Porovnanie prístupov a praktík ochrany osobných údajov v Rusku a EÚ
V skutočnosti pri akejkoľvek akcii používateľa na internete dochádza k určitej forme manipulácie s osobnými údajmi používateľa.
Za mnohé služby, ktoré dostávame na internete, neplatíme: za vyhľadávanie informácií, za e-mail, za ukladanie údajov do cloudu, za komunikáciu na sociálnych sieťach atď. Tieto služby sú však bezplatné len podmienečne: platíme pre nich s našimi údajmi, ktoré potom tieto spoločnosti premieňajú na peniaze najmä prostredníctvom reklamy.
Aktuálne údaje o pohlaví, veku a mieste bydliska, histórii vyhľadávania -
základ pre online reklamný priemysel v hodnote miliárd dolárov a eur. To znamená, že z právneho hľadiska sú osobné údaje materiálmi na podnikanie. Spoločnosti preto vynakladajú obrovské úsilie a vynakladajú nemalé peniaze na získavanie a spracovanie osobných údajov. Prieskumy uskutočnené v roku 2018 ukazujú, že používatelia, ktorí chápu hodnotu svojich osobných údajov, sú čoraz viac nespokojní s tým, ako spoločnosti zaobchádzajú s ich osobnými údajmi.
Regulácia v segmente používania užívateľských údajov ešte nenadobudla formu a zaostáva za vývojom technológie nielen v Rusku, ale na celom svete, preto je rovnováha záujmov spotrebiteľov a spoločností v oblasti „peniaze - služba - údaje - „Model peňazí“ dnes vytvárajú regulačné orgány, ako aj tiché dohody medzi spoločnosťou a spoločnosťami. Regulačné orgány obmedzujú možnosti IT spoločností a rozširujú práva používateľov: zavádzajú nové zákony, ktoré používateľom poskytujú väčšiu kontrolu nad informáciami, ktoré poskytujú.
Zaujímavé je porovnanie prístupov regulátorov v európskych krajinách a Rusku. V Rusku sú hlavnými predpismi upravujúcimi nakladanie s osobnými údajmi federálny zákon o ochrane osobných údajov (152-FZ) plus zákon o správnych deliktoch, ktorý priamo stanovuje konkrétnu výšku pokút za porušenie postupu pri nakladaní s osobnými údajmi. . Správne pokuty sa od 1. júla 2017 výrazne zvýšili. Zároveň boli stanovené nové pokuty v závislosti od druhu spáchaného priestupku. Úradníkom teda možno uložiť pokutu vo výške 3000 20 až 000 5000 rubľov, individuálnym podnikateľom - vo výške 20 000 až 15 000 rubľov, organizáciám - vo výške 75 000 až 19.7 30 rubľov. Okrem toho môžu byť braní na zodpovednosť za rôzne trestné činy. V súlade s tým môže byť jednej spoločnosti uložených niekoľko rôznych pokút za rôzne porušenia. Zodpovednosť sa však poskytuje špeciálne za nedodržanie formálnych požiadaviek, napríklad ak chýbajú potrebné doklady. Nie vždy to priamo súvisí so skutočnou ochranou informácií. Napríklad únik sám o sebe nie je dôvodom na sankcie, pokiaľ nie sú porušené iné zákony. Je zaujímavé, že značný počet zistených porušení v oblasti nakladania s osobnými údajmi obsahuje obsah uvedený v článku 50 Kódexu správnych deliktov Ruskej federácie: „Nepredloženie alebo predčasné podanie štátnemu orgánu (Roskomnadzor) - informácie (informácie), ktorých predkladanie ustanovuje zákon a je nevyhnutné na vykonávanie tohto orgánu jeho právnej činnosti...“ Je zaujímavé, že oveľa väčšia zodpovednosť sa poskytuje nie za porušenie postupu nakladania s osobnými údajmi (ako je uvedené vyššie, v priemere ide o 200.000 - XNUMX XNUMX rubľov), ale konkrétne za neposkytnutie (oneskorené, neúplné podanie) informácií o postup nakladania s osobnými údajmi v Roskomnadzor podlieha pokute až do XNUMX XNUMX rubľov. Tie. V ruskej legislatíve a v praxi jej uplatňovania prevláda trend „hlavná vec je, aby oblek sedel“ a aby boli uspokojené potreby štátu. orgány v rôznych správach. Skutočné práva používateľov a bezpečnosť ich osobných údajov na internete sú nedostatočne chránené. Rovnaká výška pokút nijako nekoreluje s výškou výhod, ktoré dostávajú niektoré spoločnosti, keď porušia nakladanie s osobnými údajmi na internete, a nenabáda k dodržiavaniu týchto pravidiel.
V EÚ je situácia trochu odlišná. Od mája 2018 sa v Európe na prácu s osobnými údajmi vzťahujú pravidlá spracovania osobných údajov ustanovené všeobecným nariadením o ochrane údajov (Nariadenie EÚ 2016/679 zo dňa 27. apríla 2016 alebo GDPR - Všeobecné nariadenie o ochrane osobných údajov). Nariadenie má priamy účinok vo všetkých 28 krajinách EÚ. Nariadenie dáva obyvateľom EÚ plnú kontrolu nad ich osobnými údajmi. Podľa GDPR majú občania a obyvatelia EÚ veľmi široké práva na kontrolu svojich osobných údajov. Európski používatelia majú právo požadovať potvrdenie o skutočnosti, že sa ich údaje spracúvajú, o mieste a účele spracúvania, o kategóriách spracúvaných osobných údajov, ktorým tretím stranám sa osobné údaje sprístupňujú, o dobe, počas ktorej údaje budú spracované, ako aj objasniť zdroj, z ktorého organizácia osobné údaje prijíma, a požiadať o ich opravu. Okrem toho má užívateľ právo požadovať zastavenie spracovania jeho údajov.
Od mája 2018 zodpovednosť vo forme pokút za porušenie pravidiel spracovania osobných údajov: podľa GDPR pokuta dosahuje 20 miliónov eur (približne 1,5 miliardy rubľov) alebo 4 % ročných globálnych príjmov spoločnosti.
Najdôležitejšie je, že toto všetko funguje, spoločnosti porušujúce užívateľské práva sú brané na zodpovednosť a veľmi vážne. Napríklad francúzska Národná komisia pre informatiku a občianske práva (CNIL) sa 21. januára 2019 rozhodla udeliť americkej spoločnosti GOOGLE LLC pokutu 50 miliónov eur za porušenie GDPR. Výška pokuty je veľmi vysoká. To jasne ukazuje riziká nesúladu s požiadavkami GDPR. Za čo si bol potrestaný? Francúzska komisia zistila, že počas počiatočnej konfigurácie mobilného zariadenia s operačným systémom Android (Google) používateľ nedostáva úplné informácie o tom, čo Google robí s jeho osobnými údajmi. Spoločnosť si nesplnila svoje povinnosti zabezpečiť transparentnosť pri spracúvaní osobných údajov a informovať subjekty (články 12 a 13 GDPR). Doby uchovávania používateľských údajov nie sú prísne regulované. Spoločnosť nemala potrebný právny základ na uskutočnené spracovanie údajov (článok 6 GDPR). Google bol tiež obvinený z nesprávneho získania súhlasu používateľov so spracovaním ich údajov na prispôsobenie reklamy.
Ďalšie príklady: pokuta od nemeckého regulátora LfDI pre zoznamovaciu chatovaciu aplikáciu Knuddels - 20.000 300 eur, portugalská nemocnica Barreiro Hospital bola obvinená z nesprávneho riadenia prístupu ku kritickým osobným údajom (pokuta 100 tisíc eur) a porušenia bezpečnosti a integrity údajov (ďalších 20-tisíc eur ). Britské úrady vydali varovanie kanadskej spoločnosti, ktorá sa zaoberá analytickým výskumom. Firme bolo nariadené prestať spracúvať osobné údaje občanov, inak jej hrozí pokuta 17000000 miliónov eur. Kanadská spoločnosť AggregateIQ v oblasti digitálneho marketingu a vývoja softvéru dostala pokutu 5280 XNUMX XNUMX libier. Kaviareň v Rakúsku dostala pokutu XNUMX XNUMX eur za nelegálne video sledovanie (kamera zachytila časť chodníka). Tie. každá organizácia, ktorá podlieha GDPR, by sa podľa domácej tradície nemala obmedzovať len na vypracovanie regulačnej dokumentácie.
Mimochodom, zvláštnosťou GDPR je, že sa vzťahuje na všetky spoločnosti spracúvajúce osobné údaje obyvateľov a občanov EÚ bez ohľadu na to, kde sa takáto spoločnosť nachádza, preto by ruské spoločnosti mali toto nariadenie dôkladne zvážiť, ak sú ich služby zamerané na európsku trhu
Zdroj: hab.com