O escândalo com o vazamento de dados da carteira de motorista por meio do bot do Telegram atingiu toda a Ucrânia. As suspeitas recaíram inicialmente sobre a aplicação dos serviços públicos "І", mas o envolvimento da aplicação neste incidente foi rapidamente negado. As perguntas da série "quem e como mesclaram os dados" serão confiadas ao estado representado pela polícia ucraniana, o Serviço de Segurança da Ucrânia e especialistas em informática, mas a questão da conformidade de nossa legislação sobre proteção de dados pessoais com as realidades da era digital foi considerada pelo autor da publicação Vyacheslav Ustimenko, consultor do escritório de advocacia Icon Partners.
A Ucrânia aspira à UE, o que implica a adoção de normas europeias para a proteção de dados pessoais.
Vamos simular um caso e imaginar que uma organização sem fins lucrativos da UE vazou a mesma quantidade de dados de carteira de motorista, e esse fato foi estabelecido por agências locais de aplicação da lei.
Na UE, ao contrário da Ucrânia, existe um regulamento sobre a proteção de dados pessoais - GDPR.
O vazamento indica uma violação dos princípios descritos em:
- Artigo 25 GDPR Proteção de dados pessoais projetada e inadimplente;
- Artigo 32 do GDPR. Segurança de processamento;
- Artigo 5, parágrafo 1.f GDPR. Princípio de integridade e confidencialidade.
Na UE, as multas por violação do GDPR são calculadas individualmente; na prática, seriam multadas em 200.000+ euros.
O que deve ser mudado na Ucrânia
A prática adquirida no processo de suporte de TI e negócios on-line na Ucrânia e no exterior mostrou os problemas e conquistas do GDPR.
Abaixo estão seis alterações que devem ser introduzidas na legislação ucraniana.
# Adaptar o quadro legislativo para a era digital
Desde a assinatura do Acordo de Associação com a UE, a Ucrânia tem vindo a desenvolver uma nova legislação sobre proteção de dados e o GDPR tornou-se uma estrela guia.
A adoção da lei sobre a proteção de dados pessoais não foi fácil. Parece que há um “esqueleto” na forma do regulamento do GDPR e é necessário apenas aumentar a “carne” (ajustar as normas), mas há muitos assuntos polêmicos, tanto do ponto de vista da prática quanto do direito.
Por exemplo:
- se os dados públicos serão considerados pessoais,
- se a lei se aplicará às agências de aplicação da lei,
- qual é a responsabilidade pela violação da lei, o valor das multas será comparável ao europeu, etc.
O ponto principal é que você precisa adaptar a legislação, e não copiar o GDPR. Ainda existem muitos problemas por resolver na Ucrânia que não são inerentes aos países da UE.
# Unificar terminologia
Defina o que são dados pessoais, informações confidenciais. A Constituição ucraniana, Artigo 32, proíbe o processamento de informações confidenciais. A definição de informação confidencial está contida em pelo menos vinte Atos.
Citações do original em ucraniano aqui
- іі іі, і, і , ііі , ’, , і (.2 . 11 ї « іі»);
- іі і (.8 . 6 ї « і і їі»);
- іі , і і (.10 ї « »);
- і і, і і (. 16 ї « ї »);
- іі, і , є (.10 . 7 ї « іі і, і »);
- іі іі , іі іі (), іє іі і і , іі і і і, ії ії (.3 . 53 ї « і »);
- іі і і, і і ї (.1 . 98 ї « ' і »);
- іі -і і- і і, і ї (. 895 і ї)
- іі ііії і є і (. 3 . 62 ї « і»);
- іі (. 7 ї »);
іі і і (. 31 ї « і» іі і , і); - і і ( .19 ї « і і і»);
- іі, і і і іі і , : і (і', і, і) і і; і і і і , і і і і ’, ї , ііі і (); єіі і (. 7 ї « і»).
- і і і і ( . 15 ї « і, і і і»);
- і ії ї єі , (. 23 ї « »);
- і і , і (. 10 ї « іі і і»);
- і і і і і і (і і), і єі, є ііє . (.10 .16 ї « і і ");
- іі, є ї і і, і ї (.1 . 263 ї);
- іі, і і єі і (.8 . 9 ї « іі »);
# Afaste-se dos conceitos avaliativos
Existem muitos conceitos avaliativos no GDPR. Os conceitos avaliativos em um país sem jurisprudência (ou seja, a Ucrânia) são mais um espaço para “evitar a responsabilidade” do que um benefício para a população e o país como um todo.
# Apresentar o conceito de DPO
Data protection officer (DPO) - um especialista independente em proteção de dados. A legislação deve regular de forma clara e sem conceitos avaliativos a necessidade da obrigatoriedade de nomeação de um especialista para o cargo de DPO. Como eles fazem isso na União Europeia está escrito aqui .
# Determinar o grau de responsabilidade por violação no domínio dos dados pessoais, diferenciar as penalidades em função do porte (lucro) da empresa.
- 34
, « » “ , ”. 34,000 . - 20
GDPR – 20,000,000 , 4% . 50 , , Google.
- 114
GDPR 2- 114 . - .
Marriott International British Airways , , , Google . , 366 .
, . , , .
18 3 , , .
, 61,000 .
, , 1000 .
1000 .
# A felicidade não está nas multas
“Quem quiser saber sobre mim, e assim saberá, apesar da lei” - infelizmente, muitas pessoas na Ucrânia e nos países da CEI dizem isso.
Mas cada vez menos pessoas acreditam no equívoco de que “eles vão roubar uma foto de passaporte e fazer um empréstimo em meu nome”, porque mesmo com o original do passaporte de outra pessoa em mãos, é legalmente impossível fazer isso.
As pessoas são divididas em 2 campos:
- Os “paranóicos” que acreditam na religião dos dados pessoais pensam antes de marcar a caixa e consentir no processamento dos dados.
- “Aqueles que não se importam”, ou pessoas que mesclam automaticamente seus dados pessoais na rede, não pensam nas consequências. E então seus cartões de crédito são roubados, assinados para pagamentos recorrentes, contas em mensageiros são retiradas, e-mails são hackeados ou a criptomoeda é removida da carteira.
Liberdade e democracia
A proteção de dados pessoais diz respeito à liberdade de escolha de uma pessoa, à cultura da sociedade e à democracia. É mais fácil administrar uma sociedade com mais dados, você pode prever a escolha de uma pessoa, empurrar para a ação desejada. É difícil para uma pessoa agir como quer se estiver sendo observada, uma pessoa se torna confortável, como resultado - controlada, isto é, uma pessoa inconscientemente não faz o que deseja, mas porque foi persuadida a fazer.
O GDPR não é ideal, mas cumpre a ideia e o objetivo principais da UE - os europeus perceberam que uma pessoa independente possui e gere os seus dados pessoais de forma independente.
A Ucrânia está apenas no início do caminho, o solo está sendo preparado. Do estado, os residentes receberão um novo texto da lei, provavelmente um órgão regulador independente, mas os próprios ucranianos devem chegar aos valores europeus modernos e ao entendimento de que a democracia em 2020 também deve estar no espaço digital.
PS Estou escrevendo no social. redes sobre jurisprudência e negócios de TI. Terei o maior prazer se você assinar uma das minhas contas. Isso certamente irá adicionar motivação para desenvolver um perfil e trabalhar o conteúdo.