Perbandingan pendekatan dan praktik untuk melindungi data pribadi di Rusia dan UE
Faktanya, dengan tindakan apa pun yang dilakukan oleh pengguna di Internet, terjadi beberapa bentuk manipulasi data pribadi pengguna.
Kami tidak membayar untuk banyak layanan yang kami terima di Internet: untuk mencari informasi, untuk email, untuk menyimpan data kami di cloud, untuk berkomunikasi di jejaring sosial, dll. Namun, layanan ini hanya gratis bersyarat: kami membayar bagi mereka dengan data kami, yang kemudian diubah oleh perusahaan-perusahaan ini menjadi uang, terutama melalui iklan.
Saat ini, data tentang jenis kelamin, usia dan tempat tinggal, riwayat pencarian -
dasar bagi industri periklanan online yang bernilai miliaran dolar dan euro. Artinya, dari sudut pandang hukum, data pribadi adalah bahan untuk berbisnis. Oleh karena itu, perusahaan melakukan upaya besar dan menghabiskan banyak uang untuk memperoleh dan memproses data pribadi. Survei yang dilakukan pada tahun 2018 menunjukkan bahwa pengguna, yang memahami nilai data pribadi mereka, semakin tidak puas dengan cara perusahaan memperlakukan data pribadi mereka.
Regulasi di segmen penggunaan data pengguna belum terbentuk dan tertinggal dari perkembangan teknologi tidak hanya di Rusia, tetapi di seluruh dunia, oleh karena itu, keseimbangan kepentingan konsumen dan perusahaan dalam “uang - layanan - data - Model uang” sedang dibangun saat ini baik oleh Regulator maupun melalui kesepakatan diam-diam antara masyarakat dan perusahaan. Regulator membatasi kemampuan perusahaan TI dan memperluas hak pengguna: memperkenalkan undang-undang baru yang memberikan kontrol lebih besar kepada pengguna atas informasi yang mereka berikan.
Menarik untuk membandingkan pendekatan regulator di negara-negara Eropa dan Rusia. Di Rusia, peraturan utama yang mengatur penanganan data pribadi adalah Undang-Undang Federal tentang Perlindungan Data Pribadi (152-FZ) ditambah Kode Pelanggaran Administratif, yang secara langsung menetapkan jumlah denda tertentu karena melanggar prosedur penanganan data pribadi. . Denda administratif meningkat signifikan sejak 1 Juli 2017. Pada saat yang sama, denda baru ditetapkan tergantung pada jenis pelanggaran yang dilakukan. Dengan demikian, pejabat dapat didenda sebesar 3000 hingga 20 rubel, pengusaha perorangan - sebesar 000 hingga 5000 rubel, organisasi - sebesar 20 hingga 000 rubel. Selain itu, mereka dapat dimintai pertanggungjawaban atas berbagai pelanggaran. Oleh karena itu, satu perusahaan dapat dikenakan beberapa denda berbeda untuk pelanggaran yang berbeda. Namun tanggung jawab diberikan secara khusus atas kegagalan memenuhi persyaratan formal, misalnya, jika surat-surat yang diperlukan hilang. Hal ini tidak selalu berhubungan langsung dengan perlindungan informasi yang sebenarnya. Misalnya, kebocoran itu sendiri tidak bisa dijadikan alasan untuk dikenakan sanksi kecuali ada pelanggaran hukum lain. Menariknya, sejumlah besar pelanggaran yang teridentifikasi di bidang penanganan data pribadi mengandung konten yang diatur dalam Pasal 15 Kode Pelanggaran Administratif Federasi Rusia: “Kegagalan untuk menyerahkan atau penyerahan sebelum waktunya ke badan negara (Roskomnadzor) - informasi (informasi), yang penyampaiannya diatur oleh undang-undang dan diperlukan untuk pelaksanaan kegiatan hukumnya oleh badan ini…” Menariknya, tanggung jawab yang jauh lebih besar diberikan bukan atas pelanggaran prosedur penanganan data pribadi (seperti yang ditunjukkan di atas, rata-rata 000-75 ribu rubel), namun khususnya atas kegagalan memberikan (keterlambatan, penyerahan tidak lengkap) informasi tentang prosedur penanganan data pribadi di Roskomnadzor dikenakan denda hingga 000 rubel. Itu. dalam undang-undang Rusia dan dalam praktik penerapannya, tren yang berlaku adalah “yang utama adalah setelannya sesuai” dan kebutuhan negara terpenuhi. otoritas dalam berbagai laporan. Hak nyata pengguna dan keamanan data pribadi mereka di Internet kurang terlindungi. Jumlah denda yang sama tidak berkorelasi dengan jumlah manfaat yang diterima oleh beberapa perusahaan ketika mereka melanggar penanganan data pribadi di Internet dan tidak mendorong kepatuhan terhadap aturan-aturan ini.
Di UE gambarannya agak berbeda. Sejak Mei 2018, di Eropa, pekerjaan dengan data pribadi diatur oleh aturan pemrosesan data pribadi yang ditetapkan oleh Peraturan Perlindungan Data Umum (Peraturan UE 2016/679 tanggal 27 April 2016 atau GDPR - Peraturan Perlindungan Data Umum). Peraturan ini berdampak langsung di 28 negara UE. Peraturan tersebut memberi penduduk UE kendali penuh atas data pribadi mereka. Berdasarkan GDPR, warga negara dan penduduk UE memiliki hak yang sangat luas untuk mengontrol data pribadi mereka. Pengguna di Eropa berhak meminta konfirmasi mengenai fakta bahwa data mereka sedang diproses, tempat dan tujuan pemrosesan, kategori data pribadi yang sedang diproses, kepada pihak ketiga mana data pribadi tersebut diungkapkan, periode di mana data tersebut akan diproses, serta mengklarifikasi sumber penerimaan data pribadi oleh organisasi dan meminta koreksinya. Selain itu, pengguna berhak meminta agar pemrosesan datanya dihentikan.
Sejak Mei 2018, tanggung jawab berupa denda atas pelanggaran aturan pemrosesan data pribadi: menurut GDPR, dendanya mencapai 20 juta euro (sekitar 1,5 miliar rubel) atau 4% dari pendapatan global tahunan perusahaan.
Yang paling penting adalah semua ini berhasil, perusahaan yang melanggar hak pengguna harus bertanggung jawab dan sangat serius. Misalnya, pada 21 Januari 2019, Komisi Nasional Informatika dan Hak Sipil Prancis (CNIL) memutuskan untuk mendenda perusahaan Amerika GOOGLE LLC sebesar 50 juta euro karena melanggar GDPR. Besaran dendanya sangat besar. Hal ini jelas menunjukkan risiko ketidakpatuhan terhadap persyaratan GDPR. Untuk apa kamu dihukum? Komisi Perancis menetapkan bahwa selama konfigurasi awal perangkat seluler yang menjalankan sistem operasi Android (Google), pengguna tidak menerima informasi lengkap tentang apa yang dilakukan Google dengan data pribadinya. Perusahaan tidak memenuhi kewajibannya untuk memastikan transparansi dalam pemrosesan data pribadi dan menginformasikan subjek (Pasal 12 dan 13 GDPR). Periode penyimpanan data pengguna tidak diatur secara ketat. Perusahaan tidak memiliki dasar hukum yang diperlukan untuk pemrosesan data yang dilakukan (Pasal 6 GDPR). Google juga dituduh secara tidak benar mendapatkan persetujuan pengguna untuk memproses data mereka guna mempersonalisasi iklan.
Contoh lain: denda dari regulator Jerman LfDI ke aplikasi obrolan untuk berkencan dengan Knuddels - 20.000 euro; rumah sakit Portugis Rumah Sakit Barreiro dituduh secara tidak tepat mengelola akses ke data pribadi penting (denda 300 ribu euro) dan melanggar keamanan dan integritas data (100 ribu euro lagi). Pihak berwenang Inggris telah mengeluarkan peringatan kepada perusahaan Kanada yang bergerak dalam penelitian analitis. Perusahaan diperintahkan untuk berhenti memproses data pribadi warga negara, jika tidak maka akan dikenakan denda sebesar 20 juta Euro. Perusahaan pemasaran digital dan pengembangan perangkat lunak Kanada AggregateIQ didenda £17000000. Sebuah kafe di Austria didenda 5280 euro karena pengawasan video ilegal (kamera menangkap sebagian trotoar). Itu. organisasi mana pun yang tunduk pada GDPR tidak boleh dibatasi, menurut tradisi domestik, hanya pada pengembangan dokumentasi peraturan.
Omong-omong, kekhasan GDPR adalah bahwa hal ini berlaku untuk semua perusahaan yang memproses data pribadi penduduk dan warga negara UE, terlepas dari lokasi perusahaan tersebut, sehingga perusahaan Rusia harus mempertimbangkan Peraturan ini dengan cermat jika layanan mereka difokuskan pada pasar Eropa
Sumber: www.habr.com