Comparația abordărilor și practicilor pentru protejarea datelor cu caracter personal în Rusia și UE
De fapt, cu orice acțiune efectuată de un utilizator pe Internet, are loc o formă de manipulare a datelor personale ale utilizatorului.
Nu plătim pentru multe dintre serviciile pe care le primim pe Internet: pentru căutarea de informații, pentru e-mail, pentru stocarea datelor noastre în cloud, pentru comunicarea pe rețelele sociale etc. Cu toate acestea, aceste servicii sunt gratuite doar condiționat: plătim pentru ei cu datele noastre, pe care aceste companii le transformă apoi în bani, în principal prin publicitate.
În prezent, date privind sexul, vârsta și locul de reședință, istoricul căutărilor -
baza pentru o industrie de publicitate online în valoare de miliarde de dolari și euro. Adică, din punct de vedere legal, datele personale sunt materiale pentru a face afaceri. În consecință, companiile depun eforturi enorme și cheltuiesc bani considerabili pentru a obține și prelucra date cu caracter personal. Sondajele efectuate în 2018 arată că utilizatorii, înțelegând valoarea datelor lor personale, sunt din ce în ce mai nemulțumiți de modul în care companiile își tratează datele personale.
Reglementarea în segmentul de utilizare a datelor utilizatorilor nu a luat contur încă și rămâne în urmă cu dezvoltarea tehnologiei nu numai în Rusia, ci în întreaga lume, prin urmare, echilibrul intereselor consumatorilor și companiilor în „bani - serviciu - date - modelul banilor” este construit astăzi atât de către Autorități de reglementare, cât și prin acorduri tacite între societate și companii. Autoritățile de reglementare limitează capacitățile companiilor IT și extind drepturile utilizatorilor: introduc noi legi care oferă utilizatorilor mai mult control asupra informațiilor pe care le furnizează.
Este interesant să comparăm abordările autorităților de reglementare din țările europene și din Rusia. În Rusia, principalele reglementări care reglementează tratarea datelor cu caracter personal sunt Legea federală privind protecția datelor cu caracter personal (152-FZ) plus Codul contravențiilor administrative, care stabilește direct cuantumul specific al amenzilor pentru încălcarea procedurii de prelucrare a datelor cu caracter personal. . Amenzile administrative au crescut semnificativ de la 1 iulie 2017. Totodată, au fost stabilite noi amenzi în funcție de tipul de infracțiune comisă. Astfel, funcționarii pot fi amendați în valoare de 3000 până la 20 de ruble, întreprinzătorii individuali - în valoare de 000 până la 5000 de ruble, organizațiile - în valoare de 20 până la 000 de ruble. În plus, aceștia pot fi trași la răspundere pentru diverse infracțiuni. În consecință, o companie poate fi supusă mai multor amenzi diferite pentru diferite încălcări. Dar răspunderea este prevăzută în mod special pentru nerespectarea cerințelor formale, de exemplu, dacă lipsesc documentele necesare. Acest lucru nu este întotdeauna direct legat de protecția reală a informațiilor. De exemplu, o scurgere în sine nu este motiv pentru penalități decât dacă sunt încălcate alte legi. Interesant, un număr semnificativ de încălcări identificate în domeniul manipulării datelor cu caracter personal conțin conținutul prevăzut la articolul 15 din Codul de infracțiuni administrative al Federației Ruse: „Neprezentarea sau transmiterea în timp util la un organism de stat (Roskomnadzor) - informații (informații), a cărei depunere este prevăzută de lege și este necesară pentru realizarea activității sale juridice de către acest organ...” Este interesant că este prevăzută o răspundere mult mai mare nu pentru încălcarea procedurii de prelucrare a datelor cu caracter personal (după cum s-a indicat mai sus, aceasta este în medie 000-75 mii de ruble), ci în special pentru nefurnizarea (întârziere, transmitere incompletă) a informațiilor despre procedura de prelucrare a datelor cu caracter personal în Roskomnadzor este supusă unei amenzi de până la 000 de ruble. Acestea. în legislația rusă și în practica aplicării acesteia, tendința predominantă este „principalul este că costumul se potrivește” și nevoile statului sunt satisfăcute. autorităților în diverse rapoarte. Drepturile reale ale utilizatorilor și securitatea datelor lor personale pe Internet sunt slab protejate. Același cuantum al amenzilor nu se corelează în niciun fel cu cuantumul beneficiilor primite de unele companii atunci când acestea încalcă manipularea datelor cu caracter personal pe Internet și nu încurajează respectarea acestor reguli.
În UE, imaginea este oarecum diferită. Din mai 2018, în Europa, lucrul cu date cu caracter personal este reglementat de regulile de prelucrare a datelor cu caracter personal stabilite prin Regulamentul general privind protecția datelor (Regulamentul UE 2016/679 din data de 27 aprilie 2016 sau GDPR - Regulamentul general privind protecția datelor). Regulamentul are efect direct în toate cele 28 de țări ale UE. Regulamentul oferă rezidenților UE control deplin asupra datelor lor personale. Conform GDPR, cetățenii și rezidenții UE au drepturi foarte largi de a-și controla datele personale. Utilizatorii europeni au dreptul de a cere confirmarea faptului că datele lor sunt în curs de prelucrare, a locului și a scopului prelucrării, a categoriilor de date cu caracter personal care se prelucrează, cărora terților le sunt dezvăluite datele cu caracter personal, a perioadei în care datele cu caracter personal sunt dezvăluite. vor fi prelucrate, precum și clarificarea sursei primirii de către organizație a datelor cu caracter personal și solicitarea corectării acestora. În plus, utilizatorul are dreptul de a cere oprirea prelucrării datelor sale.
Din mai 2018, răspunderea sub formă de amenzi pentru încălcarea regulilor de prelucrare a datelor cu caracter personal: conform GDPR, amenda ajunge la 20 de milioane de euro (aproximativ 1,5 miliarde de ruble) sau 4% din veniturile globale anuale ale companiei.
Cel mai important lucru este că toate acestea funcționează, companiile care încalcă drepturile utilizatorului sunt trase la răspundere și foarte serios. De exemplu, pe 21 ianuarie 2019, Comisia Națională Franceză pentru Informatică și Drepturi Civile (CNIL) a decis să amendeze compania americană GOOGLE LLC cu 50 de milioane de euro pentru încălcarea GDPR. Cuantumul amenzii este foarte mare. Acest lucru arată clar riscurile nerespectării cerințelor GDPR. Pentru ce ai fost pedepsit? Comisia franceză a stabilit că în timpul configurării inițiale a unui dispozitiv mobil care rulează sistemul de operare Android (Google), utilizatorul nu primește informații complete despre ce face Google cu datele sale personale. Compania nu și-a îndeplinit obligațiile de a asigura transparența în prelucrarea datelor cu caracter personal și de a informa subiecții (articolele 12 și 13 GDPR). Perioadele de stocare a datelor utilizatorului nu sunt strict reglementate. Compania nu a avut temeiul legal necesar pentru prelucrarea datelor efectuate (articolul 6 GDPR). De asemenea, Google a fost acuzat că a obținut în mod necorespunzător consimțământul utilizatorului pentru a le prelucra datele pentru a personaliza publicitatea.
Alte exemple: o amendă de la autoritatea germană de reglementare LfDI la aplicația de chat pentru întâlniri cu Knuddels - 20.000 de euro; spitalul portughez Spitalul Barreiro a fost acuzat de gestionarea necorespunzătoare a accesului la datele personale critice (amenda de 300 de mii de euro) și încălcarea securității și integrității date (alți 100 de mii de euro). Autoritățile britanice au emis un avertisment către o companie canadiană angajată în cercetări analitice. Compania a primit ordin să înceteze prelucrarea datelor cu caracter personal ale cetățenilor, în caz contrar riscând o amendă de 20 de milioane de euro. Compania canadiană de marketing digital și dezvoltare de software AggregateIQ a fost amendată cu 17000000 de lire sterline. O cafenea din Austria a fost amendată cu 5280 de euro pentru supraveghere video ilegală (camera a surprins o parte din trotuar). Acestea. orice organizație care face obiectul GDPR nu ar trebui să se limiteze, conform tradiției interne, doar la dezvoltarea documentației de reglementare.
Apropo, particularitatea GDPR este că se aplică tuturor companiilor care prelucrează date cu caracter personal ale rezidenților și cetățenilor UE, indiferent de locația unei astfel de companii, astfel încât companiile ruse ar trebui să ia în considerare cu atenție acest regulament dacă serviciile lor sunt concentrate pe piata europeana
Sursa: www.habr.com