Σύγκριση προσεγγίσεων και πρακτικών για την προστασία των προσωπικών δεδομένων στη Ρωσία και την ΕΕ
Στην πραγματικότητα, με οποιαδήποτε ενέργεια εκτελείται από έναν χρήστη στο Διαδίκτυο, συμβαίνει κάποια μορφή χειραγώγησης των προσωπικών δεδομένων του χρήστη.
Δεν πληρώνουμε για πολλές από τις υπηρεσίες που λαμβάνουμε στο Διαδίκτυο: για αναζήτηση πληροφοριών, για email, για αποθήκευση των δεδομένων μας στο cloud, για επικοινωνία σε κοινωνικά δίκτυα κ.λπ. Ωστόσο, αυτές οι υπηρεσίες είναι δωρεάν μόνο υπό όρους: πληρώνουμε για αυτούς με τα δεδομένα μας, τα οποία στη συνέχεια αυτές οι εταιρείες μετατρέπουν σε χρήματα, κυρίως μέσω διαφήμισης.
Επί του παρόντος, δεδομένα σχετικά με το φύλο, την ηλικία και τον τόπο διαμονής, το ιστορικό αναζήτησης -
τη βάση για μια βιομηχανία διαδικτυακής διαφήμισης αξίας δισεκατομμυρίων δολαρίων και ευρώ. Δηλαδή, από νομική άποψη, τα προσωπικά δεδομένα είναι υλικά για επιχειρηματική δραστηριότητα. Αντίστοιχα, οι εταιρείες καταβάλλουν τεράστιες προσπάθειες και ξοδεύουν σημαντικά χρήματα για την απόκτηση και επεξεργασία προσωπικών δεδομένων. Έρευνες που πραγματοποιήθηκαν το 2018 δείχνουν ότι οι χρήστες, κατανοώντας την αξία των προσωπικών τους δεδομένων, είναι ολοένα και πιο δυσαρεστημένοι με τον τρόπο με τον οποίο οι εταιρείες χειρίζονται τα προσωπικά τους δεδομένα.
Ο κανονισμός στον τομέα της χρήσης δεδομένων χρήστη δεν έχει ακόμη διαμορφωθεί και υστερεί σε σχέση με την ανάπτυξη της τεχνολογίας όχι μόνο στη Ρωσία, αλλά σε ολόκληρο τον κόσμο, επομένως, η ισορροπία των συμφερόντων των καταναλωτών και των εταιρειών στο «χρήματα - υπηρεσίες - δεδομένα Το μοντέλο - χρήμα» χτίζεται σήμερα τόσο από Ρυθμιστικές Αρχές όσο και από σιωπηρές συμφωνίες μεταξύ κοινωνίας και εταιρειών. Οι ρυθμιστικές αρχές περιορίζουν τις δυνατότητες των εταιρειών πληροφορικής και επεκτείνουν τα δικαιώματα των χρηστών: εισάγοντας νέους νόμους που δίνουν στους χρήστες περισσότερο έλεγχο στις πληροφορίες που παρέχουν.
Είναι ενδιαφέρον να συγκρίνουμε τις προσεγγίσεις των ρυθμιστικών αρχών στις ευρωπαϊκές χώρες και τη Ρωσία. Στη Ρωσία, οι κύριοι κανονισμοί που διέπουν το χειρισμό προσωπικών δεδομένων είναι ο Ομοσπονδιακός Νόμος για την Προστασία των Προσωπικών Δεδομένων (152-FZ) συν ο Κώδικας Διοικητικών Αδικημάτων, ο οποίος καθορίζει άμεσα το συγκεκριμένο ποσό των προστίμων για παραβίαση της διαδικασίας χειρισμού προσωπικών δεδομένων . Τα διοικητικά πρόστιμα έχουν αυξηθεί σημαντικά από την 1η Ιουλίου 2017. Παράλληλα, θεσπίστηκαν νέα πρόστιμα ανάλογα με το είδος της παράβασης που διαπράχθηκε. Έτσι, οι υπάλληλοι μπορούν να τιμωρηθούν με πρόστιμο από 3000 έως 20 ρούβλια, σε μεμονωμένους επιχειρηματίες - από 000 έως 5000 ρούβλια, σε οργανισμούς - από 20 έως 000 ρούβλια. Επιπλέον, μπορούν να θεωρηθούν υπεύθυνοι για διάφορα αδικήματα. Κατά συνέπεια, μια εταιρεία μπορεί να υπόκειται σε πολλά διαφορετικά πρόστιμα για διαφορετικές παραβάσεις. Ωστόσο, η ευθύνη παρέχεται ειδικά για μη συμμόρφωση με επίσημες απαιτήσεις, για παράδειγμα, εάν λείπουν τα απαραίτητα έγγραφα. Αυτό δεν σχετίζεται πάντα άμεσα με την πραγματική προστασία πληροφοριών. Για παράδειγμα, μια διαρροή από μόνη της δεν αποτελεί λόγο για κυρώσεις εκτός εάν παραβιάζονται άλλοι νόμοι. Είναι ενδιαφέρον ότι ένας σημαντικός αριθμός διαπιστωμένων παραβιάσεων στον τομέα του χειρισμού προσωπικών δεδομένων περιέχει τα περιεχόμενα που προβλέπονται στο άρθρο 15 του Κώδικα Διοικητικών Αδικημάτων της Ρωσικής Ομοσπονδίας: «Αποτυχία υποβολής ή μη έγκαιρη υποβολή σε κρατικό φορέα (Roskomnadzor) - πληροφορίες (πληροφορίες), η υποβολή των οποίων προβλέπεται από το νόμο και είναι απαραίτητη για την υλοποίηση του οργάνου αυτού οι νόμιμες δραστηριότητές του...» Είναι ενδιαφέρον ότι πολύ μεγαλύτερη ευθύνη παρέχεται όχι για παραβίαση της διαδικασίας χειρισμού προσωπικών δεδομένων (όπως αναφέρεται παραπάνω, είναι κατά μέσο όρο 000-75 χιλιάδες ρούβλια), αλλά ειδικά για αδυναμία παροχής (καθυστέρηση, ελλιπής υποβολή) πληροφοριών σχετικά με Η διαδικασία χειρισμού προσωπικών δεδομένων στο Roskomnadzor υπόκειται σε πρόστιμο έως 000 ρούβλια. Εκείνοι. στη ρωσική νομοθεσία και στην πρακτική της εφαρμογής της, η τάση που επικρατεί είναι «το κύριο πράγμα είναι να ταιριάζει το κοστούμι» και να ικανοποιούνται οι ανάγκες του κράτους. αρχές σε διάφορες εκθέσεις. Τα πραγματικά δικαιώματα των χρηστών και η ασφάλεια των προσωπικών τους δεδομένων στο Διαδίκτυο προστατεύονται ελάχιστα. Το ίδιο ποσό προστίμων δεν συσχετίζεται με κανέναν τρόπο με το ποσό των οφελών που λαμβάνουν ορισμένες εταιρείες όταν παραβιάζουν τη διαχείριση προσωπικών δεδομένων στο Διαδίκτυο και δεν ενθαρρύνει τη συμμόρφωση με αυτούς τους κανόνες.
Στην ΕΕ η εικόνα είναι κάπως διαφορετική. Από τον Μάιο του 2018, στην Ευρώπη, η εργασία με προσωπικά δεδομένα ρυθμίζεται από τους κανόνες για την επεξεργασία δεδομένων προσωπικού χαρακτήρα που θεσπίζονται από τον Γενικό Κανονισμό για την Προστασία Δεδομένων (Κανονισμός ΕΕ 2016/679 με ημερομηνία 27 Απριλίου 2016 ή GDPR - Γενικός Κανονισμός Προστασίας Δεδομένων). Ο κανονισμός έχει άμεση ισχύ και στις 28 χώρες της ΕΕ. Ο κανονισμός παρέχει στους κατοίκους της ΕΕ πλήρη έλεγχο των προσωπικών τους δεδομένων. Σύμφωνα με τον GDPR, οι πολίτες και οι κάτοικοι της ΕΕ έχουν πολύ μεγάλα δικαιώματα ελέγχου των προσωπικών τους δεδομένων. Οι ευρωπαίοι χρήστες έχουν το δικαίωμα να ζητήσουν επιβεβαίωση του γεγονότος ότι τα δεδομένα τους υποβάλλονται σε επεξεργασία, ο τόπος και ο σκοπός της επεξεργασίας, οι κατηγορίες των προσωπικών δεδομένων που υποβάλλονται σε επεξεργασία, σε ποιους τρίτους κοινοποιούνται τα προσωπικά δεδομένα, η περίοδος κατά την οποία τα δεδομένα θα υποβληθεί σε επεξεργασία, καθώς και θα διευκρινίσει την πηγή λήψης των προσωπικών δεδομένων από τον οργανισμό και θα ζητήσει τη διόρθωσή τους. Επιπλέον, ο χρήστης έχει το δικαίωμα να απαιτήσει τη διακοπή της επεξεργασίας των δεδομένων του.
Από τον Μάιο του 2018, ευθύνη υπό μορφή προστίμων για παραβίαση των κανόνων για την επεξεργασία προσωπικών δεδομένων: σύμφωνα με τον GDPR, το πρόστιμο φτάνει τα 20 εκατομμύρια ευρώ (περίπου 1,5 δισεκατομμύρια ρούβλια) ή το 4% των ετήσιων παγκόσμιων εσόδων της εταιρείας.
Το πιο σημαντικό είναι ότι όλα αυτά λειτουργούν, οι εταιρείες που παραβιάζουν τα δικαιώματα των χρηστών θεωρούνται υπεύθυνες και πολύ σοβαρά. Για παράδειγμα, στις 21 Ιανουαρίου 2019, η γαλλική Εθνική Επιτροπή Πληροφορικής και Πολιτικών Δικαιωμάτων (CNIL) αποφάσισε να επιβάλει πρόστιμο 50 εκατομμυρίων ευρώ στην αμερικανική εταιρεία GOOGLE LLC για παραβίαση του GDPR. Το ποσό του προστίμου είναι πολύ μεγάλο. Αυτό δείχνει ξεκάθαρα τους κινδύνους μη συμμόρφωσης με τις απαιτήσεις του GDPR. Για τι τιμωρηθήκατε; Η Γαλλική Επιτροπή διαπίστωσε ότι κατά την αρχική διαμόρφωση μιας κινητής συσκευής με λειτουργικό σύστημα Android (Google), ο χρήστης δεν λαμβάνει πλήρεις πληροφορίες σχετικά με το τι κάνει η Google με τα προσωπικά του δεδομένα. Η εταιρεία δεν εκπλήρωσε τις υποχρεώσεις της για τη διασφάλιση της διαφάνειας στην επεξεργασία των προσωπικών δεδομένων και την ενημέρωση των υποκειμένων (άρθρα 12 και 13 GDPR). Οι περίοδοι αποθήκευσης δεδομένων χρήστη δεν ρυθμίζονται αυστηρά. Η εταιρεία δεν διέθετε την απαραίτητη νομική βάση για την επεξεργασία δεδομένων που πραγματοποιήθηκε (άρθρο 6 GDPR). Η Google κατηγορήθηκε επίσης ότι έλαβε ακατάλληλα τη συναίνεση των χρηστών για την επεξεργασία των δεδομένων τους για την εξατομίκευση της διαφήμισης.
Άλλα παραδείγματα: πρόστιμο από τη γερμανική ρυθμιστική αρχή LfDI στην εφαρμογή συνομιλίας για ραντεβού με Knuddels - 20.000 ευρώ· το πορτογαλικό νοσοκομείο Barreiro Hospital κατηγορήθηκε για ακατάλληλη διαχείριση της πρόσβασης σε κρίσιμα προσωπικά δεδομένα (πρόστιμο 300 χιλιάδων ευρώ) και παραβίαση της ασφάλειας και της ακεραιότητας του στοιχεία (άλλες 100 χιλιάδες ευρώ ). Οι αρχές του Ηνωμένου Βασιλείου εξέδωσαν προειδοποίηση σε μια καναδική εταιρεία που ασχολείται με την αναλυτική έρευνα. Η εταιρεία έλαβε εντολή να σταματήσει την επεξεργασία προσωπικών δεδομένων πολιτών, διαφορετικά αντιμετωπίζει πρόστιμο 20 εκατομμυρίων ευρώ. Η καναδική εταιρεία ψηφιακού μάρκετινγκ και ανάπτυξης λογισμικού AggregateIQ επιβλήθηκε πρόστιμο 17000000 λιρών. Πρόστιμο 5280 ευρώ επιβλήθηκε σε καφετέρια στην Αυστρία για παράνομη βιντεοπαρακολούθηση (η κάμερα κατέγραψε μέρος του πεζοδρομίου). Εκείνοι. οποιοσδήποτε οργανισμός υπόκειται στον GDPR δεν θα πρέπει να περιορίζεται, σύμφωνα με την εγχώρια παράδοση, μόνο στην ανάπτυξη ρυθμιστικής τεκμηρίωσης.
Παρεμπιπτόντως, η ιδιαιτερότητα του GDPR είναι ότι εφαρμόζεται σε όλες τις εταιρείες που επεξεργάζονται προσωπικά δεδομένα κατοίκων και πολιτών της ΕΕ, ανεξάρτητα από την τοποθεσία μιας τέτοιας εταιρείας, επομένως οι ρωσικές εταιρείες θα πρέπει να εξετάσουν προσεκτικά αυτόν τον κανονισμό εάν οι υπηρεσίες τους επικεντρώνονται σε την ευρωπαϊκή αγορά
Πηγή: www.habr.com