dùng bỏ phiếu trắng.

Nguồn: www.habr.com

Thêm một lời nhận xét