Samanburður á aðferðum og starfsháttum til að vernda persónuupplýsingar í Rússlandi og ESB
Reyndar, með hvers kyns aðgerðum sem notandi framkvæmir á internetinu, á sér stað einhvers konar meðferð á persónulegum gögnum notandans.
Við borgum ekki fyrir marga þjónustuna sem við fáum á Netinu: fyrir að leita að upplýsingum, fyrir tölvupóst, fyrir að geyma gögnin okkar í skýinu, fyrir samskipti á samfélagsnetum osfrv. Hins vegar er þessi þjónusta aðeins ókeypis: við borgum fyrir þá með gögnunum okkar , sem þessi fyrirtæki breyta síðan í peninga, aðallega með auglýsingum.
Eins og er, gögn um kyn, aldur og búsetu, leitarferil -
grunnurinn að auglýsingaiðnaði á netinu upp á milljarða dollara og evra. Það er, frá lagalegu sjónarmiði, eru persónuupplýsingar efni til að stunda viðskipti. Í samræmi við það leggja fyrirtæki sig gríðarlega fram og eyða töluverðum peningum í að afla og vinna úr persónuupplýsingum. Kannanir sem gerðar voru árið 2018 sýna að notendur, sem skilja gildi persónuupplýsinga sinna, eru sífellt óánægðari með hvernig fyrirtæki fara með persónuupplýsingar sínar.
Reglugerð á sviði notkunar notendagagna hefur ekki enn tekið á sig mynd og er á eftir þróun tækni, ekki aðeins í Rússlandi, heldur um allan heim, því hagsmunajafnvægi neytenda og fyrirtækja í „peningum - þjónustu - gögnum - peningalíkanið er byggt upp í dag bæði af eftirlitsaðilum og með þegjandi samningum milli samfélags og fyrirtækja. Eftirlitsaðilar takmarka getu upplýsingatæknifyrirtækja og auka réttindi notenda: innleiða ný lög sem veita notendum meiri stjórn á þeim upplýsingum sem þeir veita.
Það er áhugavert að bera saman aðferðir eftirlitsaðila í Evrópulöndum og Rússlandi. Í Rússlandi eru helstu reglur sem gilda um meðferð persónuupplýsinga alríkislögin um vernd persónuupplýsinga (152-FZ) ásamt lögunum um stjórnsýslubrot, sem kveður beint á um tiltekna fjárhæð sekta fyrir brot á málsmeðferðinni við meðferð persónuupplýsinga. . Stjórnvaldssektir hafa hækkað verulega frá 1. júlí 2017. Jafnframt voru settar nýjar sektir eftir því hvers konar brot er framið. Þannig er hægt að sekta embættismenn að upphæð 3000 til 20 rúblur, einstaka frumkvöðla - að upphæð 000 til 5000 rúblur, stofnanir - að upphæð 20 til 000 rúblur. Þar að auki geta þeir borið ábyrgð á ýmsum brotum. Samkvæmt því getur eitt fyrirtæki sætt nokkrum mismunandi sektum fyrir mismunandi brot. En skaðabótaábyrgð er sérstaklega kveðið á um ef ekki er uppfyllt formkröfur, til dæmis ef nauðsynleg skjöl vantar. Þetta tengist ekki alltaf raunverulegri upplýsingavernd beint. Til dæmis er leki í sjálfu sér ekki tilefni til refsinga nema önnur lög séu brotin. Athyglisvert er að umtalsverður fjöldi auðkenndra brota á sviði meðhöndlunar persónuupplýsinga inniheldur innihaldið sem kveðið er á um í grein 15 í lögum um stjórnsýslubrot rússneska sambandsríkisins: „Varist að leggja fram eða ótímabært framlag til ríkisstofnunar (Roskomnadzor) - upplýsingar (upplýsingar), sem kveðið er á um í lögum og er nauðsynlegt fyrir framkvæmd þessa aðila lögfræðistarfsemi hans...“ Það er athyglisvert að miklu meiri ábyrgð er ekki veitt vegna brota á aðferðum til að meðhöndla persónuupplýsingar (eins og fram kemur hér að ofan, þetta er að meðaltali 000-75 þúsund rúblur), heldur sérstaklega vegna vanefnda á að veita (töf, ófullnægjandi skil) upplýsingar um málsmeðferð við meðferð persónuupplýsinga í Roskomnadzor er háð sektum allt að 000 rúblur. Þeir. í rússneskri löggjöf og framkvæmd hennar er ríkjandi þróun „aðalatriðið er að jakkafötin passi“ og þörfum ríkisins sé fullnægt. yfirvöld í ýmsum skýrslum. Raunveruleg réttindi notenda og öryggi persónuupplýsinga þeirra á netinu eru illa varin. Sama fjárhæð sekta er ekki í neinu samræmi við fjárhæð bóta sem sum fyrirtæki fá þegar þau brjóta í bága við meðferð persónuupplýsinga á netinu og hvetur ekki til þess að farið sé að þessum reglum.
Í ESB er myndin nokkuð önnur. Síðan í maí 2018, í Evrópu, er vinna með persónuupplýsingar stjórnað af reglum um vinnslu persónuupplýsinga sem settar eru í almennu persónuverndarreglugerðinni (Reglugerð ESB 2016/679 dagsett 27. apríl 2016 eða GDPR - General Data Protection Regulation). Reglugerðin hefur bein áhrif í öllum 28 löndum ESB. Reglugerðin veitir íbúum ESB fulla stjórn á persónuupplýsingum sínum. Samkvæmt GDPR hafa borgarar og íbúar ESB mjög víðtækan rétt til að stjórna persónuupplýsingum sínum. Evrópskir notendur eiga rétt á að óska eftir staðfestingu á því að unnið sé með gögn þeirra, stað og tilgang vinnslunnar, flokka persónuupplýsinga sem unnið er með, til hvaða þriðja aðila persónuupplýsingarnar eru afhentar, tímabilið sem gögnin eru notuð. verður unnið, auk þess að skýra hvaðan stofnunin hefur tekið við persónuupplýsingunum og óskað eftir leiðréttingu þeirra. Þar að auki á notandi rétt á að krefjast þess að vinnslu gagna hans verði hætt.
Frá maí 2018, skaðabótaábyrgð í formi sekta vegna brota á reglum um vinnslu persónuupplýsinga: samkvæmt GDPR nær sektin 20 milljónum evra (um 1,5 milljarða rúblur) eða 4% af árlegum alþjóðlegum tekjum fyrirtækisins.
Það sem skiptir mestu máli er að allt þetta virki, fyrirtæki sem brjóta notendaréttindi eru dregin til ábyrgðar og mjög alvarlega. Til dæmis, 21. janúar 2019, ákvað franska nefndin fyrir upplýsingatækni og borgaraleg réttindi (CNIL) að sekta bandaríska fyrirtækið GOOGLE LLC um 50 milljónir evra fyrir brot á GDPR. Sektarupphæðin er mjög há. Þetta sýnir greinilega hættuna á því að ekki sé farið að GDPR-kröfum. Fyrir hvað var þér refsað? Franska framkvæmdastjórnin ákvað að við upphaflega uppsetningu farsíma sem keyrir Android (Google) stýrikerfið fær notandinn ekki allar upplýsingar um hvað Google er að gera með persónulegum gögnum sínum. Fyrirtækið uppfyllti ekki skyldur sínar til að tryggja gagnsæi í vinnslu persónuupplýsinga og upplýsa einstaklinga (12. og 13. gr. GDPR). Geymslutímabil notendagagna eru ekki stranglega stjórnað. Fyrirtækið hafði ekki nauðsynlega lagastoð fyrir þeirri gagnavinnslu sem fram fór (6. gr. GDPR). Google var einnig sakað um að hafa fengið óviðeigandi samþykki notenda til að vinna úr gögnum þeirra til að sérsníða auglýsingar.
Önnur dæmi: sekt frá þýska eftirlitsstofninum LfDI til stefnumótaspjallaforritsins Knuddels - 20.000 evrur, portúgalska sjúkrahúsið Barreiro sjúkrahúsið var sakað um að stjórna aðgangi að mikilvægum persónuupplýsingum á óviðeigandi hátt (300 þúsund evrur sekt) og brjóta gegn öryggi og heilindum gögn (annars 100 þúsund evrur ). Bresk yfirvöld hafa gefið út viðvörun til kanadísks fyrirtækis sem stundar greiningarrannsóknir. Fyrirtækinu var gert að hætta vinnslu persónuupplýsinga um borgara, annars á það yfir höfði sér 20 milljóna evra sekt. Kanadíska stafræna markaðs- og hugbúnaðarþróunarfyrirtækið AggregateIQ var sektað um 17000000 punda. Kaffihús í Austurríki var sektað um 5280 evrur fyrir ólöglegt myndbandseftirlit (myndavélin náði hluta gangstéttarinnar). Þeir. hvaða stofnun sem er háð GDPR ætti ekki að vera takmörkuð, samkvæmt innlendri hefð, aðeins við þróun eftirlitsskjala.
Við the vegur, sérkenni GDPR er að hún á við um öll fyrirtæki sem vinna persónuupplýsingar íbúa ESB og borgara, óháð staðsetningu slíks fyrirtækis, svo rússnesk fyrirtæki ættu að íhuga þessa reglugerð vandlega ef þjónusta þeirra beinist að evrópsku markaði
Heimild: www.habr.com