Isikuandmete kaitsmise lähenemisviiside ja praktikate võrdlus Venemaal ja ELis
Tegelikult toimub kasutaja Internetis tehtud mis tahes toiminguga kasutaja isikuandmetega manipuleerimine.
Me ei maksa paljude Internetis saadavate teenuste eest: teabe otsimise, e-kirjade eest, andmete pilves salvestamise, suhtlusvõrgustikes suhtlemise eest jne. Need teenused on aga ainult tingimuslikult tasuta: me maksame nende jaoks meie andmetega , mille need ettevõtted siis peamiselt reklaami kaudu rahaks muudavad.
Praegu on andmed soo, vanuse ja elukoha, otsinguajaloo kohta -
miljardeid dollareid ja eurosid väärt veebireklaamitööstuse alus. See tähendab, et juriidilisest seisukohast on isikuandmed äritegevuseks vajalikud materjalid. Sellest tulenevalt teevad ettevõtted isikuandmete hankimiseks ja töötlemiseks suuri jõupingutusi ja kulutavad märkimisväärselt raha. 2018. aastal läbi viidud küsitlused näitavad, et kasutajad, mõistes oma isikuandmete väärtust, on üha enam rahulolematud sellega, kuidas ettevõtted oma isikuandmeid kohtlevad.
Regulatsioon kasutajaandmete kasutamise segmendis ei ole veel kujunenud ja jääb tehnoloogia arengust maha mitte ainult Venemaal, vaid kogu maailmas, seetõttu on tarbijate ja ettevõtete huvide tasakaal "raha - teenus - andmetes" - raha” mudelit ehitavad täna üles nii regulaatorid kui ka vaikivad kokkulepped ühiskonna ja ettevõtete vahel. Regulaatorid piiravad IT-ettevõtete võimalusi ja laiendavad kasutajate õigusi: kehtestavad uued seadused, mis annavad kasutajatele suurema kontrolli nende edastatava teabe üle.
Huvitav on võrrelda Euroopa riikide ja Venemaa regulaatorite lähenemisi. Venemaal on isikuandmete käitlemist reguleerivad peamised eeskirjad föderaalne isikuandmete kaitse seadus (152-FZ) ja haldusõiguserikkumiste seadustik, mis määrab otseselt kindlaks trahvide konkreetne summa isikuandmete käitlemise korra rikkumise eest. . Alates 1. juulist 2017 on haldustrahvid oluliselt tõusnud. Samas kehtestati uued trahvid olenevalt toimepandud süüteo liigist. Seega võib ametnikke karistada rahatrahviga 3000 kuni 20 000 rubla, üksikettevõtjaid - 5000 kuni 20 000 rubla, organisatsioone - 15 000 kuni 75 000 rubla. Lisaks võidakse neid vastutusele võtta erinevate süütegude eest. Vastavalt sellele võidakse ühele ettevõttele erinevate rikkumiste eest määrata mitu erinevat trahvi. Aga vastutus on ette nähtud konkreetselt vorminõuete täitmata jätmise eest, näiteks kui puuduvad vajalikud paberid. See ei ole alati otseselt seotud tegeliku infokaitsega. Näiteks ei ole leke iseenesest põhjus karistusteks, kui just ei rikuta muid seadusi. Huvitaval kombel sisaldab märkimisväärne hulk isikuandmete käitlemise valdkonnas tuvastatud rikkumisi Vene Föderatsiooni haldusõiguserikkumiste seadustiku artiklis 19.7 sätestatud sisu: "Riigiasutusele (Roskomnadzor) teabe esitamata jätmine või mitteõigeaegne esitamine - teave (teave), mille esitamine on seadusega sätestatud ja on vajalik selle organi õigusliku tegevuse elluviimiseks...” Huvitav on see, et palju suurem vastutus ei ole ette nähtud mitte isikuandmete käitlemise korra rikkumise eest (nagu eespool märgitud, on see keskmiselt 30–50 tuhat rubla), vaid konkreetselt teabe esitamata jätmise (hilinemine, mittetäielik esitamine) eest. isikuandmete käitlemise korra eest Roskomnadzoris määratakse rahatrahv kuni 200.000 XNUMX rubla. Need. Venemaa seadusandluses ja selle kohaldamise praktikas on valdav trend “peaasi, et ülikond istub” ja riigi vajadused on rahuldatud. ametiasutused erinevates aruannetes. Kasutajate tegelikud õigused ja nende isikuandmete turvalisus Internetis on halvasti kaitstud. Sama suur trahvisumma ei ole kuidagi korrelatsioonis mõne ettevõtte poolt Internetis isikuandmete käitlemist rikkudes saadavate hüvedega ega soodusta nende reeglite täitmist.
ELis on pilt mõnevõrra erinev. Alates 2018. aasta maist reguleerivad Euroopas isikuandmetega tööd isikuandmete töötlemise reeglid, mis on kehtestatud isikuandmete kaitse üldmäärusega (EL määrus 2016/679 27. aprill 2016 või GDPR – isikuandmete kaitse üldmäärus). Määrusel on otsene mõju kõigis 28 ELi riigis. Määrus annab ELi elanikele täieliku kontrolli oma isikuandmete üle. GDPR-i kohaselt on ELi kodanikel ja elanikel väga laialdased õigused oma isikuandmete kontrollimiseks. Euroopa kasutajatel on õigus nõuda kinnitust nende andmete töötlemise fakti, töötlemise koha ja eesmärgi, töödeldavate isikuandmete kategooriate, kolmandatele isikutele isikuandmete avaldamise, perioodi, mille jooksul andmeid töödeldakse. töödeldakse, samuti selgitada isikuandmete allika organisatsioon ja nõuda nende parandamist. Lisaks on kasutajal õigus nõuda oma andmete töötlemise lõpetamist.
Alates 2018. aasta maist vastutus trahvidena isikuandmete töötlemise reeglite rikkumise eest: GDPR-i kohaselt ulatub trahv 20 miljoni euroni (umbes 1,5 miljardit rubla) ehk 4% ettevõtte aastasest globaalsest tulust.
Kõige tähtsam on, et see kõik toimiks, kasutajaõigusi rikkuvad ettevõtted võetakse vastutusele ja väga tõsiselt. Näiteks otsustas Prantsusmaa riiklik informaatika ja kodanikuõiguste komisjon (CNIL) 21. jaanuaril 2019 määrata Ameerika ettevõttele GOOGLE LLC 50 miljoni euro suuruse trahvi GDPR-i rikkumise eest. Trahvisumma on väga suur. See näitab selgelt GDPR-i nõuete mittejärgimise riske. Mille eest sind karistati? Prantsuse komisjon tegi kindlaks, et Androidi (Google) operatsioonisüsteemiga mobiilseadme esmase seadistamise ajal ei saa kasutaja täielikku teavet selle kohta, mida Google tema isikuandmetega teeb. Ettevõte ei täitnud oma kohustusi tagada isikuandmete töötlemise läbipaistvus ja teavitada subjekte (GDPR artiklid 12 ja 13). Kasutajaandmete säilitamise perioodid ei ole rangelt reguleeritud. Ettevõttel puudus teostatud andmetöötluseks vajalik õiguslik alus (GDPR artikkel 6). Google'it süüdistati ka selles, et ta sai reklaamide isikupärastamiseks nende andmete töötlemiseks valesti kasutaja nõusoleku.
Teised näited: Saksa regulaatori LfDI trahv vestlusrakendusele Knuddelsiga tutvumise eest - 20.000 300 eurot; Portugali haiglat Barreiro haiglat süüdistati kriitilistele isikuandmetele juurdepääsu ebaõiges haldamises (trahv 100 tuhat eurot) ning turvalisuse ja terviklikkuse rikkumises. andmed (veel 20 tuhat eurot ). Ühendkuningriigi võimud on andnud hoiatuse Kanada ettevõttele, mis tegeleb analüütiliste uuringutega. Ettevõte sai korralduse lõpetada kodanike isikuandmete töötlemine, vastasel juhul ähvardab teda 17000000 miljoni euro suurune trahv. Kanada digitaalse turunduse ja tarkvaraarenduse ettevõte AggregateIQ sai 5280 XNUMX XNUMX naela trahvi. Austrias sai kohvik ebaseadusliku videovalve eest (kaamera jäädvustas osa kõnniteest) XNUMX euro suuruse trahvi. Need. ükski organisatsioon, mille suhtes GDPR kehtib, ei tohiks kodumaise traditsiooni kohaselt piirduda ainult regulatiivse dokumentatsiooni väljatöötamisega.
Muide, GDPR-i eripära on see, et see kehtib kõikidele ettevõtetele, kes töötlevad ELi elanike ja kodanike isikuandmeid, olenemata sellise ettevõtte asukohast, seega peaksid Venemaa ettevõtted seda määrust hoolikalt kaaluma, kui nende teenused on keskendunud Euroopa turule
Allikas: www.habr.com