Vergleich von Ansätzen und Praktiken zum Schutz personenbezogener Daten in Russland und der EU
Tatsächlich gibt es bei jeder Aktion, die der Benutzer im Internet begeht, auf die eine oder andere Weise die Manipulation der persönlichen Daten des Benutzers.
Wir zahlen nicht für viele Dienste, die wir im Internet erhalten: für die Suche nach Informationen, für E-Mails, für die Speicherung unserer Daten in der Cloud, für die Kommunikation in sozialen Netzwerken usw. Diese Dienste sind jedoch nur bedingt kostenlos: Wir bezahlen sie mit unseren Daten die diese Unternehmen dann hauptsächlich durch Werbung in Geld verwandeln.
Derzeit Daten zu Geschlecht, Alter und Wohnort, Suchverlauf -
Die Grundlage für die Online-Werbebranche, die sich auf Milliarden von Dollar und Euro beläuft. Das heißt, aus rechtlicher Sicht sind personenbezogene Daten Materialien für die Geschäftstätigkeit. Dementsprechend unternehmen Unternehmen große Anstrengungen und geben beträchtliche Mittel aus, um personenbezogene Daten zu erhalten und zu verarbeiten. Umfragen aus dem Jahr 2018 zeigen, dass Benutzer, die den Wert ihrer persönlichen Daten erkennen, immer unzufriedener mit dem Umgang von Unternehmen mit ihren persönlichen Daten sind.
Die Regulierung im Bereich der Nutzung von Benutzerdaten hat noch nicht Gestalt angenommen und bleibt hinter der Entwicklung von Technologien nicht nur in Russland, sondern auf der ganzen Welt zurück. Daher wird der Interessenausgleich von Verbrauchern und Unternehmen im Modell „Geld - Service - Daten - Geld“ heute sowohl von Regulierungsbehörden als auch von stillschweigenden Vereinbarungen aufgebaut zwischen Gesellschaft und Unternehmen. Regulierungsbehörden schränken die Fähigkeiten von IT-Unternehmen ein und erweitern die Rechte der Benutzer: Sie führen neue Gesetze ein, die den Benutzern mehr Kontrolle über die von ihnen bereitgestellten Informationen geben.
Es ist interessant, die Ansätze der Regulierungsbehörden in europäischen Ländern und in Russland zu vergleichen. In Russland sind die wichtigsten Regulierungsgesetze für den Umgang mit personenbezogenen Daten das Bundesgesetz zum Schutz personenbezogener Daten (152-FZ) sowie der Code of Administrative Offenses, in dem die Höhe der Geldbußen für Verstöße gegen das Verfahren zum Umgang mit personenbezogenen Daten direkt festgelegt wird. Die Geldbußen ab dem 1. Juli 2017 sind erheblich gestiegen. Gleichzeitig wurden je nach Art der begangenen Straftat neue Geldbußen verhängt. So können Beamte mit einer Geldstrafe von 3.000 bis 20.000 Rubel, Einzelunternehmer - von 5.000 bis 20.000 Rubel, Organisationen - mit einer Geldstrafe von 15.000 bis 75.000 Rubel belegt werden. Darüber hinaus können sie für verschiedene Straftaten haftbar gemacht werden. Dementsprechend können für verschiedene Verstöße gegen ein Unternehmen mehrere unterschiedliche Bußgelder verhängt werden. Die Verantwortung wird jedoch speziell für die Nichteinhaltung formaler Anforderungen übernommen, beispielsweise wenn die erforderlichen Unterlagen fehlen. Mit echtem Informationsschutz ist dies nicht immer direkt verbunden. Zum Beispiel ist ein Leck an sich keine Grundlage für Strafen, es sei denn, andere Gesetze werden verletzt. Interessanterweise enthält eine erhebliche Anzahl festgestellter Verstöße im Bereich des Umgangs mit personenbezogenen Daten die in Artikel 19.7 des Kodex für Verwaltungsverstöße der Russischen Föderation vorgesehene Zusammensetzung: „Nichtvorlage oder vorzeitige Übermittlung an die staatliche Stelle (Roskomnadzor) - Informationen (Informationen), deren Bereitstellung gesetzlich vorgeschrieben ist und für die Umsetzung durch diese Stelle erforderlich ist seine legitimen Aktivitäten .. ". Interessanterweise wird eine viel größere Verantwortung dafür übernommen, dass nicht gegen das Verfahren zum Umgang mit personenbezogenen Daten verstoßen wird (wie oben erwähnt, dies sind durchschnittlich 30-50.000 Rubel), sondern dass keine Informationen über das Verfahren zum Umgang mit personenbezogenen Daten (Verzögerung, unvollständige Darstellung) bereitgestellt werden Roskomnadzor verhängt eine Geldstrafe von bis zu 200.000 Rubel. Das heißt, In der Gesetzgebung Russlands und in der Praxis seiner Anwendung ist der vorherrschende Trend „die Hauptsache, auf der der Anzug sitzen würde“ und die Bedürfnisse des Staates Körper in verschiedenen Berichten. Die tatsächlichen Rechte der Benutzer und die Sicherheit ihrer persönlichen Daten im Internet sind schlecht geschützt. Die gleiche Höhe der Geldbußen korreliert nicht mit der Höhe der Leistungen, die einige Unternehmen im Falle eines Verstoßes gegen die Behandlung personenbezogener Daten im Internet erhalten, und fördert nicht die Einhaltung dieser Regeln.
Die EU hat ein etwas anderes Bild. Seit Mai 2018 ist in Europa die Arbeit mit personenbezogenen Daten durch die Regeln für die Verarbeitung personenbezogener Daten geregelt, die in der Allgemeinen Datenschutzverordnung ( EU-Verordnung 2016/679 vom 27. April 2016 oder der DSGVO - Allgemeine Datenschutzverordnung) festgelegt sind. Die Verordnung hat direkte Wirkung in allen 28 EU-Ländern. Die Verordnung bietet EU-Bürgern die Möglichkeit, die vollständige Kontrolle über ihre personenbezogenen Daten zu haben. Nach Angaben der DSGVO haben EU-Bürger und Einwohner ein sehr weites Recht, ihre personenbezogenen Daten zu kontrollieren. Europäische Nutzer haben das Recht, eine Bestätigung der Tatsache zu verlangen, dass ihre Daten verarbeitet wurden, den Ort und den Zweck der Verarbeitung, die Kategorien der zu verarbeitenden personenbezogenen Daten, an die personenbezogene Daten Dritter weitergegeben werden, den Zeitraum, in dem die Daten verarbeitet werden, sowie die Quelle der bei der Organisation erhaltenen personenbezogenen Daten anzugeben und deren Korrektur zu verlangen. Darüber hinaus hat der Nutzer das Recht, die Beendigung der Verarbeitung seiner Daten zu verlangen.
Seit Mai 2018 die Verantwortung in Form von Geldbußen für Verstöße gegen die Regeln für die Verarbeitung personenbezogener Daten: Laut DSGVO erreichen Geldbußen 20 Millionen Euro (ca. 1,5 Milliarden Rubel) oder 4% des jährlichen Gesamteinkommens des Unternehmens.
Das Wichtigste ist, dass alles funktioniert. Unternehmen, die Benutzerrechte verletzen, werden zur Rechenschaft gezogen und sind sehr ernst. Beispielsweise hat die französische nationale Kommission für Informatik und Bürgerrechte (CNIL) am 21. Januar 2019 beschlossen, das amerikanische Unternehmen GOOGLE LLC wegen Verstoßes gegen die DSGVO mit einer Geldstrafe von 50 Millionen Euro zu bestrafen. Die Höhe der Geldbuße ist sehr groß. Dies zeigt deutlich die Gefahr der Nichteinhaltung der DSGVO-Anforderungen. Wofür wurde bestraft? Die französische Kommission stellte fest, dass der Nutzer bei der Erstkonfiguration eines Mobilgeräts mit dem Betriebssystem Android (Google) keine vollständigen Informationen darüber erhält, was Google mit seinen persönlichen Daten macht. Das Unternehmen ist seiner Verpflichtung zur Gewährleistung von Transparenz bei der Verarbeitung personenbezogener Daten und der Information von Stellen nicht nachgekommen (Artikel 12 und 13 der DSGVO). Die Speicherzeiten von Benutzerdaten sind nicht genau geregelt. Das Unternehmen verfügte nicht über die notwendige Rechtsgrundlage für die Datenverarbeitung (Artikel 6 DSGVO). Google wurde auch vorgeworfen, die Zustimmung der Nutzer zur Verarbeitung ihrer Daten zur Personalisierung von Anzeigen nicht ordnungsgemäß eingeholt zu haben.
Weitere Beispiele: Eine Geldstrafe der deutschen Aufsichtsbehörde des LfDI, der Knuddels-Dating-Chat-Anwendung - 20.000 Euro. Das portugiesische Barreiro-Krankenhaus wurde beschuldigt, den Zugang zu kritischen personenbezogenen Daten nicht ordnungsgemäß verwaltet zu haben (eine Geldstrafe von 300.000 Euro) und die Sicherheit und Datenintegrität verletzt zu haben (weitere 100.000 Euro) ) Die britischen Behörden haben ein kanadisches analytisches Forschungsunternehmen gewarnt. Das Unternehmen musste die Verarbeitung personenbezogener Daten von Bürgern einstellen, da sonst eine Geldstrafe von 20 Millionen Euro verhängt würde. Das kanadische Unternehmen AggregateIQ, das sich mit digitalem Marketing und Softwareentwicklung befasst, wurde mit einer Geldstrafe von 17.000.000 Pfund belegt. Cafés in Österreich wurden wegen illegaler Videoüberwachung mit einer Geldstrafe von 5.280 Euro belegt (die Kamera beschlagnahmte einen Teil des Bürgersteigs). Das heißt, Jede Organisation, die unter die DSGVO fällt, sollte nach russischer Tradition nicht auf die Entwicklung von Regulierungsdokumenten beschränkt sein.
Die Besonderheit der DSGVO besteht übrigens darin, dass ihre Wirkung auf alle Unternehmen angewendet wird, die personenbezogene Daten von Einwohnern und Bürgern der EU verarbeiten, unabhängig vom Standort eines solchen Unternehmens. Daher sollten russische Unternehmen diese Vorschriften sorgfältig prüfen, wenn sich ihre Dienstleistungen auf den europäischen Markt konzentrieren