Porównanie podejść i praktyk w zakresie ochrony danych osobowych w Rosji i UE
W rzeczywistości każda czynność wykonywana przez użytkownika w Internecie wiąże się z jakąś formą manipulacji danymi osobowymi użytkownika.
Nie płacimy za wiele usług, które otrzymujemy w Internecie: za wyszukiwanie informacji, za pocztę e-mail, za przechowywanie naszych danych w chmurze, za komunikację w sieciach społecznościowych itp. Usługi te są jednak bezpłatne tylko warunkowo: płacimy dla nich naszymi danymi, które te firmy następnie zamieniają na pieniądze, głównie poprzez reklamy.
Obecnie dane dotyczące płci, wieku i miejsca zamieszkania, historii wyszukiwania -
podstawą branży reklamy internetowej wartej miliardy dolarów i euro. Oznacza to, że z prawnego punktu widzenia dane osobowe są materiałem do prowadzenia działalności gospodarczej. W związku z tym firmy podejmują ogromne wysiłki i wydają znaczne pieniądze na pozyskiwanie i przetwarzanie danych osobowych. Z badań przeprowadzonych w 2018 roku wynika, że użytkownicy, rozumiejąc wartość swoich danych osobowych, są coraz bardziej niezadowoleni ze sposobu, w jaki firmy traktują ich dane osobowe.
Regulacje w segmencie wykorzystania danych użytkowników nie nabrały jeszcze kształtu i pozostają w tyle za rozwojem technologii nie tylko w Rosji, ale na całym świecie, dlatego równowaga interesów konsumentów i firm w „pieniądze - usługi - dane Model pieniądza jest dziś budowany zarówno przez Organy Regulacyjne, jak i na podstawie milczących porozumień pomiędzy społeczeństwem a firmami. Organy regulacyjne ograniczają możliwości firm informatycznych i rozszerzają prawa użytkowników: wprowadzają nowe przepisy, które dają użytkownikom większą kontrolę nad udostępnianymi przez nich informacjami.
Interesujące jest porównanie podejścia organów regulacyjnych w krajach europejskich i Rosji. W Rosji głównymi przepisami regulującymi przetwarzanie danych osobowych są federalna ustawa o ochronie danych osobowych (152-FZ) oraz Kodeks wykroczeń administracyjnych, który bezpośrednio określa konkretną wysokość kar za naruszenie procedury przetwarzania danych osobowych . Od 1 lipca 2017 r. znacząco wzrosły kary administracyjne. Jednocześnie wprowadzono nowe kary pieniężne w zależności od rodzaju popełnionego wykroczenia. Zatem urzędnicy mogą zostać ukarani grzywną w wysokości od 3000 20 do 000 5000 rubli, indywidualni przedsiębiorcy - w wysokości od 20 000 do 15 000 rubli, organizacje - w wysokości od 75 000 do 19.7 30 rubli. Co więcej, mogą zostać pociągnięci do odpowiedzialności za różne przestępstwa. W związku z tym na jedną firmę może zostać nałożona kilka różnych kar finansowych za różne naruszenia. Odpowiedzialność jest jednak przewidziana konkretnie za niedopełnienie wymogów formalnych, na przykład w przypadku braku niezbędnych dokumentów. Nie zawsze ma to bezpośredni związek z rzeczywistą ochroną informacji. Na przykład wyciek sam w sobie nie stanowi podstawy do nałożenia kar, chyba że naruszone zostaną inne przepisy. Co ciekawe, znaczna liczba zidentyfikowanych naruszeń w zakresie przetwarzania danych osobowych zawiera treść przewidzianą w art. 50 ust. 200.000 Kodeksu wykroczeń administracyjnych Federacji Rosyjskiej: „Niezłożenie lub nieterminowe przekazanie organowi państwowemu (Roskomnadzor) – informacja (informacja), której złożenie jest przewidziane ustawą i jest niezbędne do realizacji przez ten organ jego czynności prawnych…” Co ciekawe, znacznie większa odpowiedzialność przewiduje się nie za naruszenie procedury przetwarzania danych osobowych (jak wskazano powyżej, jest to średnio XNUMX-XNUMX tysięcy rubli), ale konkretnie za nieprzekazanie (opóźnienie, niekompletne przesłanie) informacji o procedura przetwarzania danych osobowych w Roskomnadzorze podlega karze grzywny do XNUMX XNUMX rubli. Te. w rosyjskim ustawodawstwie i praktyce jego stosowania dominuje trend, że „najważniejsze, żeby garnitur pasował” i zaspokojone były potrzeby państwa. władze w różnych raportach. Rzeczywiste prawa użytkowników i bezpieczeństwo ich danych osobowych w Internecie są słabo chronione. Taka sama wysokość kar nie ma żadnego związku z wysokością świadczeń uzyskiwanych przez niektóre firmy w przypadku naruszenia zasad postępowania z danymi osobowymi w Internecie i nie zachęca do przestrzegania tych zasad.
W UE obraz jest nieco inny. Od maja 2018 roku w Europie pracę z danymi osobowymi regulują zasady przetwarzania danych osobowych określone w ogólnym rozporządzeniu o ochronie danych (Rozporządzenie UE 2016/679 z dnia 27 kwietnia 2016 r. lub RODO – Ogólne rozporządzenie o ochronie danych). Rozporządzenie ma bezpośredni skutek we wszystkich 28 krajach UE. Rozporządzenie daje mieszkańcom UE pełną kontrolę nad ich danymi osobowymi. Zgodnie z RODO obywatele i mieszkańcy UE mają bardzo szerokie prawa do kontroli swoich danych osobowych. Użytkownicy europejscy mają prawo żądać potwierdzenia faktu, że ich dane są przetwarzane, miejsca i celu przetwarzania, kategorii przetwarzanych danych osobowych, osobom trzecim, którym dane osobowe są ujawniane, okresu, przez który dane będą przetwarzane, a także wyjaśnienia źródła otrzymania przez organizację danych osobowych i żądania ich poprawienia. Ponadto użytkownik ma prawo żądać zaprzestania przetwarzania jego danych.
Od maja 2018 r. odpowiedzialność w formie kar pieniężnych za naruszenie zasad przetwarzania danych osobowych: zgodnie z RODO kara sięga 20 mln euro (ok. 1,5 mld rubli), czyli 4% rocznych światowych przychodów firmy.
Najważniejsze, że to wszystko zadziałało, firmy łamiące prawa użytkowników zostaną pociągnięte do odpowiedzialności i to bardzo poważnie. Przykładowo 21 stycznia 2019 roku francuska Krajowa Komisja ds. Informatyki i Praw Obywatelskich (CNIL) podjęła decyzję o nałożeniu kary pieniężnej na amerykańską firmę GOOGLE LLC w wysokości 50 mln euro za naruszenie RODO. Wysokość kary jest bardzo duża. To wyraźnie pokazuje ryzyko braku zgodności z wymogami RODO. Za co zostałeś ukarany? Komisja francuska ustaliła, że podczas wstępnej konfiguracji urządzenia mobilnego z systemem operacyjnym Android (Google) użytkownik nie otrzymuje pełnej informacji o tym, co Google robi z jego danymi osobowymi. Spółka nie dopełniła obowiązków zapewnienia przejrzystości w przetwarzaniu danych osobowych i informowania podmiotów (art. 12 i 13 RODO). Okresy przechowywania danych użytkowników nie są ściśle regulowane. Spółka nie posiadała niezbędnej podstawy prawnej do prowadzonego przetwarzania danych (art. 6 RODO). Google został także oskarżony o nieprawidłowe pozyskiwanie zgody użytkowników na przetwarzanie ich danych w celu personalizacji reklam.
Inne przykłady: kara nałożona przez niemiecki organ regulacyjny LfDI na aplikację czatową za randkowanie z Knuddelsem – 20.000 300 euro; portugalski szpital Barreiro Hospital został oskarżony o niewłaściwe zarządzanie dostępem do kluczowych danych osobowych (kara 100 tys. euro) oraz naruszenie bezpieczeństwa i integralności danych osobowych danych (kolejne 20 tys. euro). Władze Wielkiej Brytanii wydały ostrzeżenie dla kanadyjskiej firmy zajmującej się badaniami analitycznymi. Firmie nakazano zaprzestać przetwarzania danych osobowych obywateli, pod groźbą kary w wysokości 17000000 mln euro. Kanadyjska firma zajmująca się marketingiem cyfrowym i tworzeniem oprogramowania AggregateIQ została ukarana grzywną w wysokości 5280 XNUMX XNUMX funtów. Kawiarnia w Austrii została ukarana grzywną w wysokości XNUMX euro za nielegalny monitoring wideo (kamera uchwyciła część chodnika). Te. żadna organizacja podlegająca RODO nie powinna ograniczać się, zgodnie z rodzimą tradycją, jedynie do opracowywania dokumentacji regulacyjnej.
Nawiasem mówiąc, specyfiką RODO jest to, że ma ono zastosowanie do wszystkich firm przetwarzających dane osobowe mieszkańców i obywateli UE, niezależnie od lokalizacji takiej firmy, dlatego rosyjskie firmy powinny dokładnie rozważyć to rozporządzenie, jeśli ich usługi koncentrują się na Europie rynek
Źródło: www.habr.com