Usporedba pristupa i praksi zaštite osobnih podataka u Rusiji i EU
Naime, svakom radnjom korisnika na internetu dolazi do nekog oblika manipulacije osobnim podacima korisnika.
Mnoge usluge koje primamo na internetu ne plaćamo: traženje informacija, e-poštu, pohranjivanje podataka u oblaku, komunikaciju na društvenim mrežama itd. Međutim, te su usluge samo uvjetno besplatne: plaćamo za njih s našim podacima, koje te tvrtke zatim pretvaraju u novac, uglavnom putem oglašavanja.
Trenutno podaci o spolu, dobi i mjestu stanovanja, povijest pretraživanja -
osnova za internetsku industriju oglašavanja vrijednu milijarde dolara i eura. Odnosno, s pravnog stajališta osobni podaci su materijali za poslovanje. Sukladno tome, tvrtke ulažu ogromne napore i troše znatan novac za dobivanje i obradu osobnih podataka. Istraživanja provedena 2018. pokazuju da su korisnici, shvaćajući vrijednost svojih osobnih podataka, sve nezadovoljniji načinom na koji tvrtke postupaju s njihovim osobnim podacima.
Regulativa u segmentu korištenja korisničkih podataka još nije uobličena i zaostaje za razvojem tehnologije ne samo u Rusiji, već iu cijelom svijetu, stoga je ravnoteža interesa potrošača i tvrtki u "novac - usluga - podaci - novac” danas grade regulatori i prešutni sporazumi između društva i tvrtki. Regulatori ograničavaju mogućnosti IT tvrtki i proširuju prava korisnika: uvode nove zakone koji korisnicima daju više kontrole nad informacijama koje daju.
Zanimljivo je usporediti pristupe regulatora u europskim zemljama i Rusiji. U Rusiji su glavni propisi koji uređuju postupanje s osobnim podacima Savezni zakon o zaštiti osobnih podataka (152-FZ) i Zakon o upravnim prekršajima, koji izravno utvrđuje konkretan iznos novčanih kazni za kršenje postupka postupanja s osobnim podacima . Administrativne novčane kazne značajno su porasle od 1. srpnja 2017. Ujedno su utvrđene nove novčane kazne ovisno o vrsti počinjenog prekršaja. Tako službenici mogu biti kažnjeni novčanom kaznom u iznosu od 3000 do 20 rubalja, pojedinačni poduzetnici - u iznosu od 000 do 5000 rubalja, organizacije - u iznosu od 20 do 000 rubalja. Štoviše, mogu odgovarati za razne prijestupe. Sukladno tome, jedna tvrtka može biti podvrgnuta nekoliko različitih kazni za različite prekršaje. Ali odgovornost je predviđena posebno za nepoštivanje formalnih zahtjeva, na primjer, ako nedostaju potrebni papiri. To nije uvijek izravno povezano sa stvarnom zaštitom informacija. Na primjer, curenje samo po sebi nije osnova za kazne osim ako se ne prekrše drugi zakoni. Zanimljivo je da značajan broj utvrđenih prekršaja u području postupanja s osobnim podacima ima sadržaj predviđen člankom 15 Zakonika o upravnim prekršajima Ruske Federacije: „Nedostavljanje ili nepravodobno podnošenje državnom tijelu (Roskomnadzor) - informacija (podaci), čije je dostavljanje propisano zakonom i potrebno je za provođenje zakonskih poslova ovog tijela...” Zanimljivo je da je mnogo veća odgovornost predviđena ne za kršenje postupka obrade osobnih podataka (kao što je gore navedeno, to je u prosjeku 000-75 tisuća rubalja), već posebno za nepružanje (kašnjenje, nepotpuno podnošenje) informacija o postupak za rukovanje osobnim podacima u Roskomnadzoru podliježe novčanoj kazni do 000 rubalja. Oni. u ruskom zakonodavstvu i praksi njegove primjene prevladava trend "glavno je da odijelo stoji" i da su potrebe države zadovoljene. vlasti u raznim izvješćima. Stvarna prava korisnika i sigurnost njihovih osobnih podataka na internetu slabo su zaštićeni. Isti iznos kazni ni na koji način nije u korelaciji s iznosom koristi koju pojedine tvrtke ostvaruju kada prekrše postupanje s osobnim podacima na internetu i ne potiče poštivanje ovih pravila.
U EU je slika nešto drugačija. Od svibnja 2018. u Europi je rad s osobnim podacima reguliran pravilima za obradu osobnih podataka utvrđenih Općom uredbom o zaštiti podataka (Uredba EU 2016/679 od 27. travnja 2016. ili GDPR - Opća uredba o zaštiti podataka). Uredba ima izravan učinak u svih 28 zemalja EU. Uredba daje stanovnicima EU potpunu kontrolu nad njihovim osobnim podacima. Prema GDPR-u, građani i rezidenti EU-a imaju vrlo široka prava kontrole svojih osobnih podataka. Europski korisnici imaju pravo zatražiti potvrdu o tome da se njihovi podaci obrađuju, mjestu i svrsi obrade, kategorijama osobnih podataka koji se obrađuju, kojim trećim stranama se osobni podaci otkrivaju, razdoblju u kojem se podaci obrađuju. će se obrađivati, kao i razjasniti izvor organizacije primitka osobnih podataka i zatražiti njihov ispravak. Štoviše, korisnik ima pravo zahtijevati prestanak obrade njegovih podataka.
Od svibnja 2018., odgovornost u obliku kazni za kršenje pravila za obradu osobnih podataka: prema GDPR-u, kazna doseže 20 milijuna eura (oko 1,5 milijardi rubalja) ili 4% godišnjeg globalnog prihoda tvrtke.
Najvažnije je da sve ovo funkcionira, tvrtke koje krše prava korisnika odgovaraju i to vrlo ozbiljno. Primjerice, 21. siječnja 2019. francusko Nacionalno povjerenstvo za informatiku i građanska prava (CNIL) odlučilo je kazniti američku tvrtku GOOGLE LLC s 50 milijuna eura zbog kršenja GDPR-a. Iznos kazne je vrlo velik. Ovo jasno pokazuje rizike neusklađenosti sa zahtjevima GDPR-a. Za što ste kažnjeni? Francuska komisija utvrdila je da tijekom početne konfiguracije mobilnog uređaja s operativnim sustavom Android (Google) korisnik ne dobiva punu informaciju o tome što Google radi s njegovim osobnim podacima. Tvrtka nije ispunila svoje obveze osiguravanja transparentnosti u obradi osobnih podataka i informiranja subjekata (čl. 12. i 13. GDPR-a). Razdoblja pohrane korisničkih podataka nisu strogo regulirana. Tvrtka nije imala potrebnu pravnu osnovu za izvršenu obradu podataka (čl. 6. GDPR-a). Google je također optužen za nepropisno dobivanje pristanka korisnika za obradu njihovih podataka radi personalizacije oglašavanja.
Drugi primjeri: kazna njemačkog regulatora LfDI aplikaciji za chat Knuddels - 20.000 eura, portugalska bolnica Barreiro Hospital optužena je za nepropisno upravljanje pristupom kritičnim osobnim podacima (kazna od 300 tisuća eura) i narušavanje sigurnosti i integriteta podataka (još 100 tisuća eura). Britanske vlasti izdale su upozorenje kanadskoj tvrtki koja se bavi analitičkim istraživanjem. Tvrtki je naloženo da prestane obrađivati osobne podatke građana, u protivnom prijeti joj kazna od 20 milijuna eura. Kanadska tvrtka za digitalni marketing i razvoj softvera AggregateIQ kažnjena je sa 17000000 funti. Kafić u Austriji kažnjen je s 5280 eura zbog nezakonitog videonadzora (kamera je snimila dio pločnika). Oni. svaka organizacija koja podliježe GDPR-u ne bi trebala biti ograničena, prema domaćoj tradiciji, samo na izradu regulatorne dokumentacije.
Inače, posebnost GDPR-a je u tome što se odnosi na sve tvrtke koje obrađuju osobne podatke rezidenata i građana EU-a, bez obzira na lokaciju takve tvrtke, pa bi ruske tvrtke trebale pažljivo razmotriti ovu Uredbu ako su njihove usluge usmjerene na europske tržište
Izvor: www.habr.com