俄罗斯和欧盟保护个人数据的方法和实践的比较
事实上,用户在互联网上执行的任何操作都会发生某种形式的用户个人数据操纵。
我们不为在互联网上获得的许多服务付费:搜索信息、电子邮件、在云中存储数据、在社交网络上通信等。但是,这些服务只是有条件免费:我们付费为他们提供我们的数据,然后这些公司主要通过广告将其转化为金钱。
目前,有关性别、年龄和居住地、搜索历史的数据 -
价值数十亿美元和欧元的在线广告行业的基础。 也就是说,从法律角度来看,个人数据是开展业务的材料。 因此,公司付出巨大努力并花费大量资金来获取和处理个人数据。 2018 年进行的调查显示,用户在了解个人数据的价值后,对公司对待其个人数据的方式越来越不满意。
用户数据使用环节的监管尚未形成,不仅在俄罗斯,而且在全世界都落后于技术的发展,因此,消费者和企业在“金钱-服务-数据”中的利益平衡如今,监管机构以及社会与企业之间的默契正在构建“货币”模式。 监管机构正在限制 IT 公司的能力并扩大用户的权利:引入新的法律,让用户对其提供的信息有更多的控制权。
比较欧洲国家和俄罗斯监管机构的做法很有趣。 在俄罗斯,管理个人数据处理的主要法规是《联邦个人数据保护法》(152-FZ) 和《行政违法法典》,其中直接规定了违反个人数据处理程序的具体罚款金额。 自1年2017月3000日起,行政罚款大幅增加。 同时,根据犯罪类型确定了新的罚款。 因此,官员可处以20至000卢布的罚款,个人企业家可处以5000至20卢布的罚款,组织可处以000至15卢布的罚款。 此外,他们还可能因各种违法行为而被追究责任。 因此,一家公司可能会因不同的违规行为而受到多种不同的罚款。 但是,如果未遵守正式要求,例如缺少必要的文件,则需承担专门责任。 这并不总是与真正的信息保护直接相关。 例如,除非违反其他法律,否则泄漏本身并不构成处罚的理由。 有趣的是,在处理个人数据领域已发现的大量违规行为包含俄罗斯联邦《行政违法法典》第 000 条规定的内容:“未能向国家机构(Roskomnadzor)提交或不及时提交信息(信息),该信息的提交是法律规定的,对于本机构实施其合法活动是必要的……” 有趣的是,更大的责任并不是因为违反了处理个人数据的程序(如上所述,平均为 75-000 万卢布),而是因为未能提供(延迟、不完整提交)有关个人数据的信息。在 Roskomnadzor 处理个人数据的程序将被处以最高 19.7 卢布的罚款。 那些。 俄罗斯立法及其实施实践中,普遍的趋势是“合身为主”,满足国家需要。 当局在各种报告中。 用户在互联网上的真实权利和个人数据安全得不到有效保护。 同样数额的罚款与某些公司在违反互联网上个人数据处理行为时获得的利益没有任何关系,并且不鼓励遵守这些规则。
在欧盟,情况有所不同。 自 2018 年 XNUMX 月起,在欧洲,个人数据的处理受到《通用数据保护条例》(《通用数据保护条例》)制定的个人数据处理规则的监管。ЕС 2016/679 预算 日期为 27 年 2016 月 28 日或 GDPR - 一般数据保护条例)。 该法规对所有 XNUMX 个欧盟国家产生直接影响。 该法规赋予欧盟居民对其个人数据的完全控制权。 根据 GDPR,欧盟公民和居民拥有非常广泛的权利来控制其个人数据。 欧洲用户有权要求确认其数据正在被处理的事实、处理的地点和目的、正在处理的个人数据的类别、个人数据向哪些第三方披露、数据的期限将被处理,并澄清组织收到个人数据的来源并要求其更正。 此外,用户有权要求停止对其数据的处理。
自2018年20月起,对违反个人数据处理规则的罚款形式的责任:根据GDPR,罚款达到1,5万欧元(约4亿卢布)或公司全球年收入的XNUMX%。
最重要的是,这一切都有效,侵犯用户权利的公司都被追究责任,而且非常严肃。 例如,21年2019月50日,法国国家信息学和民权委员会(CNIL)决定因违反GDPR而对美国公司GOOGLE LLC处以12万欧元罚款。 罚款金额非常大。 这清楚地表明了不遵守 GDPR 要求的风险。 你因什么受到惩罚? 法国委员会确定,在运行 Android (Google) 操作系统的移动设备的初始配置过程中,用户不会收到有关 Google 如何处理其个人数据的完整信息。 该公司没有履行确保个人数据处理透明度和告知主体的义务(GDPR 第 13 条和第 6 条)。 用户数据的存储期限没有严格规定。 该公司没有进行数据处理所需的法律依据(GDPR 第 XNUMX 条)。 谷歌还被指控以不当方式获取用户同意处理其数据以提供个性化广告。
其他例子:德国监管机构 LfDI 对与 Knuddels 约会的聊天应用程序处以 20.000 万欧元的罚款;葡萄牙医院 Barreiro 医院被指控对关键个人数据的访问管理不当(罚款 300 万欧元)并违反了医疗机构的安全性和完整性。数据(另外100万欧元)。 英国当局已向一家从事分析研究的加拿大公司发出警告。 该公司被勒令停止处理公民个人数据,否则将面临20万欧元的罚款。 加拿大数字营销和软件开发公司 AggregateIQ 被罚款 17000000 英镑。 奥地利一家咖啡馆因非法视频监控(摄像头拍摄到了人行道的一部分)被罚款5280欧元。 那些。 根据国内传统,任何受 GDPR 约束的组织不应仅限于制定监管文件。
顺便说一句,GDPR的特殊性在于,它适用于所有处理欧盟居民和公民个人数据的公司,无论该公司位于何处,因此,如果俄罗斯公司的服务专注于以下方面,则应仔细考虑该法规:欧洲市场
来源: habr.com