Ռուսաստանում և ԵՄ-ում անձնական տվյալների պաշտպանության մոտեցումների և պրակտիկայի համեմատություն
Փաստորեն, ինտերնետում օգտատիրոջ կատարած ցանկացած գործողության դեպքում տեղի է ունենում օգտատիրոջ անձնական տվյալների ինչ-որ մանիպուլյացիա:
Մենք չենք վճարում ինտերնետում ստացած ծառայությունների համար՝ տեղեկատվություն փնտրելու, էլ.փոստի, ամպի մեջ մեր տվյալները պահելու, սոցիալական ցանցերում հաղորդակցվելու համար և այլն: Այնուամենայնիվ, այս ծառայությունները պայմանականորեն անվճար են. մենք վճարում ենք։ նրանց համար մեր տվյալներով, որոնք այդ ընկերությունները այնուհետև վերածում են փողի, հիմնականում գովազդի միջոցով։
Ներկայումս տվյալներ սեռի, տարիքի և բնակության վայրի, որոնման պատմության վերաբերյալ.
միլիարդավոր դոլարների և եվրոյի արժողությամբ առցանց գովազդի արդյունաբերության հիմքը: Այսինքն՝ իրավական տեսանկյունից անձնական տվյալները բիզնեսով զբաղվելու նյութեր են։ Համապատասխանաբար, ընկերությունները հսկայական ջանքեր են գործադրում և զգալի գումարներ են ծախսում անձնական տվյալների ձեռքբերման և մշակման համար: 2018 թվականին անցկացված հարցումները ցույց են տվել, որ օգտատերերը, հասկանալով իրենց անձնական տվյալների արժեքը, գնալով ավելի են դժգոհում, թե ինչպես են ընկերությունները վերաբերվում իրենց անձնական տվյալներին։
Օգտատիրոջ տվյալների օգտագործման հատվածի կանոնակարգումը դեռևս չի ձևավորվել և հետ է մնում տեխնոլոգիաների զարգացումից ոչ միայն Ռուսաստանում, այլև ամբողջ աշխարհում, հետևաբար սպառողների և ընկերությունների շահերի հավասարակշռությունը «փող-ծառայություն-տվյալներ»-ում: - փող» մոդելն այսօր կառուցվում է ինչպես կարգավորող մարմինների, այնպես էլ հասարակության և ընկերությունների միջև լուռ համաձայնագրերով։ Կարգավորողները սահմանափակում են ՏՏ ընկերությունների հնարավորությունները և ընդլայնում օգտատերերի իրավունքները՝ ներմուծելով նոր օրենքներ, որոնք օգտատերերին ավելի մեծ վերահսկողություն են տալիս իրենց տրամադրած տեղեկատվության նկատմամբ:
Հետաքրքիր է համեմատել եվրոպական երկրների և Ռուսաստանի կարգավորիչների մոտեցումները։ Ռուսաստանում անձնական տվյալների մշակումը կարգավորող հիմնական կանոնակարգերն են Անձնական տվյալների պաշտպանության մասին դաշնային օրենքը (152-FZ) գումարած Վարչական իրավախախտումների մասին օրենսգիրքը, որն ուղղակիորեն սահմանում է տուգանքների հատուկ չափը անձնական տվյալների մշակման կարգը խախտելու համար: . 1 թվականի հուլիսի 2017-ից վարչական տուգանքները զգալիորեն աճել են. Միաժամանակ սահմանվել են նոր տուգանքներ՝ կախված կատարված իրավախախտման տեսակից։ Այսպիսով, պաշտոնատար անձինք կարող են տուգանվել 3000-ից 20 ռուբլու չափով, անհատ ձեռնարկատերերը՝ 000-ից 5000 ռուբլի, կազմակերպությունները՝ 20-ից 000 ռուբլու չափով։ Ավելին, նրանք կարող են պատասխանատվության ենթարկվել տարբեր իրավախախտումների համար։ Ըստ այդմ՝ տարբեր խախտումների համար մեկ ընկերություն կարող է ենթարկվել մի քանի տարբեր տուգանքների: Բայց պատասխանատվությունը նախատեսված է հատուկ ֆորմալ պահանջներին չհամապատասխանելու համար, օրինակ, եթե անհրաժեշտ փաստաթղթերը բացակայում են: Սա միշտ չէ, որ ուղղակիորեն կապված է իրական տեղեկատվության պաշտպանության հետ: Օրինակ, արտահոսքն ինքնին տույժերի հիմք չէ, եթե այլ օրենքներ չեն խախտվել։ Հետաքրքիր է, որ անձնական տվյալների մշակման ոլորտում հայտնաբերված խախտումների զգալի մասը պարունակում է Ռուսաստանի Դաշնության Վարչական իրավախախտումների վերաբերյալ օրենսգրքի 15-րդ հոդվածով նախատեսված բովանդակությունը. «Պետական մարմնին (Ռոսկոմնադզոր) չներկայացնելը կամ ժամանակին չներկայացնելը. (տեղեկություններ), որոնց ներկայացումը նախատեսված է օրենքով և անհրաժեշտ է սույն մարմնին իր օրինական գործունեության իրականացման համար...»։ Հետաքրքիր է, որ շատ ավելի մեծ պատասխանատվություն է դրվում ոչ թե անձնական տվյալների հետ աշխատելու կարգի խախտման համար (ինչպես նշվեց վերևում, դա միջինը 000-75 հազար ռուբլի է), այլ մասնավորապես՝ տվյալ տեղեկատվությունը չտրամադրելու (ուշացում, թերի ներկայացում) համար։ Ռոսկոմնադզորում անձնական տվյալների հետ աշխատելու կարգը ենթակա է տուգանքի մինչև 000 ռուբլի: Նրանք. Ռուսաստանի օրենսդրության մեջ և դրա կիրառման պրակտիկայում գերակշռող միտումն է «գլխավորն այն է, որ կոստյումը տեղավորվի», և պետության կարիքները բավարարվեն։ իշխանությունները տարբեր զեկույցներում: Օգտատերերի իրական իրավունքները և նրանց անձնական տվյալների անվտանգությունը համացանցում վատ են պաշտպանված: Տուգանքների նույն չափը որևէ կերպ չի փոխկապակցվում որոշ ընկերությունների կողմից ստացված օգուտների չափի հետ, երբ նրանք խախտում են ինտերնետում անձնական տվյալների մշակումը և չի խրախուսում այդ կանոնների պահպանումը:
ԵՄ-ում պատկերը փոքր-ինչ այլ է։ 2018 թվականի մայիսից Եվրոպայում անձնական տվյալների հետ աշխատանքը կարգավորվում է Տվյալների պաշտպանության ընդհանուր կանոնակարգով սահմանված անձնական տվյալների մշակման կանոններով (ԵՄ կանոնակարգ 2016/679 ապրիլի 27, 2016 կամ GDPR՝ Տվյալների պաշտպանության ընդհանուր կանոնակարգ): Կարգավորումն ուղղակիորեն գործում է ԵՄ բոլոր 28 երկրներում։ Կանոնակարգը ԵՄ բնակիչներին տալիս է լիարժեք վերահսկողություն իրենց անձնական տվյալների նկատմամբ: GDPR-ի համաձայն՝ ԵՄ քաղաքացիները և բնակիչները ունեն շատ լայն իրավունքներ՝ վերահսկելու իրենց անձնական տվյալները: Եվրոպացի օգտատերերն իրավունք ունեն պահանջել հաստատում, որ իրենց տվյալները մշակվում են, մշակման վայրն ու նպատակը, մշակվող անձնական տվյալների կատեգորիաները, երրորդ կողմերին են տրամադրվում անձնական տվյալները, այն ժամանակահատվածը, որի ընթացքում տվյալները կմշակվեն, ինչպես նաև կհստակեցնեն կազմակերպության կողմից անձնական տվյալների ստացման աղբյուրը և կպահանջեն դրանք ուղղել։ Ավելին, օգտատերն իրավունք ունի պահանջելու դադարեցնել իր տվյալների մշակումը։
2018 թվականի մայիսից տուգանքների տեսքով պատասխանատվություն է կրում անձնական տվյալների մշակման կանոնների խախտման համար. GDPR-ի համաձայն՝ տուգանքը հասնում է 20 միլիոն եվրոյի (մոտ 1,5 միլիարդ ռուբլի) կամ ընկերության տարեկան համաշխարհային եկամտի 4%-ին։
Ամենակարևորն այն է, որ այս ամենը գործում է, օգտատերերի իրավունքները խախտող ընկերությունները ենթարկվում են պատասխանատվության և շատ լուրջ։ Օրինակ՝ 21 թվականի հունվարի 2019-ին Ֆրանսիայի Ինֆորմատիկայի և քաղաքացիական իրավունքների ազգային հանձնաժողովը (CNIL) որոշում է կայացրել տուգանել ամերիկյան GOOGLE LLC ընկերությանը 50 միլիոն եվրոյով GDPR-ի խախտման համար։ Տուգանքի չափը շատ մեծ է։ Սա հստակ ցույց է տալիս GDPR-ի պահանջներին չհամապատասխանելու ռիսկերը: Ինչի՞ համար եք պատժվել։ Ֆրանսիական հանձնաժողովը որոշել է, որ Android (Google) օպերացիոն համակարգով աշխատող շարժական սարքի նախնական կազմաձևման ժամանակ օգտատերը չի ստանում ամբողջական տեղեկատվություն այն մասին, թե ինչ է անում Google-ն իր անձնական տվյալների հետ։ Ընկերությունը չի կատարել անձնական տվյալների մշակման և սուբյեկտների իրազեկման թափանցիկություն ապահովելու իր պարտավորությունները (GDPR-ի 12 և 13 հոդվածներ): Օգտագործողի տվյալների պահպանման ժամկետները խստորեն չեն կարգավորվում: Ընկերությունը չի ունեցել անհրաժեշտ իրավական հիմք՝ իրականացված տվյալների մշակման համար (GDPR-ի 6-րդ հոդված): Google-ին մեղադրել են նաև օգտատերերի կողմից գովազդի անհատականացման նպատակով տվյալների մշակման համար օգտատերերի համաձայնությունը ոչ պատշաճ կերպով ստանալու մեջ:
Այլ օրինակներ. տուգանք գերմանական կարգավորող LfDI-ի կողմից Կնուդելսի հետ ծանոթության համար չաթի հավելվածին - 20.000 եվրո; պորտուգալական հիվանդանոց Barreiro Hospital-ը մեղադրվել է կարևոր անձնական տվյալների հասանելիությունը ոչ պատշաճ կերպով կառավարելու համար (տուգանք՝ 300 հազար եվրո) և խախտելու անվտանգությունն ու ամբողջականությունը։ տվյալները (ևս 100 հազար եվրո): Մեծ Բրիտանիայի իշխանությունները նախազգուշացում են արել կանադական ընկերությանը, որը զբաղվում է վերլուծական հետազոտություններով։ Ընկերությանը կարգադրվել է դադարեցնել քաղաքացիների անձնական տվյալների մշակումը, հակառակ դեպքում նրան սպառնում է 20 մլն եվրո տուգանք։ Թվային մարքեթինգի և ծրագրային ապահովման մշակման կանադական AggregateIQ ընկերությունը տուգանվել է 17000000 ֆունտ ստեռլինգով։ Ավստրիայում սրճարաններից մեկը տուգանվել է 5280 եվրոյով ապօրինի տեսահսկման համար (տեսախցիկը ֆիքսել է մայթեզրի մի մասը)։ Նրանք. ցանկացած կազմակերպություն, որը ենթակա է GDPR-ին, չպետք է սահմանափակվի, համաձայն ներքին ավանդույթի, միայն կարգավորող փաստաթղթերի մշակմամբ:
Ի դեպ, GDPR-ի առանձնահատկությունն այն է, որ այն վերաբերում է բոլոր այն ընկերություններին, որոնք մշակում են ԵՄ ռեզիդենտների և քաղաքացիների անձնական տվյալները՝ անկախ նման ընկերության գտնվելու վայրից, ուստի ռուսական ընկերությունները պետք է ուշադիր դիտարկեն այս կանոնակարգը, եթե նրանց ծառայությունները կենտրոնացած են եվրոպական շուկան
Source: www.habr.com