So sánh các phương pháp và thực tiễn bảo vệ dữ liệu cá nhân ở Nga và EU
Trên thực tế, với bất kỳ hành động nào được thực hiện bởi người dùng trên Internet, một số hình thức thao túng dữ liệu cá nhân của người dùng sẽ xảy ra.
Chúng tôi không thanh toán cho nhiều dịch vụ chúng tôi nhận được trên Internet: tìm kiếm thông tin, email, lưu trữ dữ liệu của chúng tôi trên đám mây, liên lạc trên mạng xã hội, v.v. Tuy nhiên, các dịch vụ này chỉ miễn phí có điều kiện: chúng tôi trả tiền cho họ bằng dữ liệu của chúng tôi mà các công ty này sau đó sẽ biến thành tiền, chủ yếu thông qua quảng cáo.
Hiện tại, dữ liệu về giới tính, độ tuổi và nơi cư trú, lịch sử tìm kiếm -
nền tảng cho ngành quảng cáo trực tuyến trị giá hàng tỷ đô la và euro. Nghĩa là, từ quan điểm pháp lý, dữ liệu cá nhân là tài liệu để kinh doanh. Theo đó, các công ty nỗ lực rất nhiều và chi số tiền đáng kể để thu thập và xử lý dữ liệu cá nhân. Các cuộc khảo sát được thực hiện vào năm 2018 cho thấy người dùng hiểu được giá trị của dữ liệu cá nhân của họ nên ngày càng không hài lòng với cách các công ty xử lý dữ liệu cá nhân của họ.
Quy định trong phân khúc sử dụng dữ liệu người dùng vẫn chưa được hình thành và tụt hậu so với sự phát triển của công nghệ không chỉ ở Nga mà trên toàn thế giới, do đó, sự cân bằng lợi ích của người tiêu dùng và các công ty trong lĩnh vực “tiền - dịch vụ - dữ liệu - money” đang được xây dựng ngày nay bởi cả các cơ quan quản lý và các thỏa thuận ngầm giữa xã hội và các công ty. Các cơ quan quản lý đang hạn chế khả năng của các công ty CNTT và mở rộng quyền của người dùng: đưa ra các luật mới giúp người dùng có nhiều quyền kiểm soát hơn đối với thông tin họ cung cấp.
Thật thú vị khi so sánh cách tiếp cận của các cơ quan quản lý ở các nước châu Âu và Nga. Ở Nga, các quy định chính điều chỉnh việc xử lý dữ liệu cá nhân là Luật Liên bang về bảo vệ dữ liệu cá nhân (152-FZ) cộng với Bộ luật vi phạm hành chính, trong đó trực tiếp thiết lập mức phạt cụ thể nếu vi phạm quy trình xử lý dữ liệu cá nhân. . Mức phạt hành chính đã tăng đáng kể kể từ ngày 1/2017/3000. Đồng thời, các mức phạt mới được đưa ra tùy theo loại hành vi phạm tội. Như vậy, các quan chức có thể bị phạt từ 20 đến 000 rúp, các doanh nhân cá nhân - với số tiền từ 5000 đến 20 rúp, các tổ chức - với số tiền từ 000 đến 15 rúp. Hơn nữa, họ có thể phải chịu trách nhiệm về nhiều hành vi phạm tội khác nhau. Theo đó, một công ty có thể phải chịu nhiều mức phạt khác nhau đối với những hành vi vi phạm khác nhau. Nhưng trách nhiệm pháp lý được quy định cụ thể nếu không tuân thủ các yêu cầu chính thức, chẳng hạn như nếu thiếu các giấy tờ cần thiết. Điều này không phải lúc nào cũng liên quan trực tiếp đến việc bảo vệ thông tin thực sự. Ví dụ, bản thân việc rò rỉ không phải là căn cứ để xử phạt trừ khi các luật khác bị vi phạm. Điều thú vị là một số lượng đáng kể các vi phạm được xác định trong lĩnh vực xử lý dữ liệu cá nhân có chứa các nội dung được quy định tại Điều 000 của Bộ luật vi phạm hành chính của Liên bang Nga: “Không nộp hoặc nộp không kịp thời cho cơ quan nhà nước (Roskomnadzor) - thông tin (thông tin), việc nộp thông tin này được pháp luật quy định và cần thiết để cơ quan này thực hiện các hoạt động pháp lý của mình…” Điều thú vị là trách nhiệm pháp lý lớn hơn nhiều không phải do vi phạm quy trình xử lý dữ liệu cá nhân (như đã nêu ở trên, trung bình là 75-000 nghìn rúp), mà cụ thể là do không cung cấp thông tin (trì hoãn, gửi không đầy đủ) về thủ tục xử lý dữ liệu cá nhân ở Roskomnadzor có thể bị phạt lên tới 19.7 rúp. Những thứ kia. trong luật pháp Nga và trong thực tế áp dụng nó, xu hướng phổ biến là “điều chính yếu là bộ đồ vừa vặn” và nhu cầu của nhà nước được đáp ứng. cơ quan chức năng trong nhiều báo cáo khác nhau. Quyền thực sự của người dùng và tính bảo mật của dữ liệu cá nhân của họ trên Internet được bảo vệ kém. Số tiền phạt tương tự không tương quan chút nào với số lợi ích mà một số công ty nhận được khi họ vi phạm việc xử lý dữ liệu cá nhân trên Internet và không khuyến khích việc tuân thủ các quy tắc này.
Ở EU, bức tranh có phần khác biệt. Kể từ tháng 2018 năm XNUMX, tại Châu Âu, việc xử lý dữ liệu cá nhân được quy định bởi các quy tắc xử lý dữ liệu cá nhân được thiết lập bởi Quy định chung về bảo vệ dữ liệu (Quy định của EU 2016/679 ngày 27 tháng 2016 năm 28 hoặc GDPR - Quy định chung về bảo vệ dữ liệu). Quy định này có hiệu lực trực tiếp ở tất cả XNUMX quốc gia EU. Quy định này cung cấp cho cư dân EU toàn quyền kiểm soát dữ liệu cá nhân của họ. Theo GDPR, công dân và cư dân EU có quyền kiểm soát dữ liệu cá nhân của họ rất rộng rãi. Người dùng Châu Âu có quyền yêu cầu xác nhận dữ liệu của họ đang được xử lý, địa điểm và mục đích xử lý, danh mục dữ liệu cá nhân đang được xử lý, bên thứ ba mà dữ liệu cá nhân được tiết lộ, khoảng thời gian dữ liệu được xử lý. sẽ được xử lý, cũng như làm rõ nguồn gốc của việc tổ chức tiếp nhận dữ liệu cá nhân và yêu cầu họ chỉnh sửa. Hơn nữa, người dùng có quyền yêu cầu ngừng xử lý dữ liệu của mình.
Kể từ tháng 2018 năm 20, trách nhiệm pháp lý dưới hình thức phạt tiền do vi phạm quy tắc xử lý dữ liệu cá nhân: theo GDPR, mức phạt lên tới 1,5 triệu euro (khoảng 4 tỷ rúp) hoặc XNUMX% doanh thu toàn cầu hàng năm của công ty.
Điều quan trọng nhất là tất cả những điều này đều có hiệu quả, các công ty vi phạm quyền của người dùng phải chịu trách nhiệm và rất nghiêm túc. Ví dụ: vào ngày 21 tháng 2019 năm 50, Ủy ban Quốc gia về Tin học và Dân quyền Pháp (CNIL) đã quyết định phạt công ty GOOGLE LLC của Mỹ 12 triệu euro vì vi phạm GDPR. Số tiền phạt là rất lớn. Điều này cho thấy rõ ràng những rủi ro khi không tuân thủ các yêu cầu của GDPR. Bạn bị trừng phạt vì điều gì? Ủy ban Pháp xác định rằng trong quá trình định cấu hình ban đầu của thiết bị di động chạy hệ điều hành Android (Google), người dùng không nhận được thông tin đầy đủ về những gì Google đang làm với dữ liệu cá nhân của mình. Công ty đã không thực hiện nghĩa vụ đảm bảo tính minh bạch trong việc xử lý dữ liệu cá nhân và thông báo cho các đối tượng (Điều 13 và 6 GDPR). Thời gian lưu trữ dữ liệu người dùng không được quy định chặt chẽ. Công ty không có cơ sở pháp lý cần thiết cho việc xử lý dữ liệu được thực hiện (Điều XNUMX GDPR). Google cũng bị cáo buộc lấy được sự đồng ý của người dùng một cách không chính đáng để xử lý dữ liệu của họ nhằm cá nhân hóa quảng cáo.
Các ví dụ khác: khoản tiền phạt từ cơ quan quản lý LfDI của Đức đối với ứng dụng trò chuyện hẹn hò Knuddels - 20.000 euro, bệnh viện Bồ Đào Nha Bệnh viện Barreiro bị cáo buộc quản lý quyền truy cập vào dữ liệu cá nhân quan trọng không đúng cách (phạt 300 nghìn euro) và vi phạm tính bảo mật và tính toàn vẹn của dữ liệu (100 nghìn euro khác ). Chính quyền Anh đã đưa ra cảnh báo đối với một công ty Canada tham gia nghiên cứu phân tích. Công ty được lệnh ngừng xử lý dữ liệu cá nhân của công dân, nếu không sẽ phải đối mặt với mức phạt 20 triệu Euro. Công ty phát triển phần mềm và tiếp thị kỹ thuật số của Canada AggregateIQ đã bị phạt 17000000 bảng Anh. Một quán cà phê ở Áo bị phạt 5280 euro vì quay video trái phép (máy quay đã ghi lại một phần vỉa hè). Những thứ kia. Theo truyền thống trong nước, bất kỳ tổ chức nào tuân theo GDPR không nên bị giới hạn trong việc phát triển các tài liệu quy định.
Nhân tiện, điểm đặc biệt của GDPR là nó áp dụng cho tất cả các công ty xử lý dữ liệu cá nhân của cư dân và công dân EU, bất kể vị trí của công ty đó, vì vậy các công ty Nga nên xem xét cẩn thận Quy định này nếu dịch vụ của họ tập trung vào Châu Âu. chợ
Nguồn: www.habr.com