Параўнанне падыходаў і практыкі абароны персанальных даных у Расіі і ЕС
Фактычна пры любым дзеянні здзяйсняным карыстачом у інтэрнэце, адбываецца ў той ці іншай форме маніпуляцыі персанальнымі дадзенымі карыстальніка.
Мы не плацім за шматлікія паслугі, якія атрымліваем у інтэрнэце: за пошук інфармацыі, за электронную пошту, за захоўванне нашых дадзеных у воблаку, за зносіны ў сацыяльных сетках і т. д. Аднак гэтыя паслугі толькі ўмоўна бясплатныя: мы расплачваемся за іх сваімі дадзенымі , Якія гэтыя кампаніі затым ператвараюць у грошы, у асноўным з дапамогай рэкламы.
У цяперашні час дадзеныя аб полі, узросце і месцы жыхарства, гісторыя пошуку
аснова для індустрыі рэкламы ў інтэрнэце, аб'ём якой вылічаецца мільярдамі долараў і еўра. Гэта значыць з юрыдычнага пункту гледжання персанальныя дадзеныя гэта матэрыялы для вядзення бізнесу. Адпаведна кампаніі прыкладаюць вялізныя намаганні і марнуюць немалыя сродкі для атрымання і апрацоўкі персанальных дадзеных. Апытанні, праведзеныя ў 2018 годзе, паказваюць, што карыстачы, разумеючы каштоўнасць сваіх персанальных дадзеных усё больш і больш незадаволеныя тым, як кампаніі абыходзяцца з іх персанальнымі дадзенымі.
Рэгуляванне ў сегменце выкарыстання дадзеных карыстальнікаў яшчэ не склалася і адстае ад развіцця тэхналогій не толькі ў Расіі, але і ва ўсім свеце, таму баланс інтарэсаў спажыўцоў і кампаній у мадэлі «грошы - паслуга - дадзеныя - грошы» выбудоўваецца сёння як рэгулятарамі так і сакрэтнымі дамоўленасцямі паміж грамадствам і кампаніямі. Рэгулятары абмяжоўваюць магчымасці IT-кампаній і пашыраюць правы карыстачоў: уводзяць новыя законы, якія даюць карыстачам большы кантроль над якая прадстаўляецца імі інфармацыяй.
Цікава параўнанне падыходаў рэгулятараў у Еўрапейскіх краінах і Расіі. У Расіі асноўныя нарматыўныя акты, якія рэгулююць абыходжанне з персанальнымі дадзенымі гэта Федэральны закон аб абароне персанальных дадзеных (152-ФЗ) плюс Кодэкс аб адміністрацыйных правапарушэннях, які непасрэдна ўстанаўлівае канкрэтны памер штрафаў за парушэнне парадку абыходжання з персанальнымі дадзенымі. Адміністрацыйныя штрафы з 1 ліпеня 2017 года істотна павялічыліся. Пры гэтым устанавілі новыя памеры штрафаў у залежнасці ад віду ўчыненага правапарушэння. Так, службовых асоб могуць аштрафаваць на суму ад 3000 да 20 000 руб., ІП - на суму ад 5000 да 20 000 руб., Арганізацыі - на суму ад 15 000 да 75 000 руб. Прычым прыцягваць у адказнасці могуць па розных складах правапарушэнняў. Адпаведна, за розныя парушэнні на адну кампанію могуць накласці некалькі розных штрафаў. Але адказнасць прадугледжана менавіта за невыкананне фармальных патрабаванняў, напрыклад, калі адсутнічаюць неабходныя паперы. З рэальнай абаронай інфармацыі гэта не заўсёды наўпрост звязана. Напрыклад, сама па сабе ўцечка не з'яўляецца падставай для штрафных санкцый, калі не парушаны іншыя законы. Што цікава, значная колькасць выяўленых парушэнняў у галіне абыходжання з персанальнымі дадзенымі, утрымліваюць склад, прадугледжаны артыкулам 19.7 КаАП РФ: «Непрадстаўленне або несвоечасовае прадстаўленне ў дзяржаўны орган (Раскамнагляд) – звестак (інфармацыі), прадстаўленне якіх прадугледжана законам і неабходна для ажыццяўлення гэтым органам яго законнай дзейнасці..». Цікава, што значна большая адказнасць прадугледжана не за парушэнне парадку абыходжання з персанальнымі дадзенымі (як паказвалася вышэй гэта ў сярэднім 30-50 тыс. руб.), а менавіта за не прадастаўленне (затрымку, няпоўнае прадстаўленне) інфармацыі аб парадку абыходжання з персанальнымі дадзенымі ў Раскамнагляд належыць штраф да 200.000 руб. Г.зн. у заканадаўстве Расіі і ў практыцы яго прымянення пераважае тэндэнцыя «галоўнае што б гарнітурчык сядзеў» і былі задаволены патрэбы дзярж. органаў у розных справаздачах. Рэальныя правы карыстальнікаў і бяспека іх асабістых дадзеных у інтэрнэце абаронены дрэнна. Той жа памер штрафаў ніяк не карэлюецца з памерам выгод, якія атрымліваюцца некаторымі кампаніямі пры парушэнні абыходжання з персанальнымі дадзенымі ў інтэрнэце і не стымулюе выконваць гэтыя правілы.
У ЕС крыху іншая карціна. З мая 2018 года ў Еўропе работа з персанальнымі данымі рэгулюецца правіламі апрацоўкі персанальных даных, устаноўленых Агульным рэгламентам па абароне даных (Рэгламент ЕС 2016/679 ад 27 красавіка 2016 г. або GDPR - General Data Protection Regulation). Рэгламент мае прамое дзеянне ва ўсіх 28 краінах ЕС. Рэгламент дае рэзідэнтам ЕС магчымасць поўнага кантролю над сваімі персанальнымі дадзенымі. У адпаведнасці з GDPR значна грамадзяне і рэзідэнты ЕЗ маюць вельмі шырокія правы па кантролі за іх персанальнымі дадзенымі. Еўрапейскія карыстальнікі маюць права запытваць пацвярджэнне факта апрацоўкі іх даных, месца і мэту апрацоўкі, катэгорыі апрацоўваных персанальных даных, якім трэцім асобам персанальныя даныя раскрываюцца, перыяд, на працягу якога даныя будуць апрацоўвацца, а таксама ўдакладняць крыніцу атрымання арганізацыяй персанальных даных і патрабаваць іх выпраўлення. Больш за тое, карыстач мае права патрабаваць спынення апрацоўкі сваіх дадзеных.
З мая 2018 года Адказнасць у выглядзе штрафаў за парушэнне правілаў апрацоўкі персанальных дадзеных: па GDPR штраф дасягаюць 20 мільёнаў еўра (каля 1,5 млрд руб.) Або 4% гадавога глабальнага даходу кампаніі.
Самае галоўнае, што ўсё гэта працуе, кампаніі парушаюць правы карыстальнікаў прыцягваюць да адказнасці і вельмі сур'ёзнай. Так, напрыклад 21 студзеня 2019 года Нацыянальная камісія па інфарматыцы і грамадзянскіх правах Францыі (CNIL) вынесла рашэнне аштрафаваць амерыканскую кампанію GOOGLE LLC на 50 мільёнаў еўра за парушэнне GDPR. Сума штрафу вельмі вялікая. Гэта наглядна паказвае, чым пагражае неадпаведнасць патрабаванням GDPR. Завошта пакаралі? Французская камісія вызначыла, што пры пачатковай канфігурацыі мабільнай прылады на аперацыйнай сістэме Android (Google) карыстач не атрымлівае поўнай інфармацыі аб тым, што Google робіць з яго персанальнымі дадзенымі. Кампанія не выканала абавязацельствы па забеспячэнні празрыстасці апрацоўкі персанальных дадзеных і інфармавання суб'ектаў (артыкулы 12 і 13 GDPR). Тэрміны захоўвання карыстацкіх дадзеных рэгламентуюцца недакладна. У кампаніі адсутнічала неабходная юрыдычная аснова для апрацоўкі дадзеных (артыкул 6 GDPR). Google таксама абвінавачвалася, што неналежным чынам атрымала згоду карыстальнікаў на апрацоўку іх дадзеных для персаналізацыі рэкламы.
Іншыя прыклады: штраф з боку Нямецкага рэгулятара LfDI чат-дадатку для знаёмстваў Knuddels - 20.000 еўра, Партугальскую бальніцу Barreiro Hospital абвінавацілі ў няправільным кіраванні доступам да крытычных персанальных дадзеных (штраф 300 тысяч еўра) і парушэнні забеспячэння бяспекі і цэласнасці дадзеных (яшчэ 100 ). Упаўнаважаныя органы Вялікабрытаніі вынеслі папярэджанне канадскай кампаніі, якая займаецца аналітычнымі даследаваннямі. Кампанію абавязалі спыніць апрацоўку персанальных дадзеных грамадзян, у адваротным выпадку ёй пагражае штраф у памеры 20 млн. Еўра. Канадскай кампаніі AggregateIQ, якая займаецца лічбавым маркетынгам і распрацоўкай праграмнага забеспячэння паставілі штраф у памеры 17000000 фунтаў стэрлінгаў. Кавярню ў Аўстрыі аштрафавалі на 5280 еўра за незаконнае відэаназіранне (камера захоплівала частку тратуара). Г.зн. любая арганізацыя, на якую распаўсюджваецца дзеянне GDPR, не павінна абмяжоўвацца, па айчыннай традыцыі, толькі распрацоўкай нарматыўнай дакументацыі.
Дарэчы асаблівасць GDPR у тым, што яе дзеянне прымяняецца да ўсіх кампаній, якія апрацоўваюць персанальныя дадзеныя рэзідэнтаў і грамадзян ЕС, незалежна ад месцазнаходжання такой кампаніі, таму расійскія кампаніі павінны ўважліва паставіцца да дадзенага Рэгламенту, калі іх паслугі арыентаваны на еўрапейскі рынак.
Крыніца: habr.com