Comparació d'enfocaments i pràctiques per protegir les dades personals a Rússia i la UE
De fet, amb qualsevol acció realitzada per un usuari a Internet, es produeix algun tipus de manipulació de les dades personals de l'usuari.
No paguem molts dels serveis que rebem a Internet: per cercar informació, per correu electrònic, per emmagatzemar les nostres dades al núvol, per comunicar-nos a les xarxes socials, etc. No obstant això, aquests serveis només són gratuïts condicionalment: paguem per a ells amb les nostres dades, que aquestes empreses converteixen després en diners, principalment a través de la publicitat.
Actualment, dades sobre gènere, edat i lloc de residència, historial de cerca -
la base d'una indústria de publicitat en línia per valor de milers de milions de dòlars i euros. És a dir, des del punt de vista legal, les dades personals són materials per fer negocis. En conseqüència, les empreses fan un esforç enorme i gasten diners considerables per obtenir i processar dades personals. Les enquestes realitzades el 2018 mostren que els usuaris, entenent el valor de les seves dades personals, estan cada cop més insatisfets amb com les empreses tracten les seves dades personals.
La regulació en el segment de l'ús de les dades dels usuaris encara no s'ha concretat i està endarrerida amb el desenvolupament de la tecnologia no només a Rússia, sinó a tot el món, per tant, l'equilibri d'interessos dels consumidors i les empreses en el "diners - servei - dades - el model de diners” s'està construint avui tant pels Reguladors com per acords tàcits entre la societat i les empreses. Els reguladors estan limitant les capacitats de les empreses de TI i ampliant els drets dels usuaris: introduint noves lleis que donen als usuaris més control sobre la informació que proporcionen.
És interessant comparar els enfocaments dels reguladors als països europeus i a Rússia. A Rússia, les principals normes que regulen el tractament de dades personals són la Llei Federal de Protecció de Dades Personals (152-FZ) més el Codi d'Infraccions Administratives, que estableix directament l'import específic de les multes per violar el procediment de tractament de dades personals. . Les multes administratives han augmentat significativament des de l'1 de juliol de 2017. Paral·lelament, es van establir noves multes en funció del tipus de delicte comes. Per tant, els funcionaris poden ser multats per un import de 3000 a 20 rubles, empresaris individuals, per un import de 000 a 5000 rubles, organitzacions, per un import de 20 a 000 rubles. A més, poden ser considerats responsables de diversos delictes. En conseqüència, una empresa pot estar subjecta a diverses multes diferents per infraccions diferents. Però la responsabilitat es preveu específicament per l'incompliment dels requisits formals, per exemple, si falten els documents necessaris. Això no sempre està directament relacionat amb la protecció de la informació real. Per exemple, una filtració en si mateixa no és motiu de sancions tret que es vulnerin altres lleis. Curiosament, un nombre significatiu de violacions identificades en l'àmbit del tractament de dades personals contenen el contingut previst a l'article 15 del Codi d'infraccions administratives de la Federació de Rússia: "No presentar o presentació intempestiva a un organisme estatal (Roskomnadzor) - informació (informació), la presentació de la qual està prevista per la llei i és necessària per al desenvolupament d'aquest òrgan les seves activitats legals...” És interessant que s'ofereix una responsabilitat molt més gran no per la violació del procediment de tractament de dades personals (com s'ha indicat anteriorment, això és de mitjana entre 000 i 75 mil rubles), sinó específicament per no proporcionar informació (retard, presentació incompleta) sobre el El procediment de tractament de dades personals a Roskomnadzor està subjecte a una multa de fins a 000 rubles. Aquells. a la legislació russa i a la pràctica de la seva aplicació, la tendència predominant és "el més important és que el vestit s'ajusti" i les necessitats de l'estat estiguin satisfetes. autoritats en diversos informes. Els drets reals dels usuaris i la seguretat de les seves dades personals a Internet estan poc protegits. La mateixa quantia de multes no es correlaciona de cap manera amb la quantia dels beneficis que reben algunes empreses quan vulneren el tractament de dades personals a Internet i no fomenta el compliment d'aquestes normes.
A la UE el panorama és una mica diferent. Des del maig de 2018, a Europa, el treball amb dades personals està regulat per les normes de tractament de dades personals establertes pel Reglament General de Protecció de Dades (Reglament UE 2016/679 amb data 27 d'abril de 2016 o GDPR - Reglament General de Protecció de Dades). El reglament té efectes directes als 28 països de la UE. El reglament ofereix als residents de la UE un control total sobre les seves dades personals. Segons el GDPR, els ciutadans i residents de la UE tenen drets molt amplis per controlar les seves dades personals. Els usuaris europeus tenen dret a sol·licitar la confirmació del fet que s'estan tractant les seves dades, el lloc i la finalitat del tractament, les categories de dades personals que s'estan tractant, a quins tercers es comuniquen les dades personals, el període durant el qual les dades seran tractats, així com aclarir l'origen de la recepció de les dades personals per part de l'organització i sol·licitar-ne la correcció. Així mateix, l'usuari té dret a exigir que s'atura el tractament de les seves dades.
Des de maig de 2018, responsabilitat en forma de multes per violació de les normes de tractament de dades personals: segons el GDPR, la multa arriba als 20 milions d'euros (uns 1,5 milions de rubles) o el 4% dels ingressos globals anuals de l'empresa.
El més important és que tot això funciona, les empreses que vulneren els drets dels usuaris es responsabilitzen i siguin molt serioses. Per exemple, el 21 de gener de 2019, la Comissió Nacional Francesa d'Informàtica i Drets Civils (CNIL) va decidir multar l'empresa nord-americana GOOGLE LLC amb 50 milions d'euros per infringir el GDPR. L'import de la multa és molt gran. Això mostra clarament els riscos de l'incompliment dels requisits del GDPR. Per què va ser castigat? La Comissió francesa va determinar que durant la configuració inicial d'un dispositiu mòbil amb el sistema operatiu Android (Google), l'usuari no rep informació completa sobre què està fent Google amb les seves dades personals. L'empresa no va complir amb les seves obligacions de garantir la transparència en el tractament de les dades personals i informar als subjectes (articles 12 i 13 del RGPD). Els períodes d'emmagatzematge de les dades dels usuaris no estan estrictament regulats. L'empresa no disposava de la base legal necessària per al tractament de dades realitzat (article 6 GDPR). Google també va ser acusat d'obtenir indegudament el consentiment dels usuaris per processar les seves dades per personalitzar la publicitat.
Altres exemples: una multa del regulador alemany LfDI a l'aplicació de xat de cites Knuddels - 20.000 euros, l'hospital portuguès Hospital de Barreiro va ser acusat de gestionar indegudament l'accés a dades personals crítiques (una multa de 300 mil euros) i vulnerar la seguretat i integritat de dades (altres 100 mil euros). Les autoritats del Regne Unit han emès un avís a una empresa canadenca dedicada a la investigació analítica. L'empresa va rebre l'ordre de deixar de tractar dades personals dels ciutadans, en cas contrari s'enfronta a una multa de 20 milions d'euros. L'empresa canadenca de màrqueting digital i desenvolupament de programari AggregateIQ va ser multada amb 17000000 £. Una cafeteria d'Àustria va ser multada amb 5280 euros per videovigilància il·legal (la càmera va captar part de la vorera). Aquells. qualsevol organització que estigui subjecta al GDPR no s'ha de limitar, segons la tradició nacional, només al desenvolupament de documentació normativa.
Per cert, la peculiaritat del GDPR és que s'aplica a totes les empreses que tracten dades personals de residents i ciutadans de la UE, independentment de la ubicació d'aquesta empresa, per la qual cosa les empreses russes haurien de considerar acuradament aquest Reglament si els seus serveis se centren en l'àmbit europeu. mercat
Font: www.habr.com