Srovnání přístupů a praktik k ochraně osobních údajů v Rusku a EU
Ve skutečnosti při jakékoli akci provedené uživatelem na internetu dochází k určité formě manipulace s osobními údaji uživatele.
Za mnoho služeb, které na internetu dostáváme, neplatíme: za vyhledávání informací, za e-mail, za ukládání našich dat do cloudu, za komunikaci na sociálních sítích atd. Tyto služby jsou však zdarma pouze podmíněně: platíme pro ně s našimi daty, které pak tyto společnosti proměňují v peníze, především prostřednictvím reklamy.
Aktuálně údaje o pohlaví, věku a místě bydliště, historie vyhledávání -
základ pro online reklamní průmysl v hodnotě miliard dolarů a eur. To znamená, že z právního hlediska jsou osobní údaje materiály pro podnikání. Společnosti proto vynakládají obrovské úsilí a vynakládají značné peníze na získávání a zpracování osobních údajů. Průzkumy provedené v roce 2018 ukazují, že uživatelé, kteří chápou hodnotu svých osobních údajů, jsou stále více nespokojeni s tím, jak společnosti nakládají s jejich osobními údaji.
Regulace v segmentu používání uživatelských dat se dosud nezformovala a zaostává za vývojem technologií nejen v Rusku, ale na celém světě, proto je rovnováha zájmů spotřebitelů a společností v oblasti „peníze - služby - údaje „Peníze“ dnes vytvářejí jak regulační orgány, tak tiché dohody mezi společností a společnostmi. Regulátoři omezují možnosti IT společností a rozšiřují práva uživatelů: zavádějí nové zákony, které uživatelům poskytují větší kontrolu nad informacemi, které poskytují.
Zajímavé je srovnání přístupů regulátorů v evropských zemích a Rusku. V Rusku jsou hlavními předpisy upravujícími nakládání s osobními údaji federální zákon o ochraně osobních údajů (152-FZ) plus zákoník o správních deliktech, který přímo stanoví konkrétní výši pokut za porušení postupu při nakládání s osobními údaji . Správní pokuty se od 1. července 2017 výrazně zvýšily. Zároveň byly stanoveny nové pokuty v závislosti na druhu spáchaného přestupku. Úředníci tak mohou být pokutováni ve výši 3000 20 až 000 5000 rublů, jednotliví podnikatelé - ve výši 20 000 až 15 000 rublů, organizace - ve výši 75 000 až 19.7 30 rublů. Navíc mohou nést odpovědnost za různé trestné činy. V souladu s tím může být jedné společnosti uloženo několik různých pokut za různá porušení. Odpovědnost je však poskytována speciálně za nedodržení formálních požadavků, například pokud chybí potřebné doklady. Ne vždy to přímo souvisí se skutečnou ochranou informací. Například únik sám o sobě není důvodem pro sankce, pokud nejsou porušeny jiné zákony. Zajímavé je, že značný počet zjištěných porušení v oblasti nakládání s osobními údaji obsahuje obsah stanovený v článku 50 Kodexu správních deliktů Ruské federace: „Nepodání nebo předčasné předložení státnímu orgánu (Roskomnadzor) - informace (informace), jejichž podávání stanoví zákon a je nezbytné pro výkon tohoto orgánu jeho právní činnosti...“ Je zajímavé, že mnohem větší odpovědnost je poskytována nikoli za porušení postupu nakládání s osobními údaji (jak je uvedeno výše, v průměru se jedná o 200.000-XNUMX tisíc rublů), ale konkrétně za neposkytnutí (zpoždění, neúplné podání) informací o postup pro nakládání s osobními údaji v Roskomnadzor podléhá pokutě až XNUMX XNUMX rublů. Tito. v ruské legislativě a v praxi její aplikace převládá trend „hlavní je, aby oblek seděl“ a byly uspokojeny potřeby státu. úřadů v různých zprávách. Skutečná práva uživatelů a bezpečnost jejich osobních údajů na internetu jsou špatně chráněny. Stejná výše pokut nijak nekoreluje s výší výhod, které některé společnosti poruší při nakládání s osobními údaji na internetu, a nenabádá k dodržování těchto pravidel.
V EU je obrázek poněkud odlišný. Od května 2018 je v Evropě práce s osobními údaji upravena pravidly pro zpracování osobních údajů stanovenými obecným nařízením o ochraně osobních údajů (Nařízení EU 2016/679 ze dne 27. dubna 2016 nebo GDPR - Obecné nařízení o ochraně osobních údajů). Nařízení má přímý účinek ve všech 28 zemích EU. Nařízení dává obyvatelům EU plnou kontrolu nad jejich osobními údaji. Podle GDPR mají občané a obyvatelé EU velmi široká práva na kontrolu svých osobních údajů. Evropští uživatelé mají právo požadovat potvrzení o skutečnosti, že jejich údaje jsou zpracovávány, o místě a účelu zpracování, o kategoriích zpracovávaných osobních údajů, kterým třetím stranám jsou osobní údaje zpřístupněny, o době, po kterou údaje budou zpracovány, jakož i objasnit zdroj, z něhož organizace osobní údaje obdržela, a požadovat jejich opravu. Kromě toho má uživatel právo požadovat, aby bylo zpracování jeho údajů zastaveno.
Od května 2018 odpovědnost ve formě pokut za porušení pravidel pro zpracování osobních údajů: podle GDPR dosahuje pokuta 20 milionů eur (asi 1,5 miliardy rublů) nebo 4 % ročních globálních příjmů společnosti.
Nejdůležitější je, že toto vše funguje, společnosti porušující uživatelská práva jsou zodpovědné a velmi vážně. Například 21. ledna 2019 se francouzská Národní komise pro informatiku a občanská práva (CNIL) rozhodla udělit americké společnosti GOOGLE LLC pokutu 50 milionů eur za porušení GDPR. Výše pokuty je velmi vysoká. To jasně ukazuje na rizika nesouladu s požadavky GDPR. Za co jsi byl potrestán? Francouzská komise zjistila, že během počáteční konfigurace mobilního zařízení s operačním systémem Android (Google) uživatel nedostává úplné informace o tom, co Google dělá s jeho osobními údaji. Společnost nesplnila své povinnosti zajistit transparentnost zpracování osobních údajů a informovat subjekty (čl. 12 a 13 GDPR). Doba uložení uživatelských dat není přísně regulována. Společnost neměla potřebný právní základ pro prováděné zpracování údajů (článek 6 GDPR). Google byl také obviněn z nesprávného získávání souhlasu uživatelů se zpracováním jejich údajů za účelem personalizace reklamy.
Další příklady: pokuta od německého regulátora LfDI za chatovací aplikaci za seznamování s Knuddelsem - 20.000 300 eur; portugalská nemocnice Barreiro Hospital byla obviněna z nesprávné správy přístupu ke kritickým osobním údajům (pokuta 100 tisíc eur) a porušení bezpečnosti a integrity data (dalších 20 tisíc eur ). Britské úřady vydaly varování kanadské společnosti zabývající se analytickým výzkumem. Společnosti bylo nařízeno, aby přestala zpracovávat osobní údaje občanů, jinak jí hrozí pokuta 17000000 milionů eur. Kanadská společnost AggregateIQ pro digitální marketing a vývoj softwaru dostala pokutu 5280 XNUMX XNUMX liber. Kavárna v Rakousku dostala pokutu XNUMX XNUMX eur za nelegální video dohled (kamera zachytila část chodníku). Tito. jakákoli organizace, která podléhá GDPR, by se podle tuzemské tradice neměla omezovat pouze na vypracování regulační dokumentace.
Mimochodem, zvláštností GDPR je, že se vztahuje na všechny společnosti zpracovávající osobní údaje obyvatel a občanů EU bez ohledu na to, kde se taková společnost nachází, takže ruské společnosti by měly toto nařízení pečlivě zvážit, pokud jsou jejich služby zaměřeny na evropském trhu
Zdroj: www.habr.com