Asmens duomenų apsaugos metodų ir praktikos palyginimas Rusijoje ir ES
Tiesą sakant, atliekant bet kokį veiksmą, kurį vartotojas atlieka internete, įvyksta tam tikra manipuliacija vartotojo asmeniniais duomenimis.
Mes nemokame už daugelį paslaugų, kurias gauname internete: už informacijos paiešką, elektroninį paštą, už duomenų saugojimą debesyje, už bendravimą socialiniuose tinkluose ir pan. Tačiau šios paslaugos nemokamos tik sąlyginai: mokame su mūsų duomenimis, kuriuos šios įmonės paverčia pinigais, daugiausia per reklamą.
Šiuo metu duomenys apie lytį, amžių ir gyvenamąją vietą, paieškos istoriją -
milijardus dolerių ir eurų vertės internetinės reklamos pramonės pagrindas. Tai yra, teisiniu požiūriu asmens duomenys yra medžiaga verslui. Atitinkamai įmonės deda milžiniškas pastangas ir išleidžia nemažus pinigus, siekdamos gauti ir apdoroti asmens duomenis. 2018 metais atliktos apklausos rodo, kad vartotojai, suprasdami savo asmens duomenų vertę, vis labiau nepatenkinti tuo, kaip įmonės elgiasi su jų asmens duomenimis.
Reguliavimas vartotojų duomenų naudojimo segmente dar nesusiformavo ir atsilieka nuo technologijų plėtros ne tik Rusijoje, bet ir visame pasaulyje, todėl vartotojų ir įmonių interesų pusiausvyra „pinigai – paslauga – duomenys“ pinigų“ modelį šiandien kuria tiek Reguliavimo institucijos, tiek tylūs visuomenės ir įmonių susitarimai. Reguliavimo institucijos riboja IT įmonių galimybes ir plečia vartotojų teises: įveda naujus įstatymus, suteikiančius vartotojams daugiau galimybių kontroliuoti jų teikiamą informaciją.
Įdomu palyginti Europos šalių ir Rusijos reguliuotojų požiūrius. Rusijoje pagrindinės taisyklės, reglamentuojančios asmens duomenų tvarkymą, yra Federalinis asmens duomenų apsaugos įstatymas (152-FZ) ir Administracinių nusižengimų kodeksas, kuris tiesiogiai nustato konkretų baudų dydį už asmens duomenų tvarkymo tvarkos pažeidimą. . Nuo 1 metų liepos 2017 dienos labai padidėjo administracinės baudos. Kartu buvo nustatytos naujos baudos, atsižvelgiant į padaryto pažeidimo rūšį. Taigi pareigūnams gali būti skirta bauda nuo 3000 20 iki 000 5000 rublių, individualiems verslininkams - nuo 20 000 iki 15 000 rublių, organizacijoms - nuo 75 000 iki 19.7 30 rublių. Be to, jie gali būti patraukti atsakomybėn už įvairius nusikaltimus. Atitinkamai vienai įmonei už skirtingus pažeidimus gali būti skirtos kelios skirtingos baudos. Bet atsakomybė numatyta būtent už formalių reikalavimų nesilaikymą, pavyzdžiui, jei trūksta reikiamų popierių. Tai ne visada tiesiogiai susiję su realia informacijos apsauga. Pavyzdžiui, nutekėjimas savaime nėra pagrindas nuobaudoms skirti, nebent pažeidžiami kiti įstatymai. Įdomu tai, kad nemaža dalis nustatytų pažeidimų asmens duomenų tvarkymo srityje yra turinys, numatytas Rusijos Federacijos administracinių nusižengimų kodekso 50 straipsnyje: „Nepateikimas arba nesavalaikis pateikimas valstybinei institucijai (Roskomnadzor) - informacija (informacija), kurios pateikimas yra numatytas įstatyme ir yra būtinas šio organo teisėtai veiklai įgyvendinti...“ Įdomu tai, kad daug didesnė atsakomybė numatyta ne už asmens duomenų tvarkymo tvarkos pažeidimą (kaip nurodyta aukščiau, tai vidutiniškai 200.000-XNUMX tūkst. rublių), o būtent už informacijos apie asmens duomenų nepateikimą (vėlavimą, nepilną pateikimą). už asmens duomenų tvarkymo Roskomnadzor tvarką gresia bauda iki XNUMX XNUMX rublių. Tie. Rusijos teisės aktuose ir jų taikymo praktikoje vyrauja tendencija „svarbiausia, kad kostiumas tiktų“ ir būtų patenkinti valstybės poreikiai. institucijose įvairiose ataskaitose. Tikrosios vartotojų teisės ir jų asmens duomenų saugumas internete yra menkai apsaugotos. Toks pat baudų dydis niekaip nekoreliuoja su kai kurių įmonių gaunama nauda, kai jos pažeidžia asmens duomenų tvarkymą internete, ir neskatina šių taisyklių laikytis.
ES vaizdas kiek kitoks. Nuo 2018 m. gegužės mėn. Europoje darbą su asmens duomenimis reglamentuoja Bendrajame duomenų apsaugos reglamente nustatytos asmens duomenų tvarkymo taisyklės (ES reglamentas 2016/679 27 m. balandžio 2016 d. arba BDAR – Bendrasis duomenų apsaugos reglamentas). Reglamentas turi tiesioginį poveikį visose 28 ES šalyse. Reglamentas suteikia ES gyventojams visišką savo asmens duomenų kontrolę. Pagal GDPR ES piliečiai ir gyventojai turi labai plačias teises kontroliuoti savo asmens duomenis. Europos vartotojai turi teisę prašyti patvirtinimo, kad jų duomenys yra tvarkomi, duomenų tvarkymo vietą ir tikslą, tvarkomų asmens duomenų kategorijas, kurioms tretiesiems asmenims asmens duomenys atskleidžiami, laikotarpį, per kurį duomenys tvarkomi. bus tvarkomi, taip pat patikslinti, iš kur organizacija gavo asmens duomenis, ir reikalauti juos ištaisyti. Be to, vartotojas turi teisę reikalauti, kad jo duomenų tvarkymas būtų nutrauktas.
Nuo 2018 m. gegužės mėn. atsakomybė baudų forma už asmens duomenų tvarkymo taisyklių pažeidimus: pagal GDPR bauda siekia 20 milijonų eurų (apie 1,5 milijardo rublių) arba 4% įmonės metinių pasaulinių pajamų.
Svarbiausia, kad visa tai veiktų, įmonės, pažeidžiančios vartotojų teises, atsakingos ir labai rimtai. Pavyzdžiui, 21 m. sausio 2019 d. Prancūzijos nacionalinė informatikos ir pilietinių teisių komisija (CNIL) nusprendė skirti Amerikos bendrovei GOOGLE LLC 50 milijonų eurų baudą už GDPR pažeidimą. Baudos dydis yra labai didelis. Tai aiškiai parodo GDPR reikalavimų nesilaikymo riziką. Už ką buvai nubaustas? Prancūzijos komisija nustatė, kad per pirminę mobiliojo įrenginio, kuriame veikia Android (Google) operacinę sistemą, konfigūraciją vartotojas negauna visos informacijos apie tai, ką Google daro su jo asmeniniais duomenimis. Bendrovė nevykdė savo įsipareigojimų užtikrinti skaidrumą tvarkant asmens duomenis ir informuoti subjektus (BDAR 12 ir 13 straipsniai). Vartotojo duomenų saugojimo laikotarpis nėra griežtai reglamentuotas. Bendrovė neturėjo reikiamo teisinio pagrindo vykdomam duomenų tvarkymui (BDAR 6 straipsnis). „Google“ taip pat buvo apkaltinta netinkamai gavusi vartotojo sutikimą tvarkyti jų duomenis reklamai suasmeninti.
Kiti pavyzdžiai: bauda iš Vokietijos reguliuotojo LfDI į pokalbių programą už pasimatymą su Knuddels - 20.000 300 eurų; Portugalijos ligoninė Barreiro ligoninė buvo apkaltinta netinkamai tvarkiusi prieigą prie svarbių asmens duomenų (100 tūkst. eurų bauda) ir pažeidusi asmens saugumą ir vientisumą. duomenis (dar 20 tūkst. eurų ). JK valdžia įspėjo Kanados bendrovę, užsiimančią analitiniais tyrimais. Bendrovė buvo įpareigota nutraukti piliečių asmens duomenų tvarkymą, priešingu atveju jai gresia 17000000 mln. eurų bauda. Kanados skaitmeninės rinkodaros ir programinės įrangos kūrimo įmonei „AggregateIQ“ skirta 5280 XNUMX XNUMX svarų bauda. Už neteisėtą vaizdo stebėjimą (kamera užfiksavo dalį šaligatvio) Austrijoje kavinei skirta XNUMX eurų bauda. Tie. bet kuri organizacija, kuriai taikomas BDAR, pagal vidaus tradicijas neturėtų apsiriboti tik norminės dokumentacijos kūrimu.
Beje, GDPR ypatumas yra tas, kad jis taikomas visoms įmonėms, tvarkančioms ES gyventojų ir piliečių asmens duomenis, nepriklausomai nuo tokios įmonės buvimo vietos, todėl Rusijos įmonės turėtų atidžiai apsvarstyti šį reglamentą, jei jų paslaugos yra orientuotos į Europos turgus
Šaltinis: www.habr.com