JÀmförelse av tillvÀgagÄngssÀtt och praxis för personuppgiftsskydd i Ryssland och EU
Faktum Àr att varje handling som en anvÀndare utför pÄ internet innebÀr nÄgon form av manipulation av anvÀndarens personuppgifter.
Vi betalar inte för mÄnga av de tjÀnster vi fÄr pÄ internet: söka information, e-post, lagra vÄra data i molnet, kommunicera pÄ sociala nÀtverk etc. Dessa tjÀnster Àr dock bara villkorligt gratis: vi betalar för dem med vÄra data, som dessa företag sedan omvandlar till pengar, frÀmst genom reklam.
För nÀrvarande data om kön, Älder och bostadsort, sökhistorik -
grunden för en online-annonsindustri vÀrd miljarder dollar och euro. Det vill sÀga, ur juridisk synvinkel Àr personuppgifter material för att bedriva affÀrsverksamhet. Följaktligen gör företag enorma anstrÀngningar och spenderar avsevÀrda medel för att inhÀmta och behandla personuppgifter. Undersökningar som genomfördes 2018 visar att anvÀndare, som inser vÀrdet av sina personuppgifter, Àr alltmer missnöjda med hur företag hanterar deras personuppgifter.
Reglering inom segmentet för anvÀndning av anvÀndardata har Ànnu inte etablerats och ligger efter teknikutvecklingen inte bara i Ryssland utan Àven i hela vÀrlden. DÀrför byggs en balans mellan konsumenters och företags intressen i modellen "pengar - tjÀnst - data - pengar" idag bÄde av tillsynsmyndigheter och genom tysta avtal mellan samhÀllet och företag. Tillsynsmyndigheter begrÀnsar IT-företagens möjligheter och utökar anvÀndarnas rÀttigheter: de inför nya lagar som ger anvÀndarna mer kontroll över den information de tillhandahÄller.
Det Ă€r intressant att jĂ€mföra tillvĂ€gagĂ„ngssĂ€ttet hos tillsynsmyndigheter i europeiska lĂ€nder och Ryssland. I Ryssland Ă€r de viktigaste bestĂ€mmelserna som styr hanteringen av personuppgifter den federala lagen om skydd av personuppgifter (152-FZ) plus lagen om administrativa brott, som direkt faststĂ€ller det specifika bötesbeloppet för brott mot förfarandet för hantering av personuppgifter. Administrativa böter har ökat avsevĂ€rt sedan den 1 juli 2017. Samtidigt infördes nya böter beroende pĂ„ vilken typ av brott som begĂ„tts. SĂ„ledes kan tjĂ€nstemĂ€n bötfĂ€llas med 3000 20 till 000 5000 rubel, enskilda företagare - frĂ„n 20 000 till 15 000 rubel, organisationer - frĂ„n 75 000 till 19.7 30 rubel. Dessutom kan de hĂ„llas ansvariga för olika typer av brott. Följaktligen kan ett företag bli föremĂ„l för flera olika böter för olika övertrĂ€delser. Men ansvar finns för underlĂ„tenhet att uppfylla formella krav, till exempel om nödvĂ€ndiga dokument saknas. Detta Ă€r inte alltid direkt relaterat till faktiskt informationsskydd. Till exempel Ă€r en lĂ€cka i sig inte grund för straff om inte andra lagar bryts. Intressant nog innehĂ„ller ett betydande antal av de övertrĂ€delser som identifierats inom omrĂ„det hantering av personuppgifter den sammansĂ€ttning som anges i artikel 50 i Ryska federationens lag om administrativa brott: "UnderlĂ„tenhet att lĂ€mna eller för tidigt lĂ€mna in information (data) till en myndighet (Roskomnadzor), vars lĂ€mnande föreskrivs i lag och Ă€r nödvĂ€ndigt för att denna myndighet ska kunna utföra sin lagliga verksamhet..." Det Ă€r intressant att ett mycket högre straff föreskrivs inte för brott mot förfarandet för hantering av personuppgifter (som anges ovan Ă€r detta i genomsnitt 200.000-XNUMX tusen rubel), utan för underlĂ„tenhet att lĂ€mna (försening, ofullstĂ€ndig inlĂ€mning) av information om förfarandet för hantering av personuppgifter till Roskomnadzor utdöms böter pĂ„ upp till XNUMX XNUMX rubel. Dessa. I rysk lagstiftning och i praktiken av dess tillĂ€mpning Ă€r den rĂ„dande trenden att âdet viktigaste Ă€r att kostymen passarâ och att statens behov tillgodoses. organ i olika rapporter. AnvĂ€ndarnas verkliga rĂ€ttigheter och sĂ€kerheten för deras personuppgifter pĂ„ internet Ă€r dĂ„ligt skyddade. Samma bötesbelopp korrelerar inte pĂ„ nĂ„got sĂ€tt med hur mycket fördelar vissa företag fĂ„r av att bryta mot hanteringen av personuppgifter pĂ„ internet och uppmuntrar inte till efterlevnad av dessa regler.
Inom EU Àr bilden nÄgot annorlunda. Sedan maj 2018 regleras arbete med personuppgifter i Europa av reglerna för behandling av personuppgifter som faststÀllts i den allmÀnna dataskyddsförordningen (EU-förordning 2016/679 frÄn och med den 27 april 2016 eller GDPR - AllmÀnna dataskyddsförordningen). Förordningen har direkt effekt i alla 28 EU-lÀnder. Förordningen ger EU-invÄnare full kontroll över sina personuppgifter. Enligt GDPR har EU-medborgare och invÄnare mycket omfattande rÀttigheter att kontrollera sina personuppgifter. Europeiska anvÀndare har rÀtt att begÀra bekrÀftelse pÄ att deras uppgifter behandlas, platsen och syftet med behandlingen, de kategorier av personuppgifter som behandlas, till vilka tredje parter personuppgifterna lÀmnas ut, den period under vilken uppgifterna kommer att behandlas, samt att klargöra kÀllan till organisationens personuppgifter och begÀra att de korrigeras. Dessutom har anvÀndaren rÀtt att krÀva att behandlingen av hans/hennes uppgifter upphör.
Sedan maj 2018, ansvar i form av böter för brott mot reglerna för behandling av personuppgifter: enligt GDPR uppgÄr böterna till 20 miljoner euro (cirka 1,5 miljarder rubel) eller 4% av företagets Ärliga globala inkomst.
Det viktigaste Àr att allt detta fungerar: företag som bryter mot anvÀndarrÀttigheter hÄlls ansvariga, och med mycket allvarliga pÄföljder. Till exempel bötfÀllde den franska nationella kommissionen för informatik och medborgerliga rÀttigheter (CNIL) den 21 januari 2019 det amerikanska företaget GOOGLE LLC med 50 miljoner euro för brott mot GDPR. Böterna Àr mycket höga och visar tydligt konsekvenserna av att inte följa GDPR-kraven. Vad var straffet för? Den franska kommissionen faststÀllde att den initiala konfigurationen av en mobil enhet pÄ ett operativsystem... Android (Google) ger inte anvÀndarna fullstÀndig information om vad Google gör med deras personuppgifter. Företaget uppfyllde inte sina skyldigheter att sÀkerstÀlla transparens i behandlingen av personuppgifter och att informera registrerade (artiklarna 12 och 13 i GDPR). Lagringsperioderna för anvÀndardata var dÄligt reglerade. Företaget saknade den nödvÀndiga rÀttsliga grunden för sin databehandling (artikel 6 i GDPR). Google anklagades ocksÄ för att felaktigt ha inhÀmtat anvÀndarnas samtycke till att behandla deras uppgifter för personalisering av annonser.
Andra exempel: den tyska tillsynsmyndigheten LfDI bötfĂ€llde dejtingchattappen Knuddels med 20.000 300 euro, medan det portugisiska sjukhuset Barreiro Hospital anklagades för att ha hanterat Ă„tkomst till kĂ€nsliga personuppgifter pĂ„ ett felaktigt sĂ€tt (100 20 euro i böter) och brutit mot datasĂ€kerhet och integritet (ytterligare 17000000 5280 euro). Brittiska tillsynsmyndigheter har utfĂ€rdat en varning till ett kanadensiskt analysföretag. Företaget beordrades att sluta behandla medborgares personuppgifter, annars riskerar de böter pĂ„ XNUMX miljoner euro. Det kanadensiska företaget AggregateIQ, ett företag som erbjuder digital marknadsföring och mjukvara, har bötfĂ€llts med XNUMX miljoner pund. Ett kafĂ© i Ăsterrike fick böta XNUMX XNUMX euro för olaglig videoövervakning (kameran fĂ„ngade en del av trottoaren). Dessa. En organisation som omfattas av GDPR bör inte, i enlighet med nationell tradition, begrĂ€nsa sig till att endast utveckla regulatorisk dokumentation.
Förresten, det speciella med GDPR Àr att den gÀller alla företag som behandlar personuppgifter för EU-invÄnare och medborgare, oavsett var ett sÄdant företag Àr belÀget, sÄ ryska företag bör vara noga med att följa denna förordning om deras tjÀnster riktar sig till den europeiska marknaden.
KĂ€lla: will.com
