GDPR beskytter dine personlige data meget godt, men kun hvis du er i Europa

GDPR beskytter dine personlige data meget godt, men kun hvis du er i Europa

Sammenligning af tilgange og praksisser inden for beskyttelse af personoplysninger i Rusland og EU

Faktisk er der med enhver handling udført af en bruger på internettet en eller anden form for manipulation af brugerens personoplysninger.

Vi betaler ikke for mange af de tjenester, vi modtager på internettet: søgning efter information, e-mail, lagring af vores data i skyen, kommunikation på sociale netværk osv. Disse tjenester er dog kun betinget gratis: Vi betaler for dem med vores data, som disse virksomheder derefter omdanner til penge, primært gennem reklamer.

I øjeblikket data om køn, alder og bopæl, søgehistorik -
grundlaget for en online reklameindustri til en værdi af milliarder af dollars og euro. Det vil sige, at personoplysninger fra et juridisk synspunkt er materialer til at drive forretning. Derfor gør virksomheder en enorm indsats og bruger betydelige penge på at indhente og behandle personoplysninger. Undersøgelser foretaget i 2018 viser, at brugerne, der erkender værdien af ​​deres personoplysninger, i stigende grad er utilfredse med den måde, virksomheder håndterer deres personoplysninger på.

Regulering inden for segmentet for brug af brugerdata er endnu ikke etableret og halter bagefter udviklingen af ​​teknologier, ikke kun i Rusland, men også i hele verden. Derfor opbygges balancen mellem forbrugernes og virksomhedernes interesser i modellen "penge - service - data - penge" i dag både af regulatorer og gennem stiltiende aftaler mellem samfundet og virksomhederne. Regulatorer begrænser IT-virksomhedernes muligheder og udvider brugernes rettigheder: de indfører nye love, der giver brugerne mere kontrol over de oplysninger, de leverer.

Det er interessant at sammenligne de tilgange, som regulatorer i europæiske lande og Rusland bruger. I Rusland er de vigtigste regler for håndtering af personoplysninger den føderale lov om beskyttelse af personoplysninger (152-FZ) samt loven om administrative lovovertrædelser, som direkte fastsætter det specifikke bødebeløb for overtrædelse af proceduren for håndtering af personoplysninger. Administrative bøder er steget betydeligt siden 1. juli 2017. Samtidig blev der indført nye bøder afhængigt af den begåede lovovertrædelsestype. Således kan embedsmænd blive idømt bøder fra 3000 til 20 rubler, individuelle iværksættere - fra 000 til 5000 rubler, organisationer - fra 20 til 000 rubler. Derudover kan de holdes ansvarlige for forskellige typer lovovertrædelser. Derfor kan én virksomhed blive pålagt flere forskellige bøder for forskellige overtrædelser. Men der er fastsat ansvar for manglende overholdelse af formelle krav, for eksempel hvis de nødvendige papirer mangler. Dette er ikke altid direkte relateret til faktisk informationsbeskyttelse. For eksempel er en lækage i sig selv ikke grundlag for en straf, medmindre andre love overtrædes. Interessant nok indeholder et betydeligt antal af de overtrædelser, der er identificeret inden for håndtering af personoplysninger, den sammensætning, der er fastsat i artikel 15 i Den Russiske Føderations kodeks for administrative lovovertrædelser: "Manglende eller for tidlig indgivelse til en offentlig myndighed (Roskomnadzor) af oplysninger (data), hvis indgivelse er fastsat ved lov og er nødvendig for, at denne myndighed kan udføre sine lovlige aktiviteter..." Det er interessant, at der ikke er fastsat en langt højere straf for overtrædelse af proceduren for håndtering af personoplysninger (som angivet ovenfor er dette i gennemsnit 000-75 tusind rubler), men for manglende indgivelse (forsinkelse, ufuldstændig indgivelse) af oplysninger om proceduren for håndtering af personoplysninger til Roskomnadzor pålægges en bøde på op til 000 rubler. Dem. I russisk lovgivning og i praksis med dens anvendelse er den fremherskende tendens, at "det vigtigste er, at jakkesættet passer", og at statens behov er opfyldt. organer i forskellige rapporter. Brugernes reelle rettigheder og sikkerheden af ​​deres personoplysninger på internettet er dårligt beskyttet. Det samme bødebeløb korrelerer ikke på nogen måde med de fordele, som nogle virksomheder opnår ved at overtræde reglerne for håndtering af personoplysninger på internettet, og tilskynder ikke til overholdelse af disse regler.

I EU er billedet noget anderledes. Siden maj 2018 har arbejde med personoplysninger i Europa været reguleret af reglerne for behandling af personoplysninger, der er fastsat i den generelle forordning om databeskyttelse (EU-forordning 2016/679 fra 27. april 2016 eller GDPR - Persondataforordningen). Forordningen har direkte virkning i alle 28 EU-lande. Forordningen giver EU-borgere fuld kontrol over deres personoplysninger. I henhold til GDPR har EU-borgere og -indbyggere meget brede rettigheder til at kontrollere deres personoplysninger. Europæiske brugere har ret til at anmode om bekræftelse af, at deres data behandles, stedet og formålet med behandlingen, kategorierne af personoplysninger, der behandles, til hvilke tredjeparter personoplysningerne videregives, den periode, hvori dataene vil blive behandlet, samt til at præcisere kilden til organisationens personoplysninger og anmode om berigtigelse af dem. Derudover har brugeren ret til at kræve, at behandlingen af ​​hans/hendes data stoppes.

Siden maj 2018 har der været bødeansvar for overtrædelse af reglerne for behandling af personoplysninger: i henhold til GDPR når bøden op på 20 millioner euro (ca. 1,5 milliarder rubler) eller 4% af virksomhedens årlige globale indkomst.

Det vigtigste er, at alt dette fungerer: virksomheder, der krænker brugerrettigheder, holdes ansvarlige, og med meget alvorlige sanktioner. For eksempel idømte den franske nationale kommission for informatik og borgerrettigheder (CNIL) den 21. januar 2019 den amerikanske virksomhed GOOGLE LLC en bøde på 50 millioner euro for overtrædelse af GDPR. Bøden er meget stor og viser tydeligt konsekvenserne af manglende overholdelse af GDPR-kravene. Hvad var straffen for? Den franske kommission fastslog, at den indledende konfiguration af en mobilenhed på et operativsystem... Android (Google) giver ikke brugerne fuldstændige oplysninger om, hvad Google gør med deres personoplysninger. Virksomheden har ikke opfyldt sine forpligtelser til at sikre gennemsigtighed i behandlingen af ​​personoplysninger og til at informere registrerede (artikel 12 og 13 i GDPR). Opbevaringsperioderne for brugerdata var dårligt reguleret. Virksomheden manglede det nødvendige retsgrundlag for sin databehandling (artikel 6 i GDPR). Google blev også beskyldt for uretmæssigt at have indhentet brugernes samtykke til at behandle deres data med henblik på personlig annoncering.

Andre eksempler: Den tyske tilsynsmyndighed LfDI idømte dating-chat-appen Knuddels en bøde på 20.000 euro, mens det portugisiske hospital Barreiro Hospital blev beskyldt for forkert håndtering af adgang til følsomme personoplysninger (en bøde på 300 euro) og brud på datasikkerhed og -integritet (yderligere 100 euro). Britiske tilsynsmyndigheder har udsendt en advarsel til et canadisk analysefirma. Virksomheden blev beordret til at stoppe behandlingen af ​​borgernes personoplysninger, ellers står den over for en bøde på 20 millioner euro. Det canadiske digitale marketing- og softwarefirma AggregateIQ er blevet idømt en bøde på 17000000 millioner pund. En café i Østrig fik en bøde på 5280 euro for ulovlig videoovervågning (kameraet optog en del af fortovet). Dem. Enhver organisation, der er underlagt GDPR, bør ikke, i overensstemmelse med national tradition, begrænse sig til kun at udvikle lovgivningsmæssig dokumentation.

Det særlige ved GDPR er i øvrigt, at den gælder for alle virksomheder, der behandler personoplysninger om EU-borgere og -borgere, uanset virksomhedens placering, så russiske virksomheder bør være meget opmærksomme på denne forordning, hvis deres tjenester er rettet mod det europæiske marked.

Kilde: www.habr.com

Køb pålidelig hosting til websteder med DDoS-beskyttelse, VPS VDS-servere 🔥 Køb pålidelig webhosting med DDoS-beskyttelse, VPS VDS-servere | ProHoster