在俄罗斯和欧盟比较保护个人数据的方法和实践
实际上,通过用户在Internet上执行的任何操作,都会以一种或另一种方式来操纵用户的个人数据。
我们不需要为互联网上收到的许多服务付费:用于搜索信息,电子邮件,将数据存储在云中,在社交网络上进行通信等。但是,这些服务只是有条件的免费:我们使用数据为它们付费然后这些公司主要通过广告来赚钱。
目前,有关性别,年龄和居住地点,搜索记录的数据-
在线广告行业的基础,其价值达数十亿美元和欧元。 即,从法律的角度来看,个人数据是开展业务的材料。 因此,公司正在付出巨大的努力并花费大量资金来获取和处理个人数据。 2018年进行的调查显示,用户意识到其个人数据的价值,对公司如何处理其个人数据越来越不满意。
用户数据使用领域的监管尚未形成,不仅在俄罗斯而且在整个世界都落后于技术的发展,因此,今天,监管机构和默示协议都建立了消费者和公司在“货币-服务-数据-货币”模型中的利益平衡。在社会和公司之间。 监管机构限制了IT公司的能力并扩大了用户的权利:他们引入了新的法律,使用户可以更好地控制他们提供的信息。
比较欧洲国家和俄罗斯监管机构的方法很有趣。 在俄罗斯,管理个人数据的主要法规是联邦保护个人数据法(152-FZ)加上行政违法法典,该法直接规定了违反处理个人数据程序的特定罚款数额。 自2017年7月1日起,行政罚款大幅增加。 同时,根据所犯罪行的类型确定了新的罚款。 因此,官员可被处以3,000至20,000卢布的罚款,个人企业家-5,000至20,000卢布的罚款,组织-15,000至75,000卢布的罚款。 此外,他们可能要承担各种罪行的责任。 因此,对一家公司的不同违法行为可能会处以不同的罚款。 但是,责任是专门针对不遵守正式要求(例如,缺少必要的文件)的情况。 对于真正的信息保护,这并不总是直接相关的。 例如,除非违反其他法律,否则泄漏本身并不是处罚的依据。 有趣的是,在处理个人数据领域中发现的大量违法行为包含《俄罗斯联邦行政犯罪法》第19.7条所规定的构成:“未向国家机关(Roskomnadzor)提交或不及时地提交-信息(信息),其提供是法律规定的,并且是该机构实施所必需的他的合法活动..“ 有趣的是,承担更大的责任不是违反处理个人数据的程序(如上所述,这平均为30-5万卢布),而是由于未能提供(延迟,不完整的展示)处理个人数据的信息。 Roskomnadzor处以最高200,000卢布的罚款。 即 在俄罗斯立法及其实施实践中,普遍的趋势是“诉讼的主要内容”,并满足了国家的需求。 各种报告中的机构。 用户的物权及其在Internet上的个人数据的安全性受到不良保护。 在违反互联网上对个人数据的处理的情况下,相同数额的罚款与某些公司所获得的收益金额无关,并且不会刺激遵守这些规则。
欧盟的情况略有不同。 自2018年5月以来,在欧洲,个人数据的处理受到通用数据保护法规(2016年4月27日的欧盟法规2016/679或GDPR-通用数据保护法规)建立的处理个人数据的规则的监管。 该法规对所有28个欧盟国家都有直接影响。 该法规为欧盟居民提供了对其个人数据进行完全控制的机会。 根据GDPR,欧盟公民和居民在很大程度上拥有控制其个人数据的广泛权利。 欧洲用户有权要求确认其数据已被处理的事实,处理的地点和目的,正在处理的个人数据的类别,向其披露第三方个人数据的时间,处理数据的时间以及指定组织接收的个人数据的来源并需要对其进行更正的权利。 此外,用户有权要求终止其数据处理。
自2018年5月以来,违反处理个人数据规则的罚款形式的责任:根据GDPR,罚款达到2000万欧元(约15亿卢布),占公司年度全球收入的4%。
最重要的是,这一切正常,侵犯用户权利的公司要承担责任,并且非常严肃。 例如,在2019年1月21日,法国国家信息和民权委员会(CNIL)决定对美国公司GOOGLE LLC处以5000万欧元的罚款,因为它违反了GDPR。 罚款金额非常大。 这清楚地说明了不遵守GDPR要求的威胁。 惩罚了什么? 法国委员会确定,在使用Android(Google)操作系统对移动设备进行初始配置期间,用户不会收到有关Google如何处理其个人数据的完整信息。 公司没有履行其义务,以确保在处理个人数据和通知实体方面的透明度(GDPR第12和13条)。 用户数据的存储时间未精确调整。 该公司没有必要的法律依据进行数据处理(GDPR第6条)。 Google还被指控未正确获得用户同意以处理其数据以个性化广告。
其他例子:德国LfDI监管机构罚款,Knuddels约会聊天应用程序罚款-20,000欧元,葡萄牙Barreiro医院被指控不适当地管理对关键个人数据的访问(罚款30万欧元),并且违反了安全性和数据完整性(另外10万欧元) ) 英国当局已向一家加拿大分析研究公司发出警告。 该公司必须停止处理公民的个人数据,否则将面临2000万欧元的罚款。 从事数字营销和软件开发的加拿大公司AggregateIQ被罚款1700万英镑。 奥地利的咖啡馆因非法视频监控(摄像机没收了人行道的一部分)而被罚款5,280欧元。 即 根据俄罗斯的传统,GDPR涵盖的任何组织都不应局限于监管文件的制定。
顺便说一句,GDPR的独特之处在于,它的效果适用于所有处理欧盟居民和公民个人数据的公司,无论该公司位于何处,因此,如果俄罗斯公司的服务集中在欧洲市场,则应仔细考虑这些规定