Krahasimi i qasjeve dhe praktikave për mbrojtjen e të dhënave personale në Rusi dhe BE
Në fakt, me çdo veprim të kryer nga një përdorues në internet, ndodh një formë e manipulimit të të dhënave personale të përdoruesit.
Ne nuk paguajmë për shumë nga shërbimet që marrim në internet: për kërkimin e informacionit, për emailin, për ruajtjen e të dhënave tona në cloud, për komunikimin në rrjetet sociale, etj. Megjithatë, këto shërbime janë vetëm me kusht falas: ne paguajmë për ta me të dhënat tona, të cilat këto kompani më pas i kthejnë në para, kryesisht nëpërmjet reklamave.
Aktualisht, të dhënat për gjininë, moshën dhe vendbanimin, historinë e kërkimit -
baza për një industri reklamimi online me vlerë miliarda dollarë dhe euro. Kjo do të thotë, nga pikëpamja ligjore, të dhënat personale janë materiale për të bërë biznes. Prandaj, kompanitë bëjnë përpjekje të mëdha dhe shpenzojnë para të konsiderueshme për të marrë dhe përpunuar të dhëna personale. Sondazhet e kryera në vitin 2018 tregojnë se përdoruesit, duke kuptuar vlerën e të dhënave të tyre personale, janë gjithnjë e më të pakënaqur me mënyrën se si kompanitë i trajtojnë të dhënat e tyre personale.
Rregullimi në segmentin e përdorimit të të dhënave të përdoruesve nuk ka marrë ende formë dhe mbetet prapa zhvillimit të teknologjisë jo vetëm në Rusi, por në të gjithë botën, prandaj, ekuilibri i interesave të konsumatorëve dhe kompanive në "para - shërbim - të dhëna Modeli - paraja po ndërtohet sot si nga Rregullatorët ashtu edhe nga marrëveshje të heshtura mes shoqërisë dhe kompanive. Rregullatorët po kufizojnë aftësitë e kompanive të IT-së dhe po zgjerojnë të drejtat e përdoruesve: duke futur ligje të reja që u japin përdoruesve më shumë kontroll mbi informacionin që ata ofrojnë.
Është interesante të krahasohen qasjet e rregullatorëve në vendet evropiane dhe Rusia. Në Rusi, rregulloret kryesore që rregullojnë trajtimin e të dhënave personale janë Ligji Federal për Mbrojtjen e të Dhënave Personale (152-FZ) plus Kodin e Kundërvajtjeve Administrative, i cili përcakton drejtpërdrejt shumën specifike të gjobave për shkeljen e procedurës për trajtimin e të dhënave personale. . Gjobat administrative janë rritur ndjeshëm që nga 1 korriku 2017. Në të njëjtën kohë, u vendosën gjoba të reja në varësi të llojit të kundërvajtjes së kryer. Kështu, zyrtarët mund të gjobiten në shumën prej 3000 deri në 20 rubla, sipërmarrësit individualë - në shumën prej 000 deri në 5000 rubla, organizatat - në shumën prej 20 deri në 000 rubla. Për më tepër, ata mund të mbahen përgjegjës për vepra të ndryshme. Prandaj, një kompani mund t'i nënshtrohet disa gjobave të ndryshme për shkelje të ndryshme. Por përgjegjësia sigurohet posaçërisht për mospërputhje me kërkesat formale, për shembull, nëse mungojnë dokumentet e nevojshme. Kjo nuk lidhet gjithmonë drejtpërdrejt me mbrojtjen reale të informacionit. Për shembull, një rrjedhje në vetvete nuk është arsye për ndëshkime, përveç nëse shkelen ligje të tjera. Është interesante se një numër i konsiderueshëm i shkeljeve të identifikuara në fushën e trajtimit të të dhënave personale përmbajnë përmbajtjen e parashikuar në nenin 15 të Kodit të Kundërvajtjeve Administrative të Federatës Ruse: "Dështimi ose dorëzimi i parakohshëm në një organ shtetëror (Roskomnadzor) - informacion (informacion), dorëzimi i të cilave parashikohet me ligj dhe është i nevojshëm për zbatimin e këtij organi veprimtaritë e tij ligjore...” Është interesante që një përgjegjësi shumë më e madhe parashikohet jo për shkeljen e procedurës për trajtimin e të dhënave personale (siç tregohet më lart, kjo është mesatarisht 000-75 mijë rubla), por veçanërisht për dështimin e dhënies (vonesa, dorëzimi i paplotë) informacioni në lidhje me procedura për trajtimin e të dhënave personale në Roskomnadzor dënohet me gjobë deri në 000 rubla. ato. në legjislacionin rus dhe në praktikën e zbatimit të tij, tendenca mbizotëruese është "gjëja kryesore është që kostumi të përshtatet" dhe nevojat e shtetit janë të kënaqura. autoritetet në raporte të ndryshme. Të drejtat reale të përdoruesve dhe siguria e të dhënave të tyre personale në internet mbrohen dobët. E njëjta sasi gjobash nuk lidhet në asnjë mënyrë me shumën e përfitimeve të marra nga disa kompani kur shkelin trajtimin e të dhënave personale në internet dhe nuk inkurajon respektimin e këtyre rregullave.
Në BE, tabloja është disi e ndryshme. Që nga maji 2018, në Evropë, puna me të dhënat personale rregullohet nga rregullat për përpunimin e të dhënave personale të përcaktuara nga Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave (Rregullorja e BE-së 2016/679 datë 27 Prill 2016 ose GDPR - Rregullorja e Përgjithshme për Mbrojtjen e të Dhënave). Rregullorja ka efekt të drejtpërdrejtë në të 28 vendet e BE-së. Rregullorja u jep banorëve të BE-së kontroll të plotë mbi të dhënat e tyre personale. Sipas GDPR, qytetarët dhe banorët e BE-së kanë të drejta shumë të gjera për të kontrolluar të dhënat e tyre personale. Përdoruesit evropianë kanë të drejtë të kërkojnë konfirmimin e faktit që të dhënat e tyre po përpunohen, vendin dhe qëllimin e përpunimit, kategoritë e të dhënave personale që përpunohen, palëve të treta u zbulohen të dhënat personale, periudhën gjatë së cilës të dhënat do të përpunohen, si dhe do të sqarojë burimin e marrjes së të dhënave personale nga organizata dhe do të kërkojë korrigjimin e tyre. Për më tepër, përdoruesi ka të drejtë të kërkojë ndalimin e përpunimit të të dhënave të tij.
Që nga maji 2018, detyrimi në formën e gjobave për shkeljen e rregullave për përpunimin e të dhënave personale: sipas GDPR, gjoba arrin në 20 milion euro (rreth 1,5 miliardë rubla) ose 4% të të ardhurave vjetore globale të kompanisë.
Gjëja më e rëndësishme është që e gjithë kjo funksionon, kompanitë që shkelin të drejtat e përdoruesve janë përgjegjëse dhe shumë seriozisht. Për shembull, më 21 janar 2019, Komisioni Kombëtar Francez për Informatikën dhe të Drejtat Civile (CNIL) vendosi të gjobisë kompaninë amerikane GOOGLE LLC me 50 milionë euro për shkelje të GDPR. Shuma e gjobës është shumë e madhe. Kjo tregon qartë rreziqet e mospërputhjes me kërkesat e GDPR. Për çfarë u ndëshkuat? Komisioni Francez përcaktoi se gjatë konfigurimit fillestar të një pajisjeje celulare me sistemin operativ Android (Google), përdoruesi nuk merr informacion të plotë për atë që Google po bën me të dhënat e tij personale. Kompania nuk ka përmbushur detyrimet e saj për të garantuar transparencë në përpunimin e të dhënave personale dhe informimin e subjekteve (nenet 12 dhe 13 GDPR). Periudhat e ruajtjes për të dhënat e përdoruesit nuk janë të rregulluara rreptësisht. Kompania nuk kishte bazën e nevojshme ligjore për përpunimin e të dhënave të kryera (neni 6 GDPR). Google u akuzua gjithashtu për marrjen e pahijshme të pëlqimit të përdoruesit për të përpunuar të dhënat e tyre për të personalizuar reklamat.
Shembuj të tjerë: një gjobë nga rregullatori gjerman LfDI për aplikacionin e bisedës për takimin me Knuddels - 20.000 euro; spitali portugez Barreiro Hospital u akuzua për menaxhim të pahijshëm të aksesit në të dhënat kritike personale (gjobë prej 300 mijë euro) dhe shkelje të sigurisë dhe integritetit të të dhëna (100 mijë euro të tjera). Autoritetet e Mbretërisë së Bashkuar kanë lëshuar një paralajmërim për një kompani kanadeze të angazhuar në kërkime analitike. Kompania është urdhëruar të ndalojë përpunimin e të dhënave personale të qytetarëve, në të kundërt gjobitet me 20 milionë euro. Kompania kanadeze e marketingut dixhital dhe zhvillimit të softuerit AggregateIQ u gjobit me 17000000 £. Një kafene në Austri është gjobitur me 5280 euro për video vëzhgim të paligjshëm (kamera ka kapur një pjesë të trotuarit). ato. çdo organizatë që i nënshtrohet GDPR nuk duhet të kufizohet, sipas traditës vendase, vetëm në zhvillimin e dokumentacionit rregullator.
Nga rruga, veçantia e GDPR është se ai zbatohet për të gjitha kompanitë që përpunojnë të dhëna personale të banorëve dhe qytetarëve të BE-së, pavarësisht nga vendndodhja e një kompanie të tillë, kështu që kompanitë ruse duhet ta konsiderojnë me kujdes këtë rregullore nëse shërbimet e tyre përqendrohen në tregun europian
Burimi: www.habr.com