การเปรียบเทียบแนวทางและแนวปฏิบัติในการปกป้องข้อมูลส่วนบุคคลในรัสเซียและสหภาพยุโรป
ในความเป็นจริง เมื่อมีการกระทำใด ๆ ที่ทำโดยผู้ใช้บนอินเทอร์เน็ต การบิดเบือนข้อมูลส่วนบุคคลของผู้ใช้บางรูปแบบก็จะเกิดขึ้น
เราไม่จ่ายค่าบริการหลายอย่างที่เราได้รับบนอินเทอร์เน็ต: สำหรับการค้นหาข้อมูล อีเมล การจัดเก็บข้อมูลของเราในระบบคลาวด์ สำหรับการสื่อสารบนเครือข่ายสังคม ฯลฯ อย่างไรก็ตาม บริการเหล่านี้ฟรีตามเงื่อนไขเท่านั้น: เราจ่ายเงิน สำหรับพวกเขาด้วยข้อมูลของเรา ซึ่งบริษัทเหล่านี้จะกลายเป็นเงิน โดยส่วนใหญ่ผ่านการโฆษณา
ปัจจุบันข้อมูลเกี่ยวกับเพศ อายุ และถิ่นที่อยู่ ประวัติการค้นหา -
เป็นพื้นฐานสำหรับอุตสาหกรรมโฆษณาออนไลน์ที่มีมูลค่าหลายพันล้านดอลลาร์และยูโร นั่นคือจากมุมมองทางกฎหมาย ข้อมูลส่วนบุคคลถือเป็นวัตถุดิบในการดำเนินธุรกิจ ด้วยเหตุนี้ บริษัทต่างๆ จึงใช้ความพยายามมหาศาลและใช้เงินจำนวนมากเพื่อรับและประมวลผลข้อมูลส่วนบุคคล การสำรวจที่ดำเนินการในปี 2018 แสดงให้เห็นว่าผู้ใช้ที่เข้าใจถึงคุณค่าของข้อมูลส่วนบุคคลของตน มีความไม่พอใจมากขึ้นกับวิธีที่บริษัทต่างๆ ปฏิบัติต่อข้อมูลส่วนบุคคลของตน
กฎระเบียบในส่วนของการใช้ข้อมูลผู้ใช้ยังไม่เป็นรูปเป็นร่างและล้าหลังการพัฒนาเทคโนโลยีไม่เพียง แต่ในรัสเซีย แต่ทั่วโลกดังนั้นความสมดุลของผลประโยชน์ของผู้บริโภคและ บริษัท ใน "เงิน - บริการ - ข้อมูล - โมเดลเงิน” กำลังถูกสร้างขึ้นในปัจจุบัน ทั้งโดยหน่วยงานกำกับดูแลและโดยข้อตกลงโดยปริยายระหว่างสังคมและบริษัท หน่วยงานกำกับดูแลกำลังจำกัดความสามารถของบริษัทไอทีและขยายสิทธิ์ของผู้ใช้: การแนะนำกฎหมายใหม่ที่ให้ผู้ใช้ควบคุมข้อมูลที่พวกเขาให้ได้มากขึ้น
การเปรียบเทียบแนวทางของหน่วยงานกำกับดูแลในประเทศยุโรปและรัสเซียเป็นเรื่องที่น่าสนใจ ในรัสเซีย กฎระเบียบหลักที่ควบคุมการจัดการข้อมูลส่วนบุคคลคือกฎหมายของรัฐบาลกลางว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล (152-FZ) รวมถึงประมวลกฎหมายความผิดทางปกครองซึ่งกำหนดจำนวนค่าปรับโดยตรงโดยตรงสำหรับการละเมิดขั้นตอนการจัดการข้อมูลส่วนบุคคล . ค่าปรับทางปกครองเพิ่มขึ้นอย่างมากตั้งแต่วันที่ 1 กรกฎาคม 2017 ในเวลาเดียวกัน ได้มีการกำหนดค่าปรับใหม่ตามประเภทของความผิดที่กระทำ ดังนั้นเจ้าหน้าที่อาจถูกปรับจำนวน 3000 ถึง 20 รูเบิล ผู้ประกอบการแต่ละราย - จำนวน 000 ถึง 5000 รูเบิล องค์กร - จำนวน 20 ถึง 000 รูเบิล นอกจากนี้ยังสามารถรับผิดชอบต่อความผิดต่างๆ ดังนั้น บริษัทหนึ่งอาจต้องเสียค่าปรับที่แตกต่างกันหลายประการสำหรับการละเมิดที่แตกต่างกัน แต่ความรับผิดมีไว้โดยเฉพาะในกรณีที่ไม่ปฏิบัติตามข้อกำหนดอย่างเป็นทางการ เช่น หากเอกสารที่จำเป็นขาดหายไป สิ่งนี้ไม่ได้เกี่ยวข้องโดยตรงกับการปกป้องข้อมูลที่แท้จริงเสมอไป ตัวอย่างเช่น การรั่วไหลในตัวมันเองไม่ถือเป็นเหตุให้ได้รับโทษ เว้นแต่จะมีการละเมิดกฎหมายอื่น ที่น่าสนใจคือการละเมิดที่ระบุจำนวนมากในด้านการจัดการข้อมูลส่วนบุคคลมีเนื้อหาที่กำหนดไว้ในมาตรา 15 ของประมวลกฎหมายความผิดทางปกครองของสหพันธรัฐรัสเซีย: “ ความล้มเหลวในการส่งหรือยื่นต่อหน่วยงานของรัฐ (Roskomnadzor) ก่อนเวลาอันควร - ข้อมูล (ข้อมูล) การยื่นซึ่งกฎหมายกำหนดไว้และจำเป็นสำหรับการดำเนินกิจกรรมทางกฎหมายของเขา…” ที่น่าสนใจคือมีความรับผิดที่มากขึ้นนั้นไม่ได้มีไว้สำหรับการละเมิดขั้นตอนการจัดการข้อมูลส่วนบุคคล (ตามที่ระบุไว้ข้างต้นซึ่งโดยเฉลี่ยอยู่ที่ 000-75 รูเบิล) แต่โดยเฉพาะอย่างยิ่งสำหรับความล้มเหลวในการให้ข้อมูล (ความล่าช้าการส่งที่ไม่สมบูรณ์) เกี่ยวกับ ขั้นตอนการจัดการข้อมูลส่วนบุคคลใน Roskomnadzor มีค่าปรับสูงถึง 000 รูเบิล เหล่านั้น. ในกฎหมายของรัสเซียและในทางปฏิบัติของการประยุกต์ใช้แนวโน้มที่เกิดขึ้นคือ "สิ่งสำคัญคือชุดสูทพอดี" และความต้องการของรัฐได้รับการตอบสนอง เจ้าหน้าที่ในรายงานต่างๆ สิทธิ์ที่แท้จริงของผู้ใช้และความปลอดภัยของข้อมูลส่วนบุคคลบนอินเทอร์เน็ตได้รับการคุ้มครองไม่ดี ค่าปรับที่เท่ากันไม่มีความสัมพันธ์ในทางใดทางหนึ่งกับจำนวนผลประโยชน์ที่บางบริษัทได้รับเมื่อละเมิดการจัดการข้อมูลส่วนบุคคลบนอินเทอร์เน็ต และไม่สนับสนุนการปฏิบัติตามกฎเหล่านี้
ในสหภาพยุโรปภาพจะแตกต่างออกไปบ้าง ตั้งแต่เดือนพฤษภาคม 2018 ในยุโรป การทำงานกับข้อมูลส่วนบุคคลได้รับการควบคุมโดยกฎสำหรับการประมวลผลข้อมูลส่วนบุคคลที่กำหนดโดยกฎการคุ้มครองข้อมูลทั่วไป (ระเบียบสหภาพยุโรป 2016/679 ลงวันที่ 27 เมษายน 2016 หรือ GDPR - ระเบียบคุ้มครองข้อมูลทั่วไป) กฎระเบียบนี้มีผลโดยตรงใน 28 ประเทศในสหภาพยุโรป กฎระเบียบดังกล่าวทำให้ผู้อยู่อาศัยในสหภาพยุโรปสามารถควบคุมข้อมูลส่วนบุคคลของตนได้อย่างเต็มที่ ภายใต้ GDPR พลเมืองและผู้อยู่อาศัยในสหภาพยุโรปมีสิทธิ์ที่กว้างขวางมากในการควบคุมข้อมูลส่วนบุคคลของตน ผู้ใช้ในยุโรปมีสิทธิ์ร้องขอการยืนยันข้อเท็จจริงว่าข้อมูลของตนกำลังถูกประมวลผล สถานที่และวัตถุประสงค์ของการประมวลผล ประเภทของข้อมูลส่วนบุคคลที่กำลังประมวลผล ซึ่งมีการเปิดเผยข้อมูลส่วนบุคคลให้บุคคลที่สาม ระยะเวลาที่ข้อมูล จะได้รับการประมวลผลตลอดจนชี้แจงแหล่งที่มาของการได้รับข้อมูลส่วนบุคคลขององค์กรและขอให้แก้ไข นอกจากนี้ ผู้ใช้มีสิทธิ์เรียกร้องให้หยุดการประมวลผลข้อมูลของเขา
ตั้งแต่เดือนพฤษภาคม 2018 ความรับผิดในรูปแบบของค่าปรับสำหรับการละเมิดกฎในการประมวลผลข้อมูลส่วนบุคคล: ตาม GDPR ค่าปรับสูงถึง 20 ล้านยูโร (ประมาณ 1,5 พันล้านรูเบิล) หรือ 4% ของรายได้ทั่วโลกประจำปีของบริษัท
สิ่งที่สำคัญที่สุดคือการทำงานทั้งหมดนี้ บริษัทที่ละเมิดสิทธิ์ของผู้ใช้จะต้องรับผิดชอบและจริงจังมาก ตัวอย่างเช่น เมื่อวันที่ 21 มกราคม 2019 คณะกรรมการสารสนเทศและสิทธิพลเมืองแห่งชาติของฝรั่งเศส (CNIL) ได้ตัดสินใจปรับบริษัท GOOGLE LLC สัญชาติอเมริกันเป็นจำนวน 50 ล้านยูโร ฐานละเมิด GDPR ค่าปรับมีปริมาณมาก สิ่งนี้แสดงให้เห็นอย่างชัดเจนถึงความเสี่ยงของการไม่ปฏิบัติตามข้อกำหนด GDPR คุณถูกลงโทษอะไร? คณะกรรมาธิการฝรั่งเศสระบุว่าในระหว่างการกำหนดค่าเริ่มต้นของอุปกรณ์มือถือที่ใช้ระบบปฏิบัติการ Android (Google) ผู้ใช้จะไม่ได้รับข้อมูลทั้งหมดเกี่ยวกับสิ่งที่ Google ทำกับข้อมูลส่วนบุคคลของเขา บริษัทไม่ปฏิบัติตามพันธกรณีในการรับรองความโปร่งใสในการประมวลผลข้อมูลส่วนบุคคลและแจ้งเรื่องต่างๆ (มาตรา 12 และ 13 GDPR) ระยะเวลาการจัดเก็บข้อมูลผู้ใช้ไม่ได้รับการควบคุมอย่างเข้มงวด บริษัทไม่มีพื้นฐานทางกฎหมายที่จำเป็นสำหรับการประมวลผลข้อมูลที่ดำเนินการ (มาตรา 6 GDPR) Google ยังถูกกล่าวหาว่าได้รับความยินยอมจากผู้ใช้อย่างไม่เหมาะสมในการประมวลผลข้อมูลของตนเพื่อปรับเปลี่ยนโฆษณาตามโปรไฟล์ของผู้ใช้
ตัวอย่างอื่น ๆ: ค่าปรับจากหน่วยงานกำกับดูแลของเยอรมัน LfDI ไปยังแอปพลิเคชั่นแชทหาคู่ Knuddels - 20.000 ยูโร โรงพยาบาล Barreiro Hospital ของโปรตุเกสถูกกล่าวหาว่าจัดการการเข้าถึงข้อมูลส่วนบุคคลที่สำคัญอย่างไม่เหมาะสม (ปรับ 300 ยูโร) และละเมิดความปลอดภัยและความสมบูรณ์ของ ข้อมูล (อีก 100 ยูโร) ทางการสหราชอาณาจักรได้ออกคำเตือนไปยังบริษัทแคนาดาที่มีส่วนร่วมในการวิจัยเชิงวิเคราะห์ บริษัทได้รับคำสั่งให้หยุดการประมวลผลข้อมูลส่วนบุคคลของพลเมือง มิฉะนั้นจะถูกปรับ 20 ล้านยูโร บริษัทการตลาดดิจิทัลและการพัฒนาซอฟต์แวร์ของแคนาดา AggregateIQ ถูกปรับ 17000000 ปอนด์ ร้านกาแฟแห่งหนึ่งในออสเตรียถูกปรับ 5280 ยูโร ฐานกล้องวงจรปิดผิดกฎหมาย (กล้องจับภาพส่วนหนึ่งของทางเท้า) เหล่านั้น. องค์กรใดๆ ที่อยู่ภายใต้ GDPR ไม่ควรถูกจำกัดตามประเพณีภายในประเทศ เฉพาะการพัฒนาเอกสารด้านกฎระเบียบเท่านั้น
อย่างไรก็ตาม ลักษณะเฉพาะของ GDPR คือการนำไปใช้กับทุกบริษัทที่ประมวลผลข้อมูลส่วนบุคคลของผู้อยู่อาศัยในสหภาพยุโรปและพลเมือง โดยไม่คำนึงถึงที่ตั้งของบริษัทดังกล่าว ดังนั้นบริษัทในรัสเซียควรพิจารณากฎระเบียบนี้อย่างรอบคอบหากบริการของพวกเขามุ่งเน้นไปที่ยุโรป ตลาด
ที่มา: will.com