透過 Telegram 機器人洩露駕駛執照數據的醜聞轟動了整個烏克蘭。最初的嫌疑落在政府服務應用程式「DIYA」身上,但該應用程式很快就被否認與這起事件有關。 「誰洩露了資料以及如何洩露」系列問題將委託給以烏克蘭警察、SBU以及電腦和技術專家為代表的國家,但我們關於保護個人資料的立法是否符合現實的問題該出版物的作者、Icon Partners律師事務所的顧問維亞切斯拉夫·烏斯蒂緬科(Vyacheslav Ustimenko) 對數位時代進行了思考。
烏克蘭正在努力加入歐盟,這意味著採用歐洲個人資料保護標準。
讓我們模擬一個案例,假設歐盟的一個非營利組織洩露了相同數量的駕駛執照數據,並且這一事實是由當地執法機構確定的。
與烏克蘭不同,歐盟有一項保護個人資料的法規 - GDPR。
洩漏表明違反了以下原則:
- GDPR 第 25 條 設計和預設的個人資料保護;
- GDPR 第 32 條。處理安全;
- GDPR 第 5 條第 1.f 款。誠信和保密原則。
在歐盟,違反GDPR的罰款是單獨計算的,實際上會被罰款200,000萬歐元以上。
烏克蘭應該改變什麼
在烏克蘭和國外支持IT和線上業務過程中獲得的實踐已經顯示了GDPR的問題和成就。
以下是烏克蘭立法中應引入的六項變更。
#使立法框架適應數位時代
自與歐盟簽署聯繫國協議以來,烏克蘭一直在製定新的資料保護立法,GDPR已成為指路明燈。
通過保護個人資料的法律並不那麼容易。看似GDPR法規的形式有一個“骨架”,只需要建造“肉”(調整規範)即可,但無論從實踐還是法律角度,都出現了許多有爭議的問題。
例如:
- 開放資料將被視為個人數據,
- 該法律是否適用於執法機構,
- 違法的責任是什麼,罰款金額是否與歐洲相當,等等。
關鍵在於立法需要調整,而不是複製 GDPR。烏克蘭仍有許多未解決的問題,這些問題在歐盟國家中並不常見。
#統一術語
確定什麼是個人資料和機密資訊。烏克蘭憲法第 32 條禁止處理機密資訊。至少二十部法律中包含了機密資訊的定義。
此處引用烏克蘭語原始資料
- 有關國籍、教育、家庭文化、宗教變化、健康狀況、地址、出生日期和地點的資訊(烏克蘭《資訊法》第 2 條第 11 部分);
- 有關居住地的資訊(烏克蘭法律「關於在烏克蘭自由遷徙和自由選擇居住地」第 8 條第 6 部分);
- 從對社區的殘酷對待中獲得的關於社區生活特徵的資訊(烏克蘭法律「關於對社區的殘酷對待」第 10 條);
- 在進行人口普查的過程中刪除的主要資料(烏克蘭「關於全烏克蘭人口普查」的法律第 16 條);
- 申請人提交的承認難民或特殊保護的聲明,這將需要額外的保護(烏克蘭法律「關於難民和特殊保護,這將需要額外或及時的保護」第10條第7部分);
- 退休金存款、退休金給付和分配到退休金參與者個人退休金帳戶的投資收益(盈餘)資訊、物理軸退休金存款帳戶b、提前退休金保險合約(第3條第53部分)烏克蘭「非政府養老保險」法);
- 有關投保人累積退休金帳戶中退休金資產投資狀況的資訊(烏克蘭「關於國家法定義務退休金保險」法第1條第98部分);
- 有關科學研究或研發和技術機器人開發合約主題及其進展和結果的資訊(烏克蘭民法典第 895 條)
- 可用於識別未成年人犯罪者身分或構成未成年人自殺事實的資訊(烏克蘭《電視和廣播通訊法》第 3 條第 62 部分);
- 有關死者的資訊(烏克蘭《殯葬服務法》第 7 條);
關於勞動報酬的聲明(烏克蘭「關於勞動報酬」法第 31 條關於勞動報酬的聲明僅在立法的情況下發布,但也由工人自行決定); - 頒發專利的申請和資料(烏克蘭《產品和型號保護法》第 19 條);
- 可以在法院判決文本中找到並能夠識別自然人身份的信息,包括: 自然人的姓名(名字,根據父親的暱稱);指定地址、電話號碼和其他聯絡資訊、電子郵件地址、身分號碼(代碼)的居住或身體活動地點;運輸車輛的登記號碼(烏克蘭「關於船舶決定的准入」法第 7 條)。
- 有關受到刑事訴訟保護的人員的資料(烏克蘭「關於確保參與刑事訴訟人員的安全」的法律第 15 條);
- 自然人或法人申請羅斯林品種註冊的資料、羅斯林品種審查結果(烏克蘭「羅斯林品種權利保護法」第 23 條);
- 向法院或執法機構提供的律師資料受到保護(烏克蘭法律「關於法院和執法機構對警察的主權保護」第 10 條);
- 位於登記冊中的一組有關遭受暴力的個人的記錄(個人資料),以及可共享存取的資訊。 (烏克蘭《關於預防及防止家庭暴力》法第10部第16條);
- 有關通過烏克蘭軍事警戒線的貨物保密性的信息(烏克蘭軍事法典第 1 條第 263 部分);
- 藥品國家註冊申請及其補充資料中應包含的資訊(烏克蘭《藥品法》第 8 條第 9 部分);
#擺脫評價性概念
GDPR 中有很多評估概念。在沒有先例法的國家(即烏克蘭),估值概念更多的是「逃避責任」的空間,而不是對人民和整個國家有用的空間。
#介紹一下DPO的概念
資料保護官 (DPO) 是獨立的資料保護專家。立法必須明確且不帶任何評價性概念地規定強制任命專家擔任 DPO 職位的必要性。他們在歐盟是如何做到的 .
#確定個人資料領域違規行為的責任級別, 根據公司規模(利潤)區分罰款。
- 34 千格里夫納
烏克蘭仍然沒有個人資料保護文化;現行的《個人資料保護法》規定,「違法行為將承擔法律規定的責任」。根據《行政法》,非法取得個人資料和侵犯主體權利的罰款最高可達 34,000 格里夫納。
- 20萬歐元
違反 GDPR 的罰款是全球最高的——最高可達 20,000,000 萬歐元,即公司上一財年總營業額的 4%。谷歌因涉及法國公民的資料隱私侵犯行為而收到首筆 50 萬歐元的罰款。
- 114萬歐元
GDPR 在 2 月慶祝了其兩週年紀念日,並處以 114 億歐元的罰款。監管機構通常針對擁有數百萬用戶資料的大公司。
連鎖飯店萬豪國際集團和英國航空今年因資料外洩而面臨數百萬美元的罰款,預計罰款金額將超過Google。英國監管機構警告說,他們計劃對他們進行總計約 366 億美元的處罰。
我們每天使用其服務的跨國公司將被處以六個零的罰款。然而,這並不意味著規模較小、不熟悉的公司不會受到處罰。
一家奧地利郵政公司因創建和出售 18 萬人的個人資料而被罰款 3 萬歐元,其中包含有關地址、個人偏好和政治立場的資訊。
立陶宛一家支付服務公司在不再需要處理時未刪除客戶的個人數據,因此被處以 61,000 歐元的罰款。
比利時的一個非營利組織在收件人選擇退出並收到 1000 歐元罰款後仍繼續發送直接電子郵件行銷。
與名譽受損相比,1000歐元根本不算什麼。
#幸福不是罰款
不幸的是,「不管有什麼法律,任何想知道我資訊的人都會找到」——這是烏克蘭和獨聯體國家許多人的說法。
但越來越少的人相信「他們會偷一張護照照片並以我的名義貸款」的誤解,因為即使你手裡有別人的護照原件,在法律上也是不可能做到這一點。
人們分為2個陣營:
- 相信個人資料宗教的「偏執狂」在勾選複選框並同意資料處理之前會三思而後行。
- “那些不在乎的人”,或自動將個人資料洩露到網路的人,不會考慮後果。然後他們的信用卡被盜,他們註冊定期付款,他們的通訊帳戶被盜,他們的電子郵件被駭客入侵,或者加密貨幣從他們的錢包中提取。
自由與民主
個人資料的保護關係到個人的選擇自由、社會文化和民主。有了更多的數據,管理社會就變得更容易;可以預測一個人的選擇並推動他採取所需的行動。如果一個人被注視著,他就很難隨心所欲地做,如果他被監視,他就會感到舒服,並因此而受到控制,也就是說,這個人下意識地不做他想做的事,而是做他被說服做的事。
GDPR並不完美,但它實現了歐盟的主要理念和目標——歐洲人已經意識到一個獨立的人獨立擁有和管理他的個人資料。
烏克蘭的旅程才剛開始,基礎正在準備中。居民將從國家收到新的法律文本,很可能是獨立的監管機構,但烏克蘭人自己必須接受現代歐洲價值觀,並認識到2020年的民主也應該存在於數位空間中。
附:我正在社群媒體上寫作。有關法學和 IT 業務的網路。如果您訂閱我的帳戶之一,我會很高興。這肯定會增加你發展個人資料和內容工作的動力。
只有註冊用戶才能參與調查。 , 請。
寫一下俄羅斯聯邦關於個人資料的立法?
-
企業排放佔全球 51,4%達19
-
企業排放佔全球 48,6%最好選擇另一個主題18
37 位用戶投票。 19 名用戶棄權。
來源: www.habr.com