Sammenligning av tilnærminger og praksis for å beskytte personopplysninger i Russland og EU
Faktisk, med enhver handling utført av en bruker på Internett, forekommer en form for manipulasjon av brukerens personlige data.
Vi betaler ikke for mange av tjenestene vi mottar på Internett: for å søke etter informasjon, for e-post, for å lagre dataene våre i skyen, for å kommunisere på sosiale nettverk osv. Disse tjenestene er imidlertid kun betinget gratis: vi betaler for dem med våre data , som disse selskapene deretter gjør om til penger, hovedsakelig gjennom annonsering.
Foreløpig data om kjønn, alder og bosted, søkehistorikk -
grunnlaget for en nettbasert reklamebransje verdt milliarder av dollar og euro. Det vil si at fra et juridisk synspunkt er personopplysninger materialer for å gjøre forretninger. Følgelig gjør selskaper en enorm innsats og bruker betydelige penger på å innhente og behandle personopplysninger. Undersøkelser utført i 2018 viser at brukere, som forstår verdien av deres personlige data, i økende grad er misfornøyd med hvordan selskaper behandler deres personopplysninger.
Regulering i segmentet for bruk av brukerdata har ennå ikke tatt form og henger etter utviklingen av teknologi, ikke bare i Russland, men over hele verden, derfor er interessebalansen til forbrukere og selskaper i "penger - tjeneste - data - penger»-modellen bygges i dag både av regulatorer og av stilltiende avtaler mellom samfunn og bedrifter. Regulatorer begrenser mulighetene til IT-selskaper og utvider brukernes rettigheter: introduserer nye lover som gir brukerne mer kontroll over informasjonen de gir.
Det er interessant å sammenligne tilnærmingene til regulatorer i europeiske land og Russland. I Russland er hovedregelverket for håndtering av personopplysninger den føderale loven om beskyttelse av personopplysninger (152-FZ) pluss koden for administrative lovbrudd, som direkte fastsetter det spesifikke bøtebeløpet for brudd på prosedyren for håndtering av personopplysninger . Administrative bøter har økt betydelig siden 1. juli 2017. Samtidig ble det fastsatt nye bøter avhengig av hva slags lovbrudd som er begått. Dermed kan tjenestemenn bøtelegges i mengden 3000 20 til 000 5000 rubler, individuelle gründere - i mengden 20 000 til 15 000 rubler, organisasjoner - i mengden 75 000 til 19.7 30 rubler. Dessuten kan de stilles til ansvar for ulike lovbrudd. Følgelig kan ett selskap ilegges flere ulike bøter for ulike overtredelser. Men ansvar gis spesifikt for manglende overholdelse av formelle krav, for eksempel hvis nødvendige papirer mangler. Dette er ikke alltid direkte relatert til reell informasjonsbeskyttelse. For eksempel er en lekkasje i seg selv ikke grunnlag for straff med mindre andre lover brytes. Interessant nok inneholder et betydelig antall identifiserte brudd innen håndtering av personopplysninger innholdet gitt i artikkel 50 i den russiske føderasjonens kode for administrative lovbrudd: "Unnlatelse av å sende inn eller utidig innsending til et statlig organ (Roskomnadzor) - informasjon (informasjon), hvis fremleggelse er fastsatt ved lov og er nødvendig for gjennomføringen av dette organet hans juridiske virksomhet ..." Det er interessant at det gis mye større ansvar ikke for brudd på prosedyren for håndtering av personopplysninger (som angitt ovenfor, dette er i gjennomsnitt 200.000-XNUMX tusen rubler), men spesielt for unnlatelse av å gi (forsinkelse, ufullstendig innsending) informasjon om prosedyre for håndtering av personopplysninger i Roskomnadzor er underlagt en bot på opptil XNUMX XNUMX rubler. De. i russisk lovgivning og i praktiseringen av dens anvendelse er den rådende trenden "hovedsaken er at drakten passer" og statens behov tilfredsstilles. myndigheter i ulike rapporter. Brukernes reelle rettigheter og sikkerheten til deres personlige data på Internett er dårlig beskyttet. Samme bøter korrelerer ikke på noen måte med mengden fordeler enkelte selskaper mottar når de bryter håndteringen av personopplysninger på Internett, og oppfordrer ikke til etterlevelse av disse reglene.
I EU er bildet noe annerledes. Siden mai 2018 er arbeid med personopplysninger i Europa regulert av reglene for behandling av personopplysninger fastsatt av den generelle databeskyttelsesforordningen (EU-forordning 2016/679 datert 27. april 2016 eller GDPR – General Data Protection Regulation). Forordningen har direkte virkning i alle 28 EU-land. Forordningen gir EU-innbyggere full kontroll over sine personopplysninger. Under GDPR har EU-borgere og innbyggere svært vide rettigheter til å kontrollere personopplysningene sine. Europeiske brukere har rett til å be om bekreftelse på at opplysningene deres blir behandlet, stedet og formålet med behandlingen, kategoriene av personopplysninger som behandles, til hvilke tredjeparter personopplysningene blir utlevert, i hvilken periode opplysningene vil bli behandlet, samt klargjøre kilden til organisasjonens mottak av personopplysningene og be om korrigering av dem. Dessuten har brukeren rett til å kreve at behandlingen av hans data stanses.
Siden mai 2018, ansvar i form av bøter for brudd på reglene for behandling av personopplysninger: i henhold til GDPR når boten 20 millioner euro (omtrent 1,5 milliarder rubler) eller 4% av selskapets årlige globale inntekter.
Det viktigste er at alt dette fungerer, selskaper som bryter brukerrettigheter blir holdt ansvarlige og svært alvorlig. Den 21. januar 2019 bestemte den franske nasjonale kommisjonen for informatikk og sivile rettigheter (CNIL) for eksempel å bøtelegge det amerikanske selskapet GOOGLE LLC med 50 millioner euro for brudd på GDPR. Botebeløpet er svært stort. Dette viser tydelig risikoen for manglende overholdelse av GDPR-krav. Hva ble du straffet for? Den franske kommisjonen fastslo at under den første konfigurasjonen av en mobilenhet som kjører Android (Google) operativsystem, mottar ikke brukeren full informasjon om hva Google gjør med hans personlige data. Selskapet oppfylte ikke sine forpliktelser til å sikre åpenhet i behandlingen av personopplysninger og informere subjekter (artikkel 12 og 13 GDPR). Lagringsperiodene for brukerdata er ikke strengt regulert. Selskapet hadde ikke nødvendig rettslig grunnlag for databehandlingen som ble utført (artikkel 6 GDPR). Google ble også anklaget for feilaktig innhenting av brukersamtykke til å behandle dataene deres for å tilpasse annonsering.
Andre eksempler: en bot fra den tyske regulatoren LfDI til dating chat-applikasjonen Knuddels - 20.000 300 euro, det portugisiske sykehuset Barreiro Hospital ble anklaget for feil håndtering av tilgang til kritiske personopplysninger (en bot på 100 20 euro) og brudd på sikkerheten og integriteten til data (ytterligere 17000000 tusen euro ). Britiske myndigheter har utstedt en advarsel til et kanadisk selskap som driver med analytisk forskning. Selskapet ble pålagt å slutte å behandle personopplysninger om innbyggere, ellers risikerer det en bot på 5280 millioner euro. Det kanadiske selskapet for digital markedsføring og programvareutvikling AggregateIQ ble bøtelagt XNUMX XNUMX XNUMX pund. En kafé i Østerrike ble bøtelagt med XNUMX euro for ulovlig videoovervåking (kameraet fanget en del av fortauet). De. enhver organisasjon som er underlagt GDPR bør ikke begrenses, i henhold til nasjonal tradisjon, kun til utvikling av regulatorisk dokumentasjon.
Forresten, det særegne ved GDPR er at den gjelder for alle selskaper som behandler personopplysninger om EU-innbyggere og -borgere, uavhengig av hvor et slikt selskap befinner seg, så russiske selskaper bør nøye vurdere denne forordningen hvis tjenestene deres er fokusert på det europeiske marked
Kilde: www.habr.com