俄羅斯和歐盟保護個人資料的方法和實踐的比較
事實上,使用者在網路上執行的任何操作都會發生某種形式的使用者個人資料操縱。
我們不為在網路上獲得的許多服務付費:搜尋資訊、電子郵件、在雲端中儲存資料、在社交網路上通訊等。但是,這些服務只是有條件免費:我們付費為他們提供我們的數據,然後這些公司主要透過廣告將其轉化為金錢。
目前,有關性別、年齡和居住地、搜尋歷史的數據 -
價值數十億美元和歐元的線上廣告產業的基礎。 也就是說,從法律角度來看,個人資料是開展業務的材料。 因此,公司付出巨大努力並花費大量資金來獲取和處理個人資料。 2018 年進行的調查顯示,用戶在了解個人資料的價值後,對公司對待個人資料的方式越來越不滿意。
用戶資料使用環節的監管尚未形成,不僅在俄羅斯,而且在全世界都落後於技術的發展,因此,消費者和企業在「金錢-服務-數據」中的利益平衡如今,監管機構以及社會與企業之間的默契正在建構「貨幣」模式。 監管機構正在限制 IT 公司的能力並擴大使用者的權利:引入新的法律,讓使用者對其提供的資訊有更多的控制權。
比較歐洲國家和俄羅斯監管機構的做法很有趣。 在俄羅斯,管理個人資料處理的主要法規是《聯邦個人資料保護法》(152-FZ) 和《行政違規法典》,其中直接規定了違反個人資料處理程序的具體罰款金額。 自1年2017月3000日起,行政罰款大幅增加。 同時,根據犯罪類型確定了新的罰款。 因此,官員可處以20至000盧布的罰款,個人企業家可處以5000至20盧布的罰款,組織可處以000至15盧布的罰款。 此外,他們還可能因各種違法行為而被追究責任。 因此,一家公司可能會因不同的違規行為而受到多種不同的罰款。 但是,如果未遵守正式要求,例如缺少必要的文件,則需承擔專門責任。 這並不總是與真正的資訊保護直接相關。 例如,除非違反其他法律,否則洩漏本身並不構成處罰的理由。 有趣的是,在處理個人資料領域已發現的大量違規行為包含俄羅斯聯邦《行政違法法典》第 000 條規定的內容:「未能向國家機構(Roskomnadzor)提交或不及時提交資訊(資訊),該資訊的提交是法律規定的,對於本機構實施其合法活動是必要的…” 有趣的是,更大的責任並不是因為違反了處理個人資料的程序(如上所述,平均為75-000 萬盧布),而是因為未能提供(延遲、不完整提交)有關個人資料的信息。在 Roskomnadzor 處理個人資料的程式將被處以最高 19.7 盧布的罰款。 那些。 俄羅斯立法及其實施實踐中,普遍的趨勢是“合身為主”,滿足國家需求。 當局在各種報告中。 使用者在網路上的真實權利和個人資料安全得不到有效保護。 同樣數額的罰款與某些公司在違反互聯網上個人資料處理行為時獲得的利益沒有任何關係,並且不鼓勵遵守這些規則。
在歐盟,情況有所不同。 自 2018 年 XNUMX 月起,在歐洲,個人資料的處理受到《一般資料保護規範》(《一般資料保護規範》)所製定的個人資料處理規則的監管。歐盟法規 2016/679 日期為 27 年 2016 月 28 日或 GDPR - 一般資料保護條例)。 該法規對所有 XNUMX 個歐盟國家產生直接影響。 該法規賦予歐盟居民對其個人資料的完全控制權。 根據 GDPR,歐盟公民和居民擁有非常廣泛的權利來控制其個人資料。 歐洲用戶有權要求確認其資料正在處理的事實、處理的地點和目的、正在處理的個人資料的類別、個人資料向哪些第三方披露、資料的期限將被處理,並澄清組織收到個人資料的來源並要求其更正。 此外,使用者有權要求停止對其資料的處理。
自2018年20月起,違反個人資料處理規則的罰款形式的責任:根據GDPR,罰款達到1,5萬歐元(約4億盧布)或公司全球年收入的XNUMX%。
最重要的是,這一切都有效,侵犯用戶權利的公司都被追究責任,而且非常嚴肅。 例如,21年2019月50日,法國國家資訊學和民權委員會(CNIL)決定因違反GDPR而對美國公司GOOGLE LLC處以12萬歐元罰款。 罰款金額非常大。 這清楚地表明了不遵守 GDPR 要求的風險。 你因什麼而受到懲罰? 法國委員會確定,在運行 Android (Google) 作業系統的行動裝置的初始配置過程中,用戶不會收到有關 Google 如何處理其個人資料的完整資訊。 該公司沒有履行確保個人資料處理透明度和告知主體的義務(GDPR 第 13 條和第 6 條)。 用戶資料的儲存期限沒有嚴格規定。 該公司沒有進行資料處理所需的法律依據(GDPR 第 XNUMX 條)。 谷歌還被指控以不當方式獲取用戶同意處理其數據以提供個人化廣告。
其他例子:德國監管機構LfDI 對與Knuddels 約會的聊天應用程式處以20.000 萬歐元的罰款;葡萄牙醫院Barreiro 醫院被指控對關鍵個人資料的存取管理不當(罰款300 萬歐元)並違反了醫療機構的安全性和完整性。資料(另外100萬歐元)。 英國當局已向一家從事分析研究的加拿大公司發出警告。 該公司被勒令停止處理公民個人數據,否則將面臨20萬歐元的罰款。 加拿大數位行銷和軟體開發公司 AggregateIQ 被罰款 17000000 英鎊。 奧地利一家咖啡館因非法視訊監控(攝影機拍攝到了人行道的一部分)被罰款5280歐元。 那些。 根據國內傳統,任何受 GDPR 約束的組織不應僅限於制定監管文件。
順便說一句,GDPR的特殊性在於,它適用於所有處理歐盟居民和公民個人資料的公司,無論該公司位於何處,因此,如果俄羅斯公司的服務專注於以下方面,則應仔細考慮該法規:歐洲市場
來源: www.habr.com