การเปรียบเทียบแนวทางและแนวปฏิบัติในการคุ้มครองข้อมูลส่วนบุคคลในรัสเซียและสหภาพยุโรป
ในความเป็นจริง การกระทำใดๆ ที่ผู้ใช้ดำเนินการบนอินเทอร์เน็ต ข้อมูลส่วนบุคคลของผู้ใช้จะถูกจัดการในรูปแบบใดรูปแบบหนึ่ง
เราไม่ได้จ่ายเงินสำหรับบริการหลายอย่างที่เราได้รับทางออนไลน์ เช่น การค้นหาข้อมูล อีเมล การจัดเก็บข้อมูลบนคลาวด์ การสื่อสารบนโซเชียลเน็ตเวิร์ก และอื่นๆ อย่างไรก็ตาม บริการเหล่านี้ให้บริการฟรีโดยมีเงื่อนไข คือ เราจ่ายเงินด้วยข้อมูลของเรา ซึ่งบริษัทเหล่านี้จะนำข้อมูลเหล่านั้นมาแปลงเป็นเงิน โดยส่วนใหญ่แล้วผ่านการโฆษณา
ปัจจุบันข้อมูลเพศ อายุ และสถานที่อยู่อาศัย ประวัติการค้นหา -
ข้อมูลส่วนบุคคลถือเป็นรากฐานของอุตสาหกรรมโฆษณาออนไลน์ ซึ่งมีมูลค่าหลายพันล้านดอลลาร์และยูโร ตามกฎหมายแล้ว ข้อมูลส่วนบุคคลถือเป็นทุนทางธุรกิจ ดังนั้น บริษัทต่างๆ จึงทุ่มความพยายามและทรัพยากรจำนวนมากในการแสวงหาและประมวลผลข้อมูลส่วนบุคคล ผลสำรวจที่จัดทำขึ้นในปี 2018 แสดงให้เห็นว่า แม้ผู้ใช้จะตระหนักถึงคุณค่าของข้อมูลส่วนบุคคล แต่กลับมีความไม่พอใจเพิ่มมากขึ้นกับวิธีที่บริษัทต่างๆ จัดการข้อมูลดังกล่าว
การควบคุมการใช้ข้อมูลผู้ใช้ยังคงไม่ได้รับการพัฒนาและล้าหลังกว่าพัฒนาการทางเทคโนโลยีไม่เพียงแต่ในรัสเซียเท่านั้น แต่ยังรวมถึงทั่วโลกด้วย ดังนั้น ดุลยภาพของผลประโยชน์ของผู้บริโภคและบริษัทในรูปแบบ "เงิน-บริการ-ข้อมูล-เงิน" จึงกำลังได้รับการกำหนดขึ้น ทั้งโดยหน่วยงานกำกับดูแลและผ่านข้อตกลงที่ไม่ได้ประกาศเป็นลายลักษณ์อักษรระหว่างสังคมและบริษัทต่างๆ หน่วยงานกำกับดูแลกำลังจำกัดขีดความสามารถของบริษัทไอทีและขยายสิทธิของผู้ใช้ รวมถึงการบังคับใช้กฎหมายใหม่ๆ ที่ช่วยให้ผู้ใช้สามารถควบคุมข้อมูลที่ตนให้ได้มากขึ้น
การเปรียบเทียบแนวทางของหน่วยงานกำกับดูแลในประเทศยุโรปและรัสเซียนั้นน่าสนใจ ในรัสเซีย กฎระเบียบหลักที่ควบคุมการจัดการข้อมูลส่วนบุคคลคือกฎหมายของรัฐบาลกลางว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (152-FZ) และประมวลกฎหมายอาญา ซึ่งกำหนดค่าปรับเฉพาะสำหรับการละเมิดขั้นตอนการจัดการข้อมูลส่วนบุคคลโดยตรง ค่าปรับทางปกครองเพิ่มขึ้นอย่างมากตั้งแต่วันที่ 1 กรกฎาคม 2560 นอกจากนี้ ยังมีการกำหนดค่าปรับใหม่ตามประเภทของความผิดที่กระทำ ดังนั้น เจ้าหน้าที่อาจถูกปรับตั้งแต่ 3000 ถึง 20,000 รูเบิล ผู้ประกอบการรายบุคคลอาจถูกปรับตั้งแต่ 5000 ถึง 20,000 รูเบิล และองค์กรอาจถูกปรับตั้งแต่ 15,000 ถึง 75,000 รูเบิล นอกจากนี้ อาจมีการกำหนดความรับผิดสำหรับความผิดต่างๆ ดังนั้น บริษัทเดียวอาจต้องเสียค่าปรับหลายรายการสำหรับการละเมิดที่แตกต่างกัน อย่างไรก็ตาม ความรับผิดชอบจะระบุไว้โดยเฉพาะสำหรับการไม่ปฏิบัติตามข้อกำหนดอย่างเป็นทางการ เช่น หากเอกสารที่จำเป็นสูญหาย ซึ่งไม่ได้เกี่ยวข้องโดยตรงกับการคุ้มครองข้อมูลเสมอไป ยกตัวอย่างเช่น การรั่วไหลของข้อมูลนั้นไม่ถือเป็นเหตุให้ต้องเสียค่าปรับ เว้นแต่จะมีการฝ่าฝืนกฎหมายอื่นๆ ที่น่าสนใจคือ การละเมิดจำนวนมากที่ระบุได้ในด้านการจัดการข้อมูลส่วนบุคคลนั้น อยู่ภายใต้มาตรา 19.7 แห่งประมวลกฎหมายอาญาแห่งสหพันธรัฐรัสเซีย ที่ว่า "การไม่ส่งหรือส่งข้อมูล (ข้อมูล) ที่จำเป็นตามกฎหมายและจำเป็นต่อการดำเนินการกิจกรรมอันชอบธรรมให้แก่หน่วยงานรัฐบาล (Roskomnadzor) ล่าช้า" ที่น่าสนใจคือ บทลงโทษที่รุนแรงกว่ามากไม่ได้มาจากการละเมิดขั้นตอนการจัดการข้อมูลส่วนบุคคล (ดังที่ได้กล่าวไปแล้วข้างต้น โดยเฉลี่ยอยู่ที่ 30,000-50,000 รูเบิล) แต่มาจากการไม่ให้ข้อมูล (ล่าช้าหรือไม่ครบถ้วน) เกี่ยวกับขั้นตอนการจัดการข้อมูลส่วนบุคคลแก่ Roskomnadzor ซึ่งมีโทษปรับสูงถึง 200.000 รูเบิล กล่าวอีกนัยหนึ่ง ในกฎหมายของรัสเซียและการบังคับใช้ แนวโน้มที่แพร่หลายคือ "สิ่งสำคัญคือชุดที่สวมใส่ได้" และความต้องการของหน่วยงานรัฐบาลในการจัดทำรายงานต่างๆ ได้รับการตอบสนอง สิทธิที่แท้จริงของผู้ใช้และความปลอดภัยของข้อมูลส่วนบุคคลออนไลน์ของพวกเขายังได้รับการคุ้มครองไม่เพียงพอ จำนวนเงินค่าปรับที่เท่ากันไม่ได้สัมพันธ์กับผลประโยชน์ที่บริษัทบางแห่งได้รับจากการละเมิดการจัดการข้อมูลส่วนบุคคลบนอินเทอร์เน็ตแต่อย่างใด และไม่ได้ส่งเสริมให้ปฏิบัติตามกฎเหล่านี้
สถานการณ์ในสหภาพยุโรปค่อนข้างแตกต่างออกไป ตั้งแต่เดือนพฤษภาคม 2018 การประมวลผลข้อมูลส่วนบุคคลในยุโรปอยู่ภายใต้กฎเกณฑ์สำหรับการประมวลผลข้อมูลส่วนบุคคลที่กำหนดโดยข้อบังคับทั่วไปว่าด้วยการคุ้มครองข้อมูล (ข้อบังคับสหภาพยุโรป 2016/679 GDPR (ระเบียบว่าด้วยการคุ้มครองข้อมูลทั่วไป) ลงวันที่ 27 เมษายน 2016 มีผลบังคับใช้โดยตรงใน 28 ประเทศสมาชิกสหภาพยุโรป กฎหมายนี้ให้สิทธิ์แก่ผู้อยู่อาศัยในสหภาพยุโรปในการควบคุมข้อมูลส่วนบุคคลของตนอย่างเต็มที่ ภายใต้ GDPR พลเมืองและผู้อยู่อาศัยในสหภาพยุโรปจำนวนมากมีสิทธิ์อย่างกว้างขวางในการควบคุมข้อมูลส่วนบุคคลของตน ผู้ใช้ในยุโรปมีสิทธิ์ร้องขอการยืนยันการประมวลผลข้อมูลของตน สถานที่และวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคลที่ประมวลผล บุคคลที่สามที่เปิดเผยข้อมูลส่วนบุคคล ระยะเวลาที่ข้อมูลจะถูกประมวลผล รวมถึงชี้แจงแหล่งที่มาของข้อมูลส่วนบุคคลขององค์กรและขอให้แก้ไขข้อมูล นอกจากนี้ ผู้ใช้ยังมีสิทธิ์ร้องขอให้ยุติการประมวลผลข้อมูลของตน
ตั้งแต่เดือนพฤษภาคม 2018 โทษสำหรับการละเมิดกฎการประมวลผลข้อมูลส่วนบุคคลมีอยู่ในรูปแบบของค่าปรับ ภายใต้ GDPR ค่าปรับอาจสูงถึง 20 ล้านยูโร (ประมาณ 1,5 พันล้านรูเบิล) หรือ 4% ของรายได้ประจำปีทั่วโลกของบริษัท
สิ่งที่สำคัญที่สุดคือระบบนี้ได้ผล: บริษัทที่ละเมิดสิทธิ์ของผู้ใช้จะต้องรับผิดชอบ และได้รับบทลงโทษที่ร้ายแรงมาก ตัวอย่างเช่น เมื่อวันที่ 21 มกราคม 2019 คณะกรรมการแห่งชาติว่าด้วยข้อมูลและสิทธิพลเมืองของฝรั่งเศส (CNIL) ได้ปรับบริษัท Google LLC ของสหรัฐอเมริกาเป็นเงิน 50 ล้านยูโรฐานละเมิด GDPR ค่าปรับนี้สูงมาก แสดงให้เห็นอย่างชัดเจนถึงผลที่ตามมาจากการไม่ปฏิบัติตามข้อกำหนดของ GDPR บทลงโทษนี้เกิดจากอะไร? คณะกรรมการของฝรั่งเศสพิจารณาว่า การกำหนดค่าเริ่มต้นของอุปกรณ์เคลื่อนที่บนระบบปฏิบัติการนั้นไม่ถูกต้อง Android (Google) ไม่ได้ให้ข้อมูลที่ครบถ้วนแก่ผู้ใช้เกี่ยวกับสิ่งที่ Google ทำกับข้อมูลส่วนบุคคลของพวกเขา บริษัทล้มเหลวในการปฏิบัติตามพันธะหน้าที่ในการสร้างความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลและแจ้งให้เจ้าของข้อมูลทราบ (มาตรา 12 และ 13 ของ GDPR) ระยะเวลาการเก็บรักษาข้อมูลของผู้ใช้ถูกกำหนดไว้อย่างไม่ชัดเจน บริษัทขาดพื้นฐานทางกฎหมายที่จำเป็นสำหรับการประมวลผลข้อมูล (มาตรา 6 ของ GDPR) นอกจากนี้ Google ยังถูกกล่าวหาว่าได้รับความยินยอมจากผู้ใช้ในการประมวลผลข้อมูลเพื่อการปรับแต่งโฆษณาอย่างไม่เหมาะสม
ตัวอย่างอื่นๆ: หน่วยงานกำกับดูแลของเยอรมนี LfDI ได้ปรับแอปแชทหาคู่ Knuddels เป็นเงิน 20.000 ยูโร โรงพยาบาล Barreiro Hospital ในโปรตุเกสถูกกล่าวหาว่าจัดการการเข้าถึงข้อมูลส่วนบุคคลที่ละเอียดอ่อนอย่างไม่เหมาะสม (ปรับ 300 ยูโร) และละเมิดความปลอดภัยและความสมบูรณ์ของข้อมูล (อีก 100 ยูโร) ทางการสหราชอาณาจักรได้ออกคำเตือนไปยังบริษัทวิเคราะห์ข้อมูลของแคนาดา บริษัทดังกล่าวถูกสั่งให้หยุดประมวลผลข้อมูลส่วนบุคคลของประชาชน มิฉะนั้นจะถูกปรับ 20 ล้านยูโร บริษัท AggregateIQ ซึ่งเป็นบริษัทพัฒนาซอฟต์แวร์และการตลาดดิจิทัลของแคนาดา ถูกปรับ 17000000 ล้านยูโร ร้านกาแฟแห่งหนึ่งในออสเตรียถูกปรับ 5280 ยูโร จากการเฝ้าระวังวิดีโอที่ผิดกฎหมาย (กล้องจับภาพส่วนหนึ่งของทางเท้าได้) ดังนั้น องค์กรใดๆ ที่อยู่ภายใต้ GDPR จึงไม่ควรจำกัดตัวเองอยู่เพียงการพัฒนาเอกสารกำกับดูแลตามที่มักเกิดขึ้น
อนึ่ง GDPR มีความพิเศษตรงที่บังคับใช้กับทุกบริษัทที่ประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยและพลเมืองสหภาพยุโรป โดยไม่คำนึงถึงสถานที่ตั้งของบริษัท ดังนั้น บริษัทรัสเซียควรให้ความสำคัญกับกฎระเบียบนี้ หากบริการของพวกเขามุ่งเป้าไปที่ตลาดยุโรป
ที่มา: will.com
