ロシアとEUの個人データ保護のためのアプローチと実践の比較
実際、ユーザーがインターネット上でコミットしたアクションでは、何らかの方法でユーザーの個人データが操作されます。
情報の検索、電子メール、クラウドへのデータの保存、ソーシャルネットワークでの通信など、インターネットで受け取る多くのサービスに料金はかかりません。ただし、これらのサービスは条件付きで無料です。これらの企業は、主に広告を通じてお金に変わります。
現在、性別、年齢、居住地、検索履歴に関するデータ-
オンライン広告業界の基盤。数十億ドルとユーロになります。 つまり、法的観点から見ると、個人データはビジネスを行うための資料です。 したがって、企業は多大な努力を払い、個人データを取得して処理するためにかなりの資金を費やしています。 2018年に実施された調査によると、ユーザーは個人データの価値を認識し、企業が個人データをどのように扱うかに不満を募らせています。
ユーザーデータの使用分野における規制はまだ発展しておらず、ロシアだけでなく世界中の技術開発に遅れをとっているため、「マネー-サービス-データ-マネー」モデルにおける消費者と企業の利益のバランスは、規制当局と暗黙の合意の両方によって今日構築されています社会と企業の間。 規制当局は、IT企業の能力を制限し、ユーザーの権利を拡大します。ユーザーが提供する情報をより詳細に制御できる新しい法律を導入します。
欧州諸国とロシアの規制当局のアプローチを比較することは興味深いです。 ロシアでは、個人データの取り扱いを管理する主な規制法は、個人データの保護に関する連邦法(152-)と、個人データの取り扱い手順に違反した場合の罰金の具体的な金額を直接定める行政犯罪法です。 2017年7月1日からの行政罰金は大幅に増加しました。 同時に、犯した犯罪の種類に応じて新しい罰金が科されました。 そのため、役人は3,000から20,000ルーブル、個人の起業家-5,000から20,000ルーブル、組織-15,000から75,000ルーブルの罰金を科せられます。 さらに、彼らはさまざまな犯罪の責任を問われる可能性があります。 したがって、1つの会社に対するさまざまな違反に対して、いくつかの異なる罰金を科すことがあります。 ただし、たとえば、必要な書類が欠落している場合など、正式な要件を遵守していない場合は特に責任があります。 実際の情報保護では、これは常に直接関連するとは限りません。 たとえば、他の法律に違反しない限り、漏れ自体は罰則の根拠にはなりません。 興味深いことに、個人データの取り扱いの分野で特定されたかなりの数の違反には、ロシア連邦行政犯罪法第19.7項に規定されている構成が含まれています。彼の合法的な活動..」。 興味深いことに、個人データの取り扱い手順に違反すること(上記のように、これは平均3万から5万ルーブルです)ではなく、個人データの取り扱い手順に関する情報の提供(遅延、不完全な提示)に対する違反に対して、より大きな責任が与えられますRoskomnadzorは、最大200,000ルーブルの罰金に依存しています。 つまり ロシアの法律およびその適用の実施において、一般的な傾向は「訴訟が着手すべき主要な事項」であり、国家のニーズは満たされた。 さまざまなレポートの本文。 インターネット上のユーザーの本当の権利と個人データのセキュリティは十分に保護されていません。 同じ量の罰金は、インターネット上の個人データの取り扱いに違反した場合に一部の企業が受け取る利益の量とは相関せず、これらの規則へのコンプライアンスを刺激しません。
EUの状況は少し異なります。 2018年5月以降、ヨーロッパでは、個人データの取り扱いは、一般データ保護規則(2016年4月27日のEU規則2016/679またはGDPR-一般データ保護規則)によって確立された個人データの処理規則によって規制されています。 この規制は、EUの28か国すべてに直接影響を及ぼします。 この規則は、EU居住者に個人データを完全に制御する機会を提供します。 GDPRによれば、EUの市民と居住者の大部分は、個人データを管理する非常に広範な権利を持っています。 ヨーロッパのユーザーは、データが処理されたという事実、処理の場所と目的、処理中の個人データのカテゴリ、第三者の個人データが開示される期間、データが処理される期間の確認を要求する権利、および組織が受信した個人データのソースを指定し、修正を要求する権利を有します。 さらに、ユーザーは自分のデータの処理の終了を要求する権利を持っています。
2018年5月以降、個人データ処理規則違反に対する罰金の形での責任:GDPRによると、罰金は2000万ユーロ(約15億ルーブル)または会社の年間世界所得の4%に達します。
最も重要なことは、これらすべてが機能することであり、ユーザーの権利を侵害する企業は説明責任を負い、非常に深刻です。 たとえば、2019年1月21日に、フランス国立情報人権委員会(CNIL)は、GDPRに違反したために、米国企業GOOGLE LLCに5000万ユーロの罰金を科すことを決定しました。 罰金の額は非常に大きい。 これは、GDPR要件への違反の脅威を明確に示しています。 罰せられたのは何ですか? フランスの委員会は、Android(Google)オペレーティングシステムを使用したモバイルデバイスの初期構成中に、ユーザーがGoogleが個人データで行うことに関する完全な情報を受け取らないと判断しました。 会社は、個人データの処理および情報提供機関の透明性を確保する義務を果たしていません(GDPRの第12条および第13条)。 ユーザーデータの保存期間は厳密に規制されていません。 会社には、データ処理に必要な法的根拠がありませんでした(GDPR第6条)。 また、Googleは、データを処理して広告をパーソナライズするユーザーの同意を不適切に取得したとして非難されました。
その他の例:ドイツのLfDI規制当局からの罰金、クヌーデルデートチャットアプリケーション-20,000ユーロ;ポルトガルのバレイロ病院は、重要な個人データへのアクセスの不適切な管理(30万ユーロの罰金)およびセキュリティとデータの整合性の侵害(別の10万ユーロ)で告発されました) 英国の認定機関は、分析研究に従事しているカナダの会社に警告を発しました。 同社は、市民の個人データの処理を停止する義務がありました。そうしないと、2,000万ユーロの罰金が科せられます。 カナダの企業AggregateIQは、デジタルマーケティングとソフトウェア開発に従事しており、17,000,000ポンドの罰金を科されました。 オーストリアのカフェは、違法なビデオ監視(カメラが歩道の一部を押収した)により5,280ユーロの罰金を科されました。 つまり GDPRの対象となる組織は、ロシアの伝統によれば、規制文書の作成に限定されるべきではありません。
ちなみに、GDPRの特性は、そのような企業の所在地に関係なく、EUの居住者および市民の個人データを処理するすべての企業にその効果が適用されることです。したがって、ロシア企業は、サービスが欧州市場に焦点を当てている場合、これらの規則を慎重に検討する必要があります