A személyes adatok védelmére vonatkozó megközelítések és gyakorlatok összehasonlítása Oroszországban és az EU-ban
Valójában a felhasználó által az interneten végrehajtott bármely művelet során előfordul, hogy a felhasználó személyes adatait valamilyen módon manipulálják.
Nem fizetünk sok szolgáltatásért, amit az interneten kapunk: információkeresésért, e-mailért, adataink felhőben való tárolásáért, közösségi oldalakon való kommunikációért stb. Ezek a szolgáltatások azonban csak feltételesen ingyenesek: fizetünk számukra a mi adatainkkal , amelyeket ezek a cégek aztán pénzzé változtatnak, főleg reklámozással.
Jelenleg a nemre, életkorra és lakóhelyre vonatkozó adatok, keresési előzmények -
dollár- és eurómilliárdokat érő online reklámipar alapja. Vagyis jogi szempontból a személyes adatok üzleti tevékenységhez szükséges anyagok. Ennek megfelelően a vállalatok hatalmas erőfeszítéseket tesznek és jelentős pénzt költenek a személyes adatok megszerzésére és feldolgozására. A 2018-ban végzett felmérések azt mutatják, hogy a felhasználók, megértve személyes adataik értékét, egyre elégedetlenebbek azzal, ahogyan a vállalatok kezelik személyes adataikat.
A felhasználói adatok felhasználásának szegmensében a szabályozás még nem alakult ki, és nem csak Oroszországban, hanem az egész világon elmarad a technológia fejlődésétől, ezért a fogyasztók és a vállalatok érdekei egyensúlyban vannak a „pénz - szolgáltatás - adatok terén - pénz” modellt építenek ma mind a szabályozók, mind a társadalom és a vállalatok közötti hallgatólagos megállapodások. A szabályozó hatóságok korlátozzák az IT-cégek lehetőségeit, és kiterjesztik a felhasználók jogait: új törvényeket vezetnek be, amelyek révén a felhasználók nagyobb kontrollt biztosítanak az általuk szolgáltatott információk felett.
Érdekes összehasonlítani az európai országok és Oroszország szabályozóinak megközelítését. Oroszországban a személyes adatok kezelését szabályozó fő szabályozás a személyes adatok védelméről szóló szövetségi törvény (152-FZ), valamint a közigazgatási szabálysértési törvénykönyv, amely közvetlenül meghatározza a személyes adatok kezelésére vonatkozó eljárás megsértése esetén kiszabható pénzbírságok konkrét összegét. . 1. július 2017-je óta jelentősen emelkedtek a közigazgatási bírságok. Ezzel egyidejűleg az elkövetett szabálysértés típusától függően új bírságokat állapítottak meg. Így a tisztviselők 3000-20 000 rubel, az egyéni vállalkozók - 5000-20 000 rubel, a szervezetek - 15-000 75 rubel pénzbírsággal sújthatók. Sőt, különféle bűncselekményekért is felelősségre vonhatók. Ennek megfelelően egy cégre különböző jogsértésekért több különböző bírságot is kiszabhatnak. De a felelősség kifejezetten a formai követelmények be nem tartása esetén jár, például, ha hiányoznak a szükséges papírok. Ez nem mindig kapcsolódik közvetlenül a valódi információvédelemhez. Például a szivárgás önmagában nem ad okot szankciókra, kivéve, ha más törvényeket sértenek meg. Érdekes módon a személyes adatok kezelése terén azonosított jogsértések jelentős része az Orosz Föderáció közigazgatási szabálysértési kódexének 000. cikkében előírt tartalmat tartalmazza: „Az állami szervnek (Roskomnadzor) való benyújtás elmulasztása vagy idő előtti benyújtása - információ (információ), amelynek benyújtásáról jogszabály rendelkezik, és e szerv jogi tevékenységének végrehajtásához szükséges...” Érdekes, hogy nem a személyes adatok kezelési eljárásának megsértéséért (mint fentebb jeleztük, ez átlagosan 19.7-30 ezer rubel) sokkal nagyobb felelősség vonatkozik, hanem kifejezetten az adatszolgáltatás elmulasztása (késés, hiányos benyújtás) esetén. A személyes adatok kezelésére vonatkozó eljárás a Roskomnadzorban 50 200.000 rubelig terjedő pénzbírsággal sújtható. Azok. az orosz jogszabályokban és alkalmazási gyakorlatában az uralkodó tendencia, hogy „a fő, hogy az öltöny passzoljon”, és az állam igényei kielégítve legyenek. hatóságok különböző jelentésekben. A felhasználók valós jogai és személyes adataik biztonsága az interneten gyengén védett. Az azonos összegű bírság semmiféle összefüggésben nem áll összefüggésben azzal, hogy egyes cégek mekkora juttatást kapnak a személyes adatok internetes kezelésének megsértése miatt, és nem ösztönöz e szabályok betartására.
Az EU-ban némileg más a kép. 2018 májusa óta Európában a személyes adatokkal való munkavégzést az Általános Adatvédelmi Rendeletben meghatározott, a személyes adatok kezelésére vonatkozó szabályok szabályozzák (EU 2016/679 rendelet 27. április 2016-i keltezésű vagy GDPR – Általános adatvédelmi rendelet). A rendelet mind a 28 EU-országban közvetlen hatályú. A rendelet teljes körű ellenőrzést biztosít személyes adataik felett az uniós lakosoknak. A GDPR értelmében az uniós polgároknak és lakosoknak nagyon széles joguk van személyes adataik ellenőrzésére. Az európai felhasználóknak jogukban áll megerősítést kérni az adataik kezelésének tényéről, az adatkezelés helyéről és céljáról, a kezelt személyes adatok kategóriáiról, arról, hogy a személyes adatokat mely harmadik féllel adják ki, az adatkezelés időtartamát feldolgozásra kerül, valamint tisztázza a személyes adatok szervezet általi kézhezvételének forrását, és kérje azok helyesbítését. Ezen túlmenően a felhasználónak jogában áll kérni adatai kezelésének leállítását.
2018 májusa óta a személyes adatok feldolgozására vonatkozó szabályok megsértése miatti pénzbírságok formájában kiszabott felelősség: a GDPR szerint a bírság eléri a 20 millió eurót (körülbelül 1,5 milliárd rubelt), vagyis a vállalat éves globális bevételének 4%-át.
A legfontosabb, hogy mindez működjön, a felhasználói jogokat megsértő cégeket felelősségre vonják és nagyon komolyan. Például 21. január 2019-én a Francia Informatikai és Polgári Jogok Nemzeti Bizottsága (CNIL) úgy döntött, hogy 50 millió eurós bírságot szab ki a GOOGLE LLC amerikai cégre a GDPR megsértése miatt. A bírság összege igen nagy. Ez egyértelműen mutatja a GDPR-követelmények be nem tartása kockázatait. Minek büntettek? A Francia Bizottság megállapította, hogy az Android (Google) operációs rendszert futtató mobileszköz kezdeti konfigurálása során a felhasználó nem kap teljes körű tájékoztatást arról, hogy a Google mit csinál személyes adataival. A társaság nem tett eleget a személyes adatok feldolgozásának átláthatóságára és az alanyok tájékoztatására vonatkozó kötelezettségeinek (GDPR 12. és 13. cikk). A felhasználói adatok tárolási időtartama nincs szigorúan szabályozva. A cég nem rendelkezett az elvégzett adatkezeléshez szükséges jogalappal (GDPR 6. cikk). A Google-t azzal is vádolták, hogy helytelenül szerezte meg a felhasználók hozzájárulását adataik feldolgozásához a hirdetések személyre szabása érdekében.
További példák: a német LfDI szabályozó hatóságtól a Knuddels társkereső csevegőalkalmazásra kiszabott bírság – 20.000 300 euró, a portugál Barreiro Kórházat a kritikus személyes adatokhoz való hozzáférés helytelen kezelésével vádolták (100 ezer eurós bírság), valamint megsértette a személyes adatok biztonságát és integritását. adatok (további 20 ezer euró ). A brit hatóságok figyelmeztetést adtak ki egy elemző kutatással foglalkozó kanadai cégnek. A céget arra kötelezték, hogy hagyja abba az állampolgárok személyes adatainak feldolgozását, ellenkező esetben 17000000 millió eurós bírságra számíthat. A kanadai digitális marketing- és szoftverfejlesztő céget, az AggregateIQ-t 5280 XNUMX XNUMX fontra büntették. XNUMX eurós pénzbírságot szabtak ki egy ausztriai kávézóra illegális videokamerás megfigyelés miatt (a kamera rögzítette a járda egy részét). Azok. egyetlen GDPR hatálya alá tartozó szervezet sem korlátozódhat a hazai hagyományok szerint csak a szabályozó dokumentáció kidolgozására.
A GDPR sajátossága egyébként, hogy minden olyan vállalatra vonatkozik, amely az EU lakosainak és állampolgárainak személyes adatait kezeli, függetlenül az ilyen társaságok székhelyétől, ezért az orosz vállalatoknak alaposan meg kell fontolniuk ezt a rendeletet, ha szolgáltatásaik a az európai piac
Forrás: will.com