Perbandingan pendekatan dan praktik untuk perlindungan data pribadi di Rusia dan Uni Eropa
Bahkan, dengan tindakan apa pun yang dilakukan oleh pengguna di Internet, ada satu atau lain cara manipulasi data pribadi pengguna.
Kami tidak membayar banyak layanan yang kami terima di Internet: untuk mencari informasi, untuk email, untuk menyimpan data kami di cloud, untuk berkomunikasi di jejaring sosial, dll. Namun, layanan ini hanya gratis dengan syarat: kami membayar untuk mereka dengan data kami dimana perusahaan-perusahaan ini kemudian berubah menjadi uang, terutama melalui iklan.
Saat ini, data tentang jenis kelamin, usia dan tempat tinggal, riwayat pencarian -
Landasan untuk industri periklanan online, yang berjumlah miliaran dolar dan euro. Yaitu, dari sudut pandang hukum, data pribadi adalah bahan untuk melakukan bisnis. Oleh karena itu, perusahaan melakukan upaya besar dan menghabiskan dana yang cukup besar untuk memperoleh dan memproses data pribadi. Survei yang dilakukan pada tahun 2018 menunjukkan bahwa pengguna, yang menyadari nilai data pribadi mereka, semakin tidak puas dengan cara perusahaan menangani data pribadi mereka.
Regulasi dalam segmen penggunaan data pengguna belum terbentuk dan tertinggal di belakang pengembangan teknologi tidak hanya di Rusia tetapi di seluruh dunia, oleh karena itu, keseimbangan kepentingan konsumen dan perusahaan dalam model “layanan uang - data - uang” dibangun hari ini oleh Regulator dan perjanjian diam-diam antara masyarakat dan perusahaan. Regulator membatasi kemampuan perusahaan IT dan memperluas hak-hak pengguna: mereka memperkenalkan undang-undang baru yang memberi pengguna kontrol lebih besar atas informasi yang mereka berikan.
Sangat menarik untuk membandingkan pendekatan regulator di negara-negara Eropa dan Rusia. Di Rusia, tindakan pengaturan utama yang mengatur penanganan data pribadi adalah Undang-Undang Federal tentang Perlindungan Data Pribadi (152-FZ) ditambah Kode Pelanggaran Administrasi, yang secara langsung menetapkan jumlah denda spesifik karena melanggar prosedur penanganan data pribadi. Denda administratif mulai 1 Juli 2017 meningkat secara signifikan. Pada saat yang sama, denda baru ditetapkan tergantung pada jenis pelanggaran yang dilakukan. Jadi, pejabat dapat didenda dalam jumlah dari 3.000 hingga 20.000 rubel, pengusaha individu - dalam jumlah 5.000 hingga 20.000 rubel, organisasi - dalam jumlah 15.000 hingga 75.000 rubel. Selain itu, mereka dapat dimintai pertanggungjawaban atas berbagai pelanggaran. Dengan demikian, untuk pelanggaran yang berbeda pada satu perusahaan dapat mengenakan beberapa denda yang berbeda. Tetapi tanggung jawab diberikan secara khusus untuk ketidakpatuhan dengan persyaratan formal, misalnya, jika kertas yang diperlukan hilang. Dengan perlindungan informasi nyata ini tidak selalu terkait langsung. Sebagai contoh, kebocoran per se bukanlah dasar untuk hukuman kecuali hukum lain dilanggar. Menariknya, sejumlah besar pelanggaran yang teridentifikasi di bidang penanganan data pribadi berisi komposisi yang diatur dalam Pasal 19.7 Kode Pelanggaran Administratif Federasi Rusia: “Kegagalan untuk menyerahkan atau penyerahan secara tidak tepat waktu kepada badan negara (Roskomnadzor) - informasi (informasi), ketentuan yang ditentukan oleh hukum dan diperlukan untuk implementasi oleh badan ini aktivitasnya yang sah .. ". Menariknya, tanggung jawab yang jauh lebih besar diberikan bukan untuk pelanggaran prosedur penanganan data pribadi (seperti yang disebutkan di atas, ini adalah rata-rata 30-50 ribu rubel), tetapi untuk kegagalan memberikan (menunda, presentasi tidak lengkap) informasi tentang prosedur penanganan data pribadi di Roskomnadzor mengandalkan denda hingga 200.000 rubel. Yaitu dalam undang-undang Rusia dan dalam praktik penerapannya, tren yang berlaku adalah "hal utama yang sesuai dengan tuntutan itu" dan kebutuhan negara dipenuhi. badan dalam berbagai laporan. Hak-hak nyata pengguna dan keamanan data pribadi mereka di Internet dilindungi dengan buruk. Jumlah denda yang sama tidak berkorelasi dengan jumlah tunjangan yang diterima oleh beberapa perusahaan jika terjadi pelanggaran terhadap perlakuan data pribadi di Internet dan tidak merangsang kepatuhan terhadap peraturan ini.
UE memiliki gambaran yang sedikit berbeda. Sejak Mei 2018, di Eropa, bekerja dengan data pribadi telah diatur oleh aturan untuk memproses data pribadi yang ditetapkan oleh Peraturan Perlindungan Data Umum ( Peraturan EU 2016/679 tanggal 27 April 2016 atau GDPR - Peraturan Perlindungan Data Umum). Peraturan tersebut memiliki efek langsung di semua 28 negara Uni Eropa. Regulasi ini memberikan kesempatan kepada penduduk UE untuk memiliki kontrol penuh atas data pribadi mereka. Menurut GDPR, secara signifikan warga dan warga UE memiliki hak yang sangat luas untuk mengontrol data pribadi mereka. Pengguna Eropa memiliki hak untuk meminta konfirmasi atas fakta bahwa data mereka telah diproses, tempat dan tujuan pemrosesan, kategori data pribadi yang sedang diproses, di mana data pribadi pihak ketiga diungkapkan, periode di mana data akan diproses, serta untuk menentukan sumber data pribadi yang diterima oleh organisasi dan memerlukan koreksi mereka. Selain itu, pengguna memiliki hak untuk meminta penghentian pemrosesan datanya.
Sejak Mei 2018, Tanggung jawab dalam bentuk denda karena pelanggaran aturan pemrosesan data pribadi: menurut GDPR, denda mencapai 20 juta euro (sekitar 1,5 miliar rubel) atau 4% dari pendapatan global tahunan perusahaan.
Yang paling penting adalah semuanya berfungsi, perusahaan yang melanggar hak pengguna harus bertanggung jawab dan sangat serius. Misalnya, pada 21 Januari 2019, Komisi Nasional Informasi dan Hak Sipil Nasional Perancis (CNIL) memutuskan untuk mendenda perusahaan Amerika GOOGLE LLC seharga 50 juta euro karena melanggar GDPR. Jumlah denda sangat besar. Ini dengan jelas menggambarkan ancaman ketidakpatuhan terhadap persyaratan GDPR. Untuk apa dihukum? Komisi Perancis menetapkan bahwa selama konfigurasi awal perangkat seluler menggunakan sistem operasi Android (Google), pengguna tidak menerima informasi lengkap tentang apa yang Google lakukan dengan data pribadinya. Perusahaan belum memenuhi kewajibannya untuk memastikan transparansi dalam pemrosesan data pribadi dan entitas pemberi informasi (Pasal 12 dan 13 dari GDPR). Periode penyimpanan data pengguna tidak diatur secara tepat. Perusahaan tidak memiliki dasar hukum yang diperlukan untuk pemrosesan data (pasal 6 GDPR). Google juga dituduh tidak memperoleh persetujuan pengguna untuk memproses data mereka untuk mempersonalisasi iklan.
Contoh lain: denda dari regulator Jerman LfDI, aplikasi obrolan kencan Knuddels - 20.000 euro, Rumah Sakit Barreiro Portugis dituduh mengelola akses ke data pribadi penting (denda 300 ribu euro) secara tidak patut) dan pelanggaran keamanan dan integritas data (100 ribu euro lainnya) ) Pemerintah Inggris telah mengeluarkan peringatan kepada perusahaan riset analitik Kanada. Perusahaan itu diwajibkan untuk berhenti memproses data pribadi warga negara, jika tidak maka akan menghadapi denda 20 juta Euro. Perusahaan Kanada AggregateIQ, yang bergerak dalam bidang pemasaran digital dan pengembangan perangkat lunak, dikenakan denda 17.000.000 pound. Kafe-kafe di Austria didenda € 5.280 untuk pengawasan video ilegal (kamera mengambil bagian trotoar). Yaitu organisasi apa pun yang dicakup oleh GDPR tidak boleh dibatasi, menurut tradisi Rusia, untuk pengembangan dokumentasi peraturan.
Ngomong-ngomong, kekhasan GDPR adalah bahwa efeknya diterapkan pada semua perusahaan yang memproses data pribadi penduduk dan warga UE, terlepas dari lokasi perusahaan seperti itu, oleh karena itu perusahaan Rusia harus mempertimbangkan Peraturan ini dengan hati-hati jika layanan mereka difokuskan pada pasar Eropa