GDPR は個人データを非常によく保護しますが、これはヨーロッパに居住している場合に限られます。

ロシアとEUにおける個人データ保護のアプローチと実践の比較

実際、インターネット上でユーザーが実行するあらゆるアクションでは、ユーザーの個人データの何らかの形での操作が発生します。

私たちは、情報の検索、電子メール、データのクラウドへの保存、ソーシャル ネットワークでのコミュニケーションなど、インターネット上で受けているサービスの多くに対して料金を支払いません。ただし、これらのサービスは条件付きでのみ無料です。彼らのために私たちのデータを提供し、これらの企業は主に広告を通じてそれをお金に変えます。

現在、性別、年齢、居住地、検索履歴などのデータは、
数十億ドルとユーロの価値があるオンライン広告業界の基盤です。 つまり、法的な観点から見ると、個人データはビジネスを行うための資料です。 したがって、企業は個人データの取得と処理に多大な努力と多額の費用を費やしています。 2018年に実施された調査によると、ユーザーは自分の個人データの価値を理解しており、企業による個人データの扱い方に対する不満が高まっています。

ユーザーデータの使用分野における規制はまだ具体化されておらず、ロシアだけでなく世界中で技術の発展に遅れをとっているため、「お金 - サービス - データ」における消費者と企業の利益のバランスが重要です。 「お金」モデルは今日、規制当局と社会と企業の間の暗黙の合意の両方によって構築されています。 規制当局は IT 企業の能力を制限し、ユーザーの権利を拡大しています。つまり、ユーザーが提供する情報をより細かく制御できるようにする新しい法律を導入しています。

欧州諸国とロシアの規制当局のアプローチを比較するのは興味深い。 ロシアでは、個人データの取り扱いを管理する主な規制は、個人データ保護に関する連邦法 (152-FZ) と、個人データの取り扱い手順に違反した場合の具体的な罰金額を直接規定する行政犯罪法です。 。 1 年 2017 月 3000 日以降、行政罰金は大幅に増加しました。 同時に、犯された犯罪の種類に応じて新たな罰金が創設されました。 したがって、役人には20～000ルーブル、個人起業家には5000～20ルーブル、組織には000～15ルーブルの罰金が科される可能性がある。 さらに、さまざまな犯罪の責任を問われる可能性もあります。 したがって、000 つの企業が異なる違反に対して複数の異なる罰金を科される可能性があります。 ただし、必要な書類が不足している場合など、正式な要件を遵守しなかった場合には特に責任が課されます。 これは、必ずしも実際の情報保護に直接関係しているわけではありません。 たとえば、他の法律に違反しない限り、漏洩自体は罰則の根拠にはなりません。 興味深いことに、個人データの取り扱いの分野で特定された違反のかなりの数には、ロシア連邦行政犯罪法第 75 条に規定されている内容が含まれています。 （情報）、その提出は法律で規定されており、この機関の法的活動の実施に必要です...」 興味深いのは、個人データの取り扱い手順への違反ではなく（上で示したように、これは平均 000 万から 19.7 万ルーブルです）、より大きな責任が課せられているのではなく、特に個人データに関する情報の提供を怠った（遅延、不完全な提出）ことに対して課せられているということです。ロスコムナゾルでの個人データの取り扱い手続きには、最大 30 ルーブルの罰金が科せられます。 それらの。 ロシアの法律とその適用実務においては、「重要なのはスーツが適合すること」であり、国家のニーズが満たされることが一般的な傾向である。 当局はさまざまな報告書でこう述べている。 ユーザーの本当の権利とインターネット上の個人データのセキュリティは十分に保護されていません。 同額の罰金は、一部の企業がインターネット上の個人データの取り扱いに違反した場合に受け取る利益の額とはまったく相関がなく、これらの規則の遵守を奨励するものではありません。

EU では状況が多少異なります。 2018 年 XNUMX 月以降、ヨーロッパでは個人データの取り扱いが一般データ保護規則 (一般データ保護規則) によって定められた個人データの処理規則によって規制されています。РегламентЕС2016/679 27 年 2016 月 28 日付け、または GDPR - 一般データ保護規則)。 この規制は EU XNUMX か国すべてに直接影響します。 この規制により、EU 居住者は自分の個人データを完全に管理できるようになります。 GDPR の下では、EU 国民と居住者は自分の個人データを管理する非常に広範な権利を持っています。 欧州のユーザーは、自分のデータが処理されているという事実、処理の場所と目的、処理される個人データのカテゴリー、個人データが開示される第三者、データが開示される期間の確認を要求する権利を有します。組織が個人データを受け取ったソースを明らかにし、その修正を要求するだけでなく、処理されます。 さらに、ユーザーは自分のデータの処理の停止を要求する権利を有します。

2018 年 20 月以降、個人データの処理規則違反に対する罰金という形での責任が課せられています。GDPR によれば、罰金は 1,5 万ユーロ (約 4 億ルーブル)、または同社の全世界年間収益の XNUMX% に達します。

最も重要なことは、これらすべてが機能し、ユーザーの権利を侵害する企業は非常に深刻な責任を負うことです。 たとえば、21 年 2019 月 50 日、フランス国家情報学公民権委員会 (CNIL) は、GDPR に違反したとしてアメリカ企業 GOOGLE LLC に 12 万ユーロの罰金を科すことを決定しました。 罰金の額は非常に高額です。 これは、GDPR 要件に準拠しない場合のリスクを明確に示しています。 何で罰せられたんですか？ フランス委員会は、Android (Google) オペレーティング システムを実行するモバイル デバイスの初期設定中に、ユーザーは Google が自分の個人データをどのように扱っているかに関する完全な情報を受け取っていないと判断しました。 同社は、個人データの処理の透明性を確保し、対象者に通知する義務（GDPR第13条および第6条）を履行しませんでした。 ユーザーデータの保存期間は厳密に規制されていません。 同社には、実行されたデータ処理に必要な法的根拠がありませんでした (GDPR 第 XNUMX 条)。 Googleはまた、広告をパーソナライズするためにデータを処理するためにユーザーの同意を不適切に取得した疑いでも告発された。

その他の例: クヌッデルズとのデートを目的としたチャット アプリケーションに対するドイツの規制当局 LfDI からの罰金 - 20.000 万ユーロ、ポルトガルの病院バレイロ病院は、重要な個人データへのアクセスを不適切に管理し、病院のセキュリティと完全性を侵害したとして告発されました (罰金 300 万ユーロ)。データ（さらに100万ユーロ）。 英国当局は分析研究に携わるカナダ企業に警告を発した。 同社は国民の個人データの処理を停止するよう命じられ、さもなければ20万ユーロの罰金が科せられることになった。 カナダのデジタルマーケティングおよびソフトウェア開発会社AggregateIQは17000000万ポンドの罰金を科された。 オーストリアのカフェは、違法なビデオ監視（カメラは歩道の一部を捉えた）で5280ユーロの罰金を科せられた。 それらの。 GDPR の対象となる組織は、国内の伝統に従い、規制文書の作成のみに限定されるべきではありません。

ちなみに、GDPR の特徴は、企業の所在地に関係なく、EU の居住者および国民の個人データを処理するすべての企業に適用されることです。そのため、ロシア企業は、自社のサービスが次の分野に焦点を当てている場合、この規則を慎重に検討する必要があります。ヨーロッパ市場

出所： habr.com