Vergelijking van benaderingen en praktijken voor de bescherming van persoonlijke gegevens in Rusland en de EU
Bij elke actie die een gebruiker op internet uitvoert, vindt er in feite een vorm van manipulatie van de persoonlijke gegevens van de gebruiker plaats.
Voor veel van de diensten die we op internet ontvangen, betalen we niet: voor het zoeken naar informatie, voor e-mail, voor het opslaan van onze gegevens in de cloud, voor het communiceren op sociale netwerken, enz. Deze diensten zijn echter slechts voorwaardelijk gratis: we betalen voor hen met onze gegevens, die deze bedrijven vervolgens in geld omzetten, voornamelijk via advertenties.
Momenteel zijn gegevens over geslacht, leeftijd en woonplaats, zoekgeschiedenis -
de basis voor een online advertentie-industrie die miljarden dollars en euro’s waard is. Dat wil zeggen: vanuit juridisch oogpunt zijn persoonsgegevens materialen voor het zakendoen. Bedrijven leveren dan ook enorme inspanningen en geven veel geld uit om persoonsgegevens te verkrijgen en te verwerken. Uit onderzoeken uit 2018 blijkt dat gebruikers, die de waarde van hun persoonlijke gegevens begrijpen, steeds ontevredener zijn over de manier waarop bedrijven met hun persoonlijke gegevens omgaan.
Regulering in het segment van het gebruik van gebruikersgegevens heeft nog geen vorm gekregen en blijft achter bij de ontwikkeling van technologie, niet alleen in Rusland, maar over de hele wereld, daarom is de balans tussen de belangen van consumenten en bedrijven in de “geld-dienst-data” Het ‘geld’-model wordt vandaag de dag gebouwd door zowel toezichthouders als door stilzwijgende overeenkomsten tussen de samenleving en bedrijven. Toezichthouders beperken de mogelijkheden van IT-bedrijven en breiden de rechten van gebruikers uit: ze introduceren nieuwe wetten die gebruikers meer controle geven over de informatie die zij verstrekken.
Het is interessant om de aanpak van toezichthouders in Europese landen en Rusland te vergelijken. In Rusland zijn de belangrijkste regels voor de omgang met persoonsgegevens de Federale Wet inzake de Bescherming van Persoonsgegevens (152-FZ) plus de Wetboek van Administratieve Overtredingen, die rechtstreeks het specifieke bedrag aan boetes vastlegt voor het overtreden van de procedure voor de omgang met persoonsgegevens. . De administratieve boetes zijn sinds 1 juli 2017 aanzienlijk verhoogd. Tegelijkertijd werden nieuwe boetes vastgesteld, afhankelijk van het soort overtreding dat werd gepleegd. Zo kunnen ambtenaren een boete krijgen van 3000 tot 20 roebel, individuele ondernemers - van 000 tot 5000 roebel, organisaties - van 20 tot 000 roebel. Bovendien kunnen zij voor diverse misdrijven aansprakelijk worden gesteld. Dienovereenkomstig kan een bedrijf worden onderworpen aan verschillende boetes voor verschillende overtredingen. Maar de aansprakelijkheid wordt specifiek geregeld voor het niet voldoen aan formele eisen, bijvoorbeeld als de benodigde papieren ontbreken. Dit houdt niet altijd direct verband met echte informatiebescherming. Een lek op zichzelf is bijvoorbeeld geen reden voor sancties, tenzij andere wetten worden overtreden. Interessant is dat een aanzienlijk aantal geïdentificeerde schendingen op het gebied van de verwerking van persoonsgegevens de inhoud bevat zoals bedoeld in artikel 15 van de Code voor administratieve overtredingen van de Russische Federatie: “Het niet of voortijdig indienen van informatie bij een staatsorgaan (Roskomnadzor) - informatie (informatie), waarvan de indiening bij wet is voorzien en noodzakelijk is voor de uitvoering van zijn juridische activiteiten door dit orgaan..." Het is interessant dat er niet een veel grotere aansprakelijkheid wordt geboden voor overtreding van de procedure voor het verwerken van persoonlijke gegevens (zoals hierboven aangegeven, dit is gemiddeld 000-75 duizend roebel), maar specifiek voor het niet verstrekken (vertraging, onvolledige indiening) van informatie over de De procedure voor het verwerken van persoonlijke gegevens in Roskomnadzor is onderworpen aan een boete van maximaal 000 roebel. Die. in de Russische wetgeving en in de praktijk van de toepassing ervan is de overheersende trend ‘het belangrijkste is dat het pak past’ en dat aan de behoeften van de staat wordt voldaan. autoriteiten in verschillende rapporten. De echte rechten van gebruikers en de veiligheid van hun persoonlijke gegevens op internet zijn slecht beschermd. Hetzelfde bedrag aan boetes correleert op geen enkele manier met het bedrag aan voordelen dat sommige bedrijven ontvangen wanneer zij de omgang met persoonlijke gegevens op internet schenden en stimuleert de naleving van deze regels niet.
In de EU is het beeld enigszins anders. Sinds mei 2018 wordt het werken met persoonsgegevens in Europa gereguleerd door de regels voor de verwerking van persoonsgegevens die zijn vastgelegd in de Algemene Verordening Gegevensbescherming (EU-verordening 2016/679 gedateerd 27 april 2016 of AVG - Algemene Verordening Gegevensbescherming). De verordening heeft directe werking in alle 28 EU-landen. De verordening geeft inwoners van de EU volledige controle over hun persoonlijke gegevens. Op grond van de AVG hebben EU-burgers en -ingezetenen zeer ruime rechten op controle over hun persoonlijke gegevens. Europese gebruikers hebben het recht om bevestiging te vragen van het feit dat hun gegevens worden verwerkt, de plaats en het doel van de verwerking, de categorieën van persoonsgegevens die worden verwerkt, aan welke derden de persoonsgegevens worden bekendgemaakt, de periode gedurende welke de gegevens zullen worden verwerkt, evenals de bron van ontvangst door de organisatie van de persoonlijke gegevens verduidelijken en verzoeken om correctie ervan. Bovendien heeft de gebruiker het recht om te eisen dat de verwerking van zijn gegevens wordt stopgezet.
Sinds mei 2018 aansprakelijkheid in de vorm van boetes wegens overtreding van de regels voor de verwerking van persoonsgegevens: volgens de AVG bedraagt de boete 20 miljoen euro (ongeveer 1,5 miljard roebel) of 4% van de jaarlijkse wereldwijde omzet van het bedrijf.
Het allerbelangrijkste is dat dit allemaal werkt; bedrijven die gebruikersrechten schenden, worden ter verantwoording geroepen en zeer serieus genomen. Zo besloot de Franse Nationale Commissie voor Informatica en Burgerrechten (CNIL) op 21 januari 2019 het Amerikaanse bedrijf GOOGLE LLC een boete van 50 miljoen euro op te leggen wegens overtreding van de AVG. Het bedrag van de boete is zeer groot. Hieruit blijkt duidelijk de risico’s van het niet naleven van de AVG-vereisten. Waar werd je voor gestraft? De Franse Commissie heeft vastgesteld dat de gebruiker tijdens de initiële configuratie van een mobiel apparaat met het besturingssysteem Android (Google) geen volledige informatie ontvangt over wat Google met zijn persoonlijke gegevens doet. Het bedrijf voldeed niet aan zijn verplichtingen om de transparantie bij de verwerking van persoonsgegevens te garanderen en de betrokkenen te informeren (artikelen 12 en 13 AVG). De bewaartermijnen voor gebruikersgegevens zijn niet strikt gereguleerd. Het bedrijf beschikte niet over de noodzakelijke wettelijke basis voor de uitgevoerde gegevensverwerking (artikel 6 AVG). Google werd ook beschuldigd van het onrechtmatig verkrijgen van toestemming van gebruikers om hun gegevens te verwerken om advertenties te personaliseren.
Andere voorbeelden: een boete van de Duitse toezichthouder LfDI aan de chatapplicatie voor het daten met Knuddels – 20.000 euro; het Portugese ziekenhuis Barreiro Hospital werd beschuldigd van het onrechtmatig beheren van de toegang tot kritische persoonsgegevens (boete van 300 euro) en het schenden van de veiligheid en integriteit van data (nog eens 100 duizend euro). De Britse autoriteiten hebben een waarschuwing afgegeven aan een Canadees bedrijf dat zich bezighoudt met analytisch onderzoek. Het bedrijf kreeg de opdracht te stoppen met het verwerken van persoonsgegevens van burgers, anders riskeert het een boete van 20 miljoen euro. Het Canadese digitale marketing- en softwareontwikkelingsbedrijf AggregateIQ kreeg een boete van £ 17000000. Een café in Oostenrijk kreeg een boete van 5280 euro wegens illegale videobewaking (de camera legde een deel van het trottoir vast). Die. elke organisatie die onderworpen is aan de AVG mag zich volgens de binnenlandse traditie niet beperken tot de ontwikkeling van regelgevingsdocumentatie.
Het bijzondere van de AVG is overigens dat deze van toepassing is op alle bedrijven die persoonsgegevens van inwoners en burgers van de EU verwerken, ongeacht de locatie van een dergelijk bedrijf. Russische bedrijven moeten deze Verordening dus zorgvuldig in overweging nemen als hun diensten gericht zijn op de Europese markt
Bron: www.habr.com