مقارنة بين الأساليب والممارسات لحماية البيانات الشخصية في روسيا والاتحاد الأوروبي
في الواقع ، مع أي إجراء يقوم به المستخدم على الإنترنت ، هناك تلاعب بطريقة أو بأخرى في البيانات الشخصية للمستخدم.
نحن لا ندفع مقابل العديد من الخدمات التي نتلقاها على الإنترنت: للبحث عن المعلومات أو البريد الإلكتروني أو لتخزين بياناتنا في السحابة أو للتواصل على الشبكات الاجتماعية ، إلخ. ومع ذلك ، فإن هذه الخدمات مجانية فقط: نحن ندفع مقابلها مع بياناتنا التي تتحول بعدها هذه الشركات إلى المال ، وبشكل رئيسي من خلال الإعلانات.
حاليًا ، بيانات عن الجنس والعمر ومكان الإقامة وسجل البحث -
الأساس لصناعة الإعلان عبر الإنترنت ، والذي يصل إلى مليارات الدولارات واليورو. وهذا هو ، من وجهة نظر قانونية ، البيانات الشخصية هي مواد لممارسة الأعمال التجارية. وفقًا لذلك ، تبذل الشركات جهودًا كبيرة وتنفق أموالًا كبيرة للحصول على البيانات الشخصية ومعالجتها. تُظهر الدراسات الاستقصائية التي أجريت في عام 2018 أن المستخدمين ، الذين يدركون قيمة بياناتهم الشخصية ، غير راضين أكثر فأكثر عن كيفية تعامل الشركات مع بياناتهم الشخصية.
لم يتم تطوير اللوائح في الجزء المتعلق باستخدام بيانات المستخدم بعد التخلف عن تطوير التقنيات ، ليس فقط في روسيا ولكن في جميع أنحاء العالم ، وبالتالي ، فإن ميزان مصالح المستهلكين والشركات في نموذج "المال - الخدمة - البيانات - المال" مبني اليوم من قبل كل من المنظمين والاتفاقات الضمنية بين المجتمع والشركات. يقوم المنظمون بتقييد قدرات شركات تكنولوجيا المعلومات وتوسيع حقوق المستخدمين: فهم يقدمون قوانين جديدة تمنح المستخدمين مزيدًا من التحكم في المعلومات التي يقدمونها.
ومن المثير للاهتمام مقارنة أساليب المنظمين في الدول الأوروبية وروسيا. في روسيا ، تتمثل الإجراءات التنظيمية الرئيسية التي تحكم التعامل مع البيانات الشخصية في القانون الاتحادي لحماية البيانات الشخصية (152-FZ) بالإضافة إلى قانون المخالفات الإدارية ، الذي يحدد بشكل مباشر مقدار الغرامات المحددة لانتهاك إجراءات التعامل مع البيانات الشخصية. زادت الغرامات الإدارية من 1 يوليو 2017 بشكل كبير. وفي الوقت نفسه ، تم فرض غرامات جديدة حسب نوع الجريمة المرتكبة. لذلك ، يمكن تغريم المسؤولين من 3،000 إلى 20،000 روبل ، ورجال الأعمال الفردية - من 5000 إلى 20،000 روبل ، والمنظمات - من 15000 إلى 75000 روبل. علاوة على ذلك ، يمكن اعتبارهم مسؤولين عن مختلف الجرائم. وفقًا لذلك ، قد تفرض غرامات مختلفة على مخالفات مختلفة على شركة واحدة. ولكن يتم توفير المسؤولية على وجه التحديد عن عدم الامتثال للمتطلبات الرسمية ، على سبيل المثال ، إذا كانت الأوراق اللازمة مفقودة. مع حماية المعلومات الحقيقية لا يرتبط هذا دائمًا بشكل مباشر. على سبيل المثال ، لا يمثل التسرب بحد ذاته أساسًا للعقوبات ما لم يتم انتهاك قوانين أخرى. ومن المثير للاهتمام ، أن عددًا كبيرًا من الانتهاكات التي تم تحديدها في مجال التعامل مع البيانات الشخصية تحتوي على التركيبة المنصوص عليها في المادة 19.7 من قانون الجرائم الإدارية للاتحاد الروسي: "عدم تقديم أو تقديم في الوقت المناسب إلى الهيئة الحكومية (Roskomnadzor) - المعلومات (المعلومات) ، التي ينص عليها القانون وينص هذا التطبيق على التنفيذ نشاطاته المشروعة .. ". ومن المثير للاهتمام ، يتم توفير مسؤولية أكبر بكثير ليس عن انتهاك إجراءات التعامل مع البيانات الشخصية (كما ذكر أعلاه ، وهذا هو في المتوسط 30-50 ألف روبل) ، ولكن لعدم توفير (تأخير ، وعرض غير مكتمل) معلومات عن إجراءات التعامل مع البيانات الشخصية في تعتمد Roskomnadzor على غرامة تصل إلى 200000 روبل. أي في التشريع الروسي وممارسة تطبيقه ، فإن الاتجاه السائد هو "الشيء الرئيسي الذي سترفعه الدعوى" وتم تلبية احتياجات الدولة. الهيئات في مختلف التقارير. الحقوق الحقيقية للمستخدمين وأمان بياناتهم الشخصية على شبكة الإنترنت غير محمية بشكل كاف. لا ترتبط نفس الغرامات مع مقدار الفوائد التي تحصل عليها بعض الشركات في حالة انتهاك معاملة البيانات الشخصية على الإنترنت ولا تحفز الامتثال لهذه القواعد.
لدى الاتحاد الأوروبي صورة مختلفة قليلاً. منذ مايو 2018 ، في أوروبا ، يتم تنظيم العمل مع البيانات الشخصية من خلال قواعد معالجة البيانات الشخصية التي وضعتها اللائحة العامة لحماية البيانات ( لائحة الاتحاد الأوروبي 2016/679 المؤرخة 27 أبريل 2016 أو اللائحة العامة لحماية البيانات - GDPR). اللائحة لها تأثير مباشر في جميع دول الاتحاد الأوروبي 28. تتيح اللائحة لسكان الاتحاد الأوروبي الفرصة للسيطرة الكاملة على بياناتهم الشخصية. وفقًا لمعدل الناتج المحلي الإجمالي ، يتمتع مواطنو الاتحاد الأوروبي والسكان الأوروبيون بحقوق كبيرة جدًا في التحكم في بياناتهم الشخصية. يحق للمستخدمين الأوروبيين أن يطلبوا تأكيدًا لحقيقة أن بياناتهم قد تمت معالجتها ، ومكان معالجة البيانات والغرض منها ، وفئات البيانات الشخصية التي تتم معالجتها ، والبيانات الشخصية للجهات الخارجية التي يتم الكشف عنها ، والفترة التي ستتم خلالها معالجة البيانات ، وكذلك تحديد مصدر البيانات الشخصية التي تتلقاها المنظمة وتتطلب تصحيحها. علاوة على ذلك ، يحق للمستخدم المطالبة بإنهاء معالجة بياناته.
منذ مايو 2018 ، المسؤولية في شكل غرامات عن انتهاك قواعد معالجة البيانات الشخصية: حسب الناتج المحلي الإجمالي ، تصل الغرامات إلى 20 مليون يورو (حوالي 1.5 مليار روبل) أو 4 ٪ من الدخل العالمي السنوي للشركة.
الشيء الأكثر أهمية هو أن كل شيء يعمل ، والشركات التي تنتهك حقوق المستخدم تخضع للمساءلة وخطيرة للغاية. على سبيل المثال ، في 21 يناير 2019 ، قررت اللجنة الوطنية للمعلوماتية والحقوق المدنية الفرنسية (CNIL) تغريم الشركة الأمريكية GOOGLE LLC مقابل 50 مليون يورو لانتهاك الناتج المحلي الإجمالي. مبلغ الغرامة كبير جدا. وهذا يوضح بوضوح تهديد عدم الامتثال لمتطلبات الناتج المحلي الإجمالي. ماذا عوقب؟ قررت اللجنة الفرنسية أنه أثناء التكوين الأولي لجهاز محمول باستخدام نظام التشغيل Android (Google) ، لا يتلقى المستخدم معلومات كاملة عما تفعله Google ببياناتها الشخصية. لم تف الشركة بالتزامها بضمان الشفافية في معالجة البيانات الشخصية والكيانات المبلغة (المادتان 12 و 13 من الناتج المحلي الإجمالي). لا يتم تنظيم فترات تخزين بيانات المستخدم بدقة. لم يكن لدى الشركة الأساس القانوني اللازم لمعالجة البيانات (المادة 6 من الناتج المحلي الإجمالي). تم اتهام Google أيضًا بالحصول على موافقة المستخدم بطريقة غير صحيحة على معالجة بياناتهم لتخصيص الإعلانات.
أمثلة أخرى: غرامة من المنظم الألماني LfDI ، تطبيق دردشة يؤرخ Knuddels - 20،000 يورو ، اتُهم مستشفى Barreiro البرتغالي بإدارة الوصول غير الصحيح إلى البيانات الشخصية الهامة (غرامة قدرها 300 ألف يورو) وانتهاك الأمن وسلامة البيانات (100 ألف يورو أخرى ) أصدرت سلطات المملكة المتحدة تحذيرا لشركة أبحاث كندية تحليلية. كانت الشركة ملزمة بالتوقف عن معالجة البيانات الشخصية للمواطنين ، وإلا فستواجه غرامة قدرها 20 مليون يورو. الشركة الكندية AggregateIQ ، التي تعمل في مجال التسويق الرقمي وتطوير البرمجيات ، فرضت غرامة قدرها 17،000،000 جنيه. تم تغريم المقاهي في النمسا مبلغ 5،280 يورو بسبب المراقبة غير القانونية للفيديو (استولت الكاميرا على جزء من الرصيف). أي لا ينبغي أن تقتصر أي منظمة يغطيها إجمالي الناتج المحلي ، وفقًا للتقاليد الروسية ، على تطوير الوثائق التنظيمية.
بالمناسبة ، فإن خصوصية الناتج المحلي الإجمالي هي أن تأثيره يتم تطبيقه على جميع الشركات التي تقوم بمعالجة البيانات الشخصية للمقيمين ومواطني الاتحاد الأوروبي ، بغض النظر عن موقع هذه الشركة ، لذلك يجب على الشركات الروسية النظر بعناية في هذه اللوائح إذا كانت خدماتها تركز على السوق الأوروبية