Vergelyking van benaderings en praktyke vir die beskerming van persoonlike data in Rusland en die EU
Trouens, met enige handeling wat deur 'n gebruiker op die internet uitgevoer word, vind een of ander vorm van manipulasie van die gebruiker se persoonlike data plaas.
Ons betaal nie vir baie van die dienste wat ons op die internet ontvang nie: om inligting te soek, vir e-pos, om ons data in die wolk te stoor, om op sosiale netwerke te kommunikeer, ens. Hierdie dienste is egter slegs voorwaardelik gratis: ons betaal vir hulle met ons data , wat hierdie maatskappye dan in geld verander, hoofsaaklik deur middel van advertensies.
Tans is data oor geslag, ouderdom en woonplek, soekgeskiedenis -
die basis vir 'n aanlyn-advertensiebedryf ter waarde van miljarde dollars en euro's. Dit wil sê, uit 'n wetlike oogpunt is persoonlike data materiaal om besigheid te doen. Gevolglik doen maatskappye enorme pogings en spandeer aansienlike geld om persoonlike data te bekom en te verwerk. Opnames wat in 2018 gedoen is, toon dat gebruikers, wat die waarde van hul persoonlike data verstaan, toenemend ontevrede is met hoe maatskappye hul persoonlike data hanteer.
Regulering in die segment van die gebruik van gebruikersdata het nog nie vorm aangeneem nie en is agter die ontwikkeling van tegnologie, nie net in Rusland nie, maar oor die hele wêreld, dus die balans van belange van verbruikers en maatskappye in die "geld - diens - data - geld”-model word vandag gebou deur Reguleerders en deur stilswyende ooreenkomste tussen die samelewing en maatskappye. Reguleerders beperk die vermoëns van IT-maatskappye en brei die regte van gebruikers uit: stel nuwe wette in wat gebruikers meer beheer gee oor die inligting wat hulle verskaf.
Dit is interessant om die benaderings van reguleerders in Europese lande en Rusland te vergelyk. In Rusland is die hoofregulasies vir die hantering van persoonlike data die Federale Wet op die Beskerming van Persoonlike Data (152-FZ) plus die Kode van Administratiewe Misdrywe, wat die spesifieke bedrag boetes direk bepaal vir die oortreding van die prosedure vir die hantering van persoonlike data . Administratiewe boetes het sedert 1 Julie 2017 aansienlik toegeneem. Terselfdertyd is nuwe boetes vasgestel na gelang van die tipe oortreding wat gepleeg is. So kan amptenare beboet word met 'n bedrag van 3000 20 tot 000 5000 roebels, individuele entrepreneurs - in 'n bedrag van 20 000 tot 15 000 roebels, organisasies - in die bedrag van 75 000 tot 19.7 30 roebels. Boonop kan hulle vir verskeie oortredings aanspreeklik gehou word. Gevolglik kan een maatskappy onderhewig wees aan verskeie verskillende boetes vir verskillende oortredings. Maar aanspreeklikheid word spesifiek verskaf vir versuim om aan formele vereistes te voldoen, byvoorbeeld as die nodige papiere ontbreek. Dit hou nie altyd direk verband met werklike inligtingbeskerming nie. Byvoorbeeld, 'n lekkasie op sigself is nie gronde vir strawwe nie, tensy ander wette oortree word. Interessant genoeg bevat 'n beduidende aantal geïdentifiseerde oortredings op die gebied van die hantering van persoonlike data die inhoud waarvoor in artikel 50 van die Kode van Administratiewe Misdrywe van die Russiese Federasie voorsiening gemaak word: "Versuim om voor te lê of ontydige voorlegging aan 'n staatsliggaam (Roskomnadzor) - inligting (inligting), waarvan die indiening deur die wet voorsiening gemaak word en wat nodig is vir die implementering van hierdie liggaam sy regsaktiwiteite ...” Dit is interessant dat baie groter aanspreeklikheid nie verskaf word vir die oortreding van die prosedure vir die hantering van persoonlike data nie (soos hierbo aangedui, dit is gemiddeld 200.000-XNUMX duisend roebels), maar spesifiek vir die versuim om (vertraging, onvolledige indiening) inligting oor die prosedure vir die hantering van persoonlike data in Roskomnadzor is onderhewig aan 'n boete van tot XNUMX roebels. Dié. in Russiese wetgewing en in die praktyk van die toepassing daarvan is die heersende neiging "die belangrikste ding is dat die pak pas" en die behoeftes van die staat bevredig word. owerhede in verskeie verslae. Die werklike regte van gebruikers en die sekuriteit van hul persoonlike data op die internet word swak beskerm. Dieselfde hoeveelheid boetes korreleer op geen manier met die hoeveelheid voordele wat sommige maatskappye ontvang wanneer hulle die hantering van persoonlike data op die internet oortree nie en moedig nie voldoening aan hierdie reëls aan nie.
In die EU is die prentjie ietwat anders. Sedert Mei 2018, in Europa, word werk met persoonlike data gereguleer deur die reëls vir die verwerking van persoonlike data ingestel deur die Algemene Databeskermingsregulasie (EU-regulasie 2016/679 gedateer 27 April 2016 of GDPR - Algemene Databeskermingsregulasie). Die regulasie het direkte effek in al 28 EU-lande. Die regulasie gee EU-inwoners volle beheer oor hul persoonlike data. Onder die GDPR het EU-burgers en inwoners baie wye regte om hul persoonlike data te beheer. Europese gebruikers het die reg om bevestiging te versoek van die feit dat hul data verwerk word, die plek en doel van die verwerking, die kategorieë van persoonlike data wat verwerk word, aan watter derde partye die persoonlike data bekend gemaak word, die tydperk waartydens die data sal verwerk word, asook die bron van die organisasie se ontvangs van die persoonlike data duidelik maak en die regstelling daarvan versoek. Boonop het die gebruiker die reg om te eis dat die verwerking van sy data gestaak word.
Sedert Mei 2018, aanspreeklikheid in die vorm van boetes vir die oortreding van die reëls vir die verwerking van persoonlike data: volgens die GDPR bereik die boete 20 miljoen euro (ongeveer 1,5 miljard roebels) of 4% van die maatskappy se jaarlikse globale inkomste.
Die belangrikste ding is dat dit alles werk, maatskappye wat gebruikersregte skend, word verantwoordelik gehou en baie ernstig. Byvoorbeeld, op 21 Januarie 2019 het die Franse Nasionale Kommissie vir Informatika en Burgerregte (CNIL) besluit om die Amerikaanse maatskappy GOOGLE LLC met 50 miljoen euro te beboet vir die oortreding van die GDPR. Die bedrag van die boete is baie groot. Dit toon duidelik die risiko's van nie-nakoming van GDPR-vereistes. Waarvoor is jy gestraf? Die Franse Kommissie het vasgestel dat die gebruiker tydens die aanvanklike konfigurasie van 'n mobiele toestel wat die Android (Google) bedryfstelsel gebruik, nie volledige inligting ontvang oor wat Google met sy persoonlike data doen nie. Die maatskappy het nie sy verpligtinge nagekom om deursigtigheid in die verwerking van persoonlike data te verseker en vakke in te lig nie (artikels 12 en 13 GDPR). Die bergingstydperke vir gebruikersdata word nie streng gereguleer nie. Die maatskappy het nie die nodige regsgrondslag gehad vir die dataverwerking wat uitgevoer is nie (Artikel 6 GDPR). Google is ook daarvan beskuldig dat hy die gebruiker se toestemming onbehoorlik verkry het om hul data te verwerk om advertensies te personaliseer.
Ander voorbeelde: 'n boete van die Duitse reguleerder LfDI tot die kletsaansoek om Knuddels te dateer - 20.000 300 euro; die Portugese hospitaal Barreiro-hospitaal is daarvan beskuldig dat hy toegang tot kritieke persoonlike data (boete van 100 duisend euro) onbehoorlik bestuur het en die sekuriteit en integriteit van data (nog 20 duisend euro ). Britse owerhede het 'n waarskuwing uitgereik aan 'n Kanadese maatskappy wat besig is met analitiese navorsing. Die maatskappy is beveel om op te hou om persoonlike data van burgers te verwerk, anders staar hy 'n boete van 17000000 miljoen euro in die gesig. Die Kanadese digitale bemarkings- en sagteware-ontwikkelingsmaatskappy AggregateIQ is met £5280 XNUMX XNUMX beboet. ’n Kafee in Oostenryk is met XNUMX XNUMX euro beboet vir onwettige videobewaking (die kamera het ’n deel van die sypaadjie vasgevang). Dié. enige organisasie wat onderhewig is aan die GDPR moet nie beperk word, volgens plaaslike tradisie, slegs tot die ontwikkeling van regulatoriese dokumentasie nie.
Terloops, die eienaardigheid van die GDPR is dat dit van toepassing is op alle maatskappye wat persoonlike data van EU-inwoners en -burgers verwerk, ongeag die ligging van so 'n maatskappy, dus moet Russiese maatskappye hierdie regulasie noukeurig oorweeg as hul dienste op die Europese fokus. mark
Bron: will.com