Sammenligning af tilgange og praksis til beskyttelse af personoplysninger i Rusland og EU
Faktisk, med enhver handling udført af en bruger på internettet, forekommer der en eller anden form for manipulation af brugerens personlige data.
Vi betaler ikke for mange af de tjenester, vi modtager på internettet: for at søge efter information, for e-mail, for at gemme vores data i skyen, for at kommunikere på sociale netværk osv. Disse tjenester er dog kun betinget gratis: vi betaler for dem med vores data , som disse virksomheder så forvandler til penge, hovedsageligt gennem annoncering.
I øjeblikket er data om køn, alder og bopæl, søgehistorik -
grundlaget for en online reklamebranche til en værdi af milliarder af dollars og euros. Det vil sige, at fra et juridisk synspunkt er persondata materiale til at drive forretning. Derfor gør virksomheder en enorm indsats og bruger betydelige penge på at indhente og behandle personoplysninger. Undersøgelser gennemført i 2018 viser, at brugere, der forstår værdien af deres personlige data, i stigende grad er utilfredse med, hvordan virksomheder behandler deres personlige data.
Regulering i segmentet for brugen af brugerdata har endnu ikke taget form og halter bagefter udviklingen af teknologi ikke kun i Rusland, men i hele verden, derfor er balancen mellem forbrugernes og virksomhedernes interesser i "penge - service - data - penge”-modellen bygges i dag både af tilsynsmyndigheder og af stiltiende aftaler mellem samfund og virksomheder. Regulatorer begrænser IT-virksomhedernes muligheder og udvider brugernes rettigheder: indfører nye love, der giver brugerne mere kontrol over de oplysninger, de leverer.
Det er interessant at sammenligne tilsynsmyndighedernes tilgange i europæiske lande og Rusland. I Rusland er de vigtigste regler for håndtering af personoplysninger den føderale lov om beskyttelse af personoplysninger (152-FZ) plus kodeksen for administrative lovovertrædelser, som direkte fastlægger det specifikke beløb for bøder for overtrædelse af proceduren for håndtering af personoplysninger . Administrative bøder er steget markant siden 1. juli 2017. Samtidig blev der fastsat nye bøder afhængigt af, hvilken type lovovertrædelse der er begået. Således kan embedsmænd idømmes en bøde på 3000 til 20 rubler, individuelle iværksættere - i mængden af 000 til 5000 rubler, organisationer - i mængden af 20 til 000 rubler. Desuden kan de stilles til ansvar for forskellige lovovertrædelser. En virksomhed kan derfor blive pålagt flere forskellige bøder for forskellige overtrædelser. Men ansvar ydes specifikt for manglende overholdelse af formkrav, for eksempel hvis de nødvendige papirer mangler. Dette er ikke altid direkte relateret til reel informationsbeskyttelse. For eksempel er en lækage i sig selv ikke grundlag for sanktioner, medmindre andre love overtrædes. Interessant nok indeholder et betydeligt antal identificerede overtrædelser inden for håndtering af personoplysninger indholdet i artikel 15 i Den Russiske Føderations kodeks for administrative lovovertrædelser: "Manglende indsendelse eller utidig indsendelse til et statsligt organ (Roskomnadzor) - information (oplysninger), hvis indgivelse er fastsat ved lov og er nødvendig for gennemførelsen af dette organs juridiske aktiviteter..." Det er interessant, at der gives meget større ansvar ikke for overtrædelse af proceduren for håndtering af personoplysninger (som angivet ovenfor er dette i gennemsnit 000-75 tusind rubler), men specifikt for manglende levering (forsinkelse, ufuldstændig indsendelse) information om procedure for håndtering af personlige data i Roskomnadzor er underlagt en bøde på op til 000 rubler. De der. i russisk lovgivning og i praksis for dens anvendelse er den fremherskende tendens "det vigtigste er, at jakkesættet passer", og statens behov er opfyldt. myndigheder i forskellige rapporter. Brugernes reelle rettigheder og sikkerheden af deres personlige data på internettet er dårligt beskyttet. Det samme bødebeløb korrelerer ikke på nogen måde med mængden af fordele, som nogle virksomheder modtager, når de overtræder håndteringen af personoplysninger på internettet, og tilskynder ikke til overholdelse af disse regler.
I EU er billedet noget anderledes. Siden maj 2018 har arbejdet med personoplysninger i Europa været reguleret af reglerne for behandling af personoplysninger fastsat af den generelle databeskyttelsesforordning (EU-forordning 2016/679 dateret 27. april 2016 eller GDPR – General Data Protection Regulation). Forordningen har direkte virkning i alle 28 EU-lande. Forordningen giver EU-borgere fuld kontrol over deres personoplysninger. I henhold til GDPR har EU-borgere og indbyggere meget brede rettigheder til at kontrollere deres personlige data. Europæiske brugere har ret til at anmode om bekræftelse af, at deres data behandles, stedet og formålet med behandlingen, kategorierne af personoplysninger, der behandles, til hvilke tredjeparter personoplysningerne videregives, den periode, hvor dataene vil blive behandlet, samt afklare kilden til organisationens modtagelse af personoplysningerne og anmode om rettelse heraf. Desuden har brugeren ret til at kræve, at behandlingen af hans data standses.
Siden maj 2018, ansvar i form af bøder for overtrædelse af reglerne for behandling af personoplysninger: ifølge GDPR når bøden op på 20 millioner euro (ca. 1,5 milliarder rubler) eller 4% af virksomhedens årlige globale omsætning.
Det vigtigste er, at alt dette virker, virksomheder, der krænker brugerrettigheder, bliver holdt ansvarlige og meget alvorligt. For eksempel besluttede den franske nationale kommission for informatik og borgerrettigheder (CNIL) den 21. januar 2019 at bøde den amerikanske virksomhed GOOGLE LLC på 50 millioner euro for overtrædelse af GDPR. Bødens størrelse er meget stor. Dette viser tydeligt risikoen for manglende overholdelse af GDPR-kravene. Hvad blev du straffet for? Den franske kommission fastslog, at under den indledende konfiguration af en mobilenhed, der kører Android (Google)-operativsystemet, modtager brugeren ikke fuld information om, hvad Google gør med hans personlige data. Virksomheden opfyldte ikke sine forpligtelser til at sikre gennemsigtighed i behandlingen af personoplysninger og informere subjekter (artikel 12 og 13 GDPR). Opbevaringsperioderne for brugerdata er ikke strengt reguleret. Virksomheden havde ikke det nødvendige retsgrundlag for den udførte databehandling (Artikel 6 GDPR). Google blev også anklaget for uretmæssigt at have indhentet brugersamtykke til at behandle deres data for at tilpasse annoncering.
Andre eksempler: en bøde fra den tyske regulator LfDI til chat-applikationen for dating Knuddels - 20.000 euro; det portugisiske hospital Barreiro Hospital blev anklaget for uretmæssig forvaltning af adgang til kritiske personlige data (bøde på 300 tusind euro) og krænkelse af sikkerheden og integriteten af data (yderligere 100 tusind euro ). De britiske myndigheder har udstedt en advarsel til en canadisk virksomhed, der beskæftiger sig med analytisk forskning. Virksomheden blev pålagt at stoppe behandlingen af personoplysninger om borgere, ellers risikerer den en bøde på 20 millioner euro. Det canadiske digital marketing- og softwareudviklingsfirma AggregateIQ blev idømt en bøde på £17000000. En cafe i Østrig fik en bøde på 5280 euro for ulovlig videoovervågning (kameraet fangede en del af fortovet). De der. enhver organisation, der er underlagt GDPR, bør ikke være begrænset, ifølge den nationale tradition, kun til udviklingen af regulatorisk dokumentation.
I øvrigt er det særlige ved GDPR, at det gælder for alle virksomheder, der behandler personoplysninger om beboere og borgere i EU, uanset hvor en sådan virksomhed befinder sig, så russiske virksomheder bør nøje overveje denne forordning, hvis deres tjenester er fokuseret på det europæiske marked
Kilde: www.habr.com