Henkilötietojen suojaamista koskevien lähestymistapojen ja käytäntöjen vertailu Venäjällä ja EU:ssa
Itse asiassa kaikki käyttäjän Internetissä suorittamat toimet aiheuttavat jonkinlaista käyttäjän henkilötietojen manipulointia.
Emme maksa monista Internetissä saamistamme palveluista: tiedon etsimisestä, sähköpostista, tietojemme tallentamisesta pilveen, viestinnästä sosiaalisissa verkostoissa jne. Nämä palvelut ovat kuitenkin vain ehdollisesti ilmaisia: me maksamme heille tietomme , jonka nämä yritykset sitten muuttavat rahaksi pääasiassa mainonnan kautta.
Tällä hetkellä tiedot sukupuolesta, iästä ja asuinpaikasta, hakuhistoriasta -
perusta miljardeja dollareita ja euroja arvokkaalle verkkomainontateollisuudelle. Toisin sanoen oikeudelliselta kannalta henkilötiedot ovat liiketoimintaa varten tarvittavaa materiaalia. Tästä syystä yritykset tekevät valtavia ponnisteluja ja käyttävät paljon rahaa henkilötietojen hankkimiseen ja käsittelyyn. Vuonna 2018 tehdyt tutkimukset osoittavat, että käyttäjät, jotka ymmärtävät henkilötietojensa arvon, ovat yhä tyytymättömiä siihen, miten yritykset käsittelevät henkilötietojaan.
Sääntely käyttäjätietojen käytön segmentillä ei ole vielä muotoutunut ja on jäljessä teknologian kehityksestä paitsi Venäjällä, myös kaikkialla maailmassa, joten kuluttajien ja yritysten etujen tasapaino "raha - palvelu - datassa" - rahaa” -mallia rakennetaan nykyään sekä sääntelijöiden että yhteiskunnan ja yritysten välisillä hiljaisilla sopimuksilla. Sääntelyviranomaiset rajoittavat IT-yritysten valmiuksia ja laajentavat käyttäjien oikeuksia: ottavat käyttöön uusia lakeja, jotka antavat käyttäjille enemmän hallintaa antamiinsa tietoihin.
On mielenkiintoista verrata Euroopan maiden ja Venäjän sääntelyviranomaisten lähestymistapoja. Venäjällä tärkeimmät henkilötietojen käsittelyä koskevat määräykset ovat liittovaltion laki henkilötietojen suojasta (152-FZ) sekä hallintorikoslaki, jossa määritellään suoraan henkilötietojen käsittelymenettelyn rikkomisesta määrättävien sakkojen määrä. . Hallinnolliset sakot ovat nousseet merkittävästi 1 lähtien. Samalla määrättiin uusia sakkoja tehdyn rikoksen tyypin mukaan. Siten virkamiehille voidaan määrätä sakkoja 2017 3000 - 20 000 ruplaa, yksittäisiä yrittäjiä - 5000 20 - 000 15 ruplaa, organisaatioita - 000 75 - 000 19.7 ruplaa. Lisäksi heidät voidaan saattaa vastuuseen erilaisista rikoksista. Näin ollen yhdelle yritykselle voidaan määrätä useita eri sakkoja eri rikkomuksista. Mutta vastuu on nimenomaan muotovaatimusten noudattamatta jättämisestä, esimerkiksi jos tarvittavat paperit puuttuvat. Tämä ei aina liity suoraan todelliseen tietoturvaan. Esimerkiksi vuoto itsessään ei ole peruste seuraamuksiin, ellei muita lakeja rikota. Mielenkiintoista on, että huomattava määrä henkilötietojen käsittelyn alalla tunnistetuista rikkomuksista sisältää Venäjän federaation hallintorikoslain 30 artiklassa säädetyn sisällön: "Tiedon toimittamatta jättäminen tai ennenaikainen toimittaminen valtion elimelle (Roskomnadzor) - tiedot (tiedot), joiden toimittamisesta säädetään laissa ja jotka ovat tarpeellisia tämän elimen oikeudellisen toiminnan toteuttamiseksi..." On mielenkiintoista, että paljon suurempaa vastuuta ei säädetä henkilötietojen käsittelymenettelyn rikkomisesta (kuten edellä mainittiin, tämä on keskimäärin 50-200.000 tuhatta ruplaa), vaan erityisesti tietojen toimittamatta jättämisestä (viivästyminen, puutteellinen toimittaminen) Henkilötietojen käsittelymenettelystä Roskomnadzorissa määrätään sakko enintään XNUMX XNUMX ruplaa. Nuo. Venäjän lainsäädännössä ja sen soveltamiskäytännössä vallitsee trendi "pääasia, että puku istuu" ja valtion tarpeet tyydytetään. viranomaisille eri raporteissa. Käyttäjien todelliset oikeudet ja heidän henkilötietojensa turvallisuus Internetissä ovat huonosti suojattuja. Sama sakkojen määrä ei korreloi millään tavalla joidenkin yritysten saamien etujen kanssa, kun ne rikkovat henkilötietojen käsittelyä Internetissä, eikä kannusta noudattamaan näitä sääntöjä.
EU:ssa tilanne on hieman erilainen. Toukokuusta 2018 lähtien Euroopassa henkilötietojen käsittelyä säätelevät yleisen tietosuoja-asetuksen mukaiset henkilötietojen käsittelyä koskevat säännöt (EU:n asetus 2016/679 päivätty 27. huhtikuuta 2016 tai GDPR - yleinen tietosuoja-asetus). Asetuksella on välitön oikeusvaikutus kaikissa 28 EU-maassa. Asetus antaa EU:n asukkaille täyden hallinnan henkilötietoihinsa. GDPR:n mukaan EU:n kansalaisilla ja asukkailla on erittäin laajat oikeudet hallita henkilötietojaan. Eurooppalaisilla käyttäjillä on oikeus pyytää vahvistusta siitä, että heidän tietojaan käsitellään, käsittelyn paikasta ja tarkoituksesta, käsiteltävien henkilötietojen luokat, joille kolmansille osapuolille henkilötietoja luovutetaan, ajanjakso, jonka aikana tietoja käsitellään käsitellään, sekä selvitä lähde, josta organisaatio on vastaanottanut henkilötiedot ja pyytää niiden oikaisua. Lisäksi käyttäjällä on oikeus vaatia tietojensa käsittelyn lopettamista.
Toukokuusta 2018 alkaen vastuu henkilötietojen käsittelyä koskevien sääntöjen rikkomisesta sakkojen muodossa: GDPR:n mukaan sakko on 20 miljoonaa euroa (noin 1,5 miljardia ruplaa) tai 4 prosenttia yhtiön vuosittaisesta maailmanlaajuisesta liikevaihdosta.
Tärkeintä on, että tämä kaikki toimii, käyttäjäoikeuksia rikkovat yritykset joutuvat vastuuseen ja erittäin vakavasti. Esimerkiksi Ranskan kansallinen tietotekniikka- ja kansalaisoikeuskomissio (CNIL) päätti 21. tammikuuta 2019 sakottaa amerikkalaista yritystä GOOGLE LLC:tä 50 miljoonalla eurolla GDPR:n rikkomisesta. Sakon määrä on erittäin suuri. Tämä osoittaa selvästi riskit GDPR-vaatimusten noudattamatta jättämisestä. Mistä sinua rangaistiin? Ranskan komissio totesi, että Android (Google) -käyttöjärjestelmää käyttävän mobiililaitteen alustavan konfiguroinnin aikana käyttäjä ei saa täydellistä tietoa siitä, mitä Google tekee hänen henkilötiedoillaan. Yritys ei täyttänyt velvollisuuttaan varmistaa henkilötietojen käsittelyn avoimuus ja tiedottaa kohteille (GDPR artiklat 12 ja 13). Käyttäjätietojen säilytysaikoja ei ole tiukasti säännelty. Yrityksellä ei ollut tarvittavaa oikeusperustaa suoritetulle tietojenkäsittelylle (GDPR 6 artikla). Googlea syytettiin myös siitä, että se oli hankkinut väärin käyttäjän suostumuksen tietojensa käsittelyyn mainonnan personoimiseksi.
Muita esimerkkejä: Saksan sääntelyviranomaisen LfDI:n sakko chat-sovellukselle Knuddelsin tapailusta - 20.000 300 euroa; portugalilaista sairaalaa Barreiro Hospitalia syytettiin kriittisten henkilötietojen käsittelyn virheellisestä hallinnasta (100 tuhannen euron sakko) sekä turvallisuuden ja eheyden loukkaamisesta. tiedot (toiset 20 tuhatta euroa). Ison-Britannian viranomaiset ovat antaneet varoituksen kanadalaiselle yritykselle, joka harjoittaa analyyttistä tutkimusta. Yritys määrättiin lopettamaan kansalaisten henkilötietojen käsittely, muuten sitä uhkaa 17000000 miljoonan euron sakko. Kanadalainen digitaalinen markkinointi- ja ohjelmistokehitysyhtiö AggregateIQ sai 5280 XNUMX XNUMX punnan sakon. Kahvila Itävallassa sai XNUMX XNUMX euron sakon laittomasta videovalvonnasta (kamera tallensi osan jalkakäytävästä). Nuo. minkään GDPR:n alaisen organisaation ei tulisi kotimaisen perinteen mukaan rajoittua vain säädösdokumentaation kehittämiseen.
GDPR:n erikoisuus on muuten, että se koskee kaikkia EU:n asukkaiden ja kansalaisten henkilötietoja käsitteleviä yrityksiä, riippumatta tällaisen yrityksen sijainnista, joten venäläisten yritysten tulee harkita tätä asetusta huolellisesti, jos niiden palvelut keskittyvät Euroopan markkinoida
Lähde: will.com