文章分类
俄罗斯的数据保护(隐私)法是俄罗斯立法中发展迅速的一个分支,主要在2005年和2006年颁布。[1]2006年7月27日实施的《俄罗斯联邦个人数据法》(第152-FZ号),构成俄罗斯隐私法的支柱,并要求数据运营商采取“保护个人数据免受非法或意外访问所需的所有必要组织和技术措施”。[2] 该修正案于2020年12月20日签署,并于2021 3月1日生效。该修正案要求“公开的个人数据”需要获得数据主体的同意。[3] 俄罗斯联邦通信、信息技术和大众媒体监督局是负责监督合规性的政府机构
适用法律
《关于在自动处理个人数据方面保护个人的公约》,俄罗斯联邦于2005年12月19日签署和批准;[5]
自2006年7月27日起,第152-FZ号俄罗斯联邦“个人数据”法规范了通过自动化设备处理个人数据。要求经营者遵守该法案;
2007年11月17日第781号《俄罗斯政府条例》颁布的“个人数据系统中处理的个人数据安全条例”。该条例包含处理和存储个人数据时应遵守的强制性安全条例;
截至2006年3月13日第38-FZ号《联邦广告法》。该条例规定了通过电子邮件、短信等电子手段发送的营销通信。;
2001年12月30日第195-FZ号《俄罗斯行政违法行为法典》。该法规定了与处理个人数据或分发营销通信有关的行政犯罪的责任问题。
定义
“个人数据”是指与个人(个人数据主体)相关的任何信息,包括
- 姓氏、姓名、父系、出生日期、月份、年份和地点、地址、家庭、社会、财产状况、教育、职业、收入、其他信息;[6]
“敏感个人数据”是指与以下相关的个人数据:
- 种族或人种
- 政治观点
- 宗教信仰
- 健康状况
- 性生活
处理是指可以对个人数据或个人数据进行的任何操作,包括获取、组织、积累、持有、调整(更新、修改)、使用、披露(包括传输)、模拟、阻止或销毁此类数据;
操作者是组织和/或执行数据处理的实体,并确定数据处理的目的和方式。在大多数情况下,母公司和管理提供的相关设施或服务的实体均为运营商;
个人数据系统是一种数据系统,包括数据库中记录的个人数据,以及能够处理此类数据的信息技术和技术设备。
适用法律中包含的基本规则
处理个人数据需要个人的同意。该规则不适用于个人作为一方的合同履行所需的此类处理。
应记住,个人数据主体有权在任何时候撤销其先前授予的同意,该同意要求运营商在撤销日期后的三个工作日内停止处理此类个人数据并将其销毁(除非运营商和个人约定了其他期限),并通知个人数据主体其个人数据已被销毁的事实。
更具体地说,出于直接营销目的的个人数据处理可以在个人数据主体事先同意的情况下进行。除非运营商证明相反,否则推定未获得此类同意。应个人数据主体的要求,必须立即停止出于上述目的处理个人数据。
在获取个人数据时,运营商有义务根据个人的要求,向后者传达与运营商和预期处理过程有关的信息。
如果个人数据不是直接从个人数据主体获得的,运营商在处理此类信息之前必须向个人提供以下信息:
- 经营者或其代表的姓名和地址;
- 个人数据处理的目的和法律依据;
- 个人数据的预期用户;和
- 根据2006年7月27日第152-FZ号《联邦个人数据法》,个人的权利。
一般而言,禁止以任何方式处理个人的敏感个人数据,除非在处理之前已从个人处获得包含法律规定的所有条件的明确书面同意。
一般而言,要在俄罗斯联邦境外传输个人数据,运营商必须确保在传输之前,个人数据主体的权利在目的地国得到充分保护。
直到2015年9月1日,负责个人数据保护的政府机构联邦电信局的立场是,只有在签署和批准了《个人数据自动处理保护公约》的国家,才存在充分和充分的保护。然而,有三个主要例外情况允许将个人数据转移到个人数据保护标准较低或不适用的国家,即:
- 当个人作为一方的合同履行需要转让时
- 当个人数据主体事先书面同意(包含法律规定的所有条件)进行此类转让时
- 当俄罗斯联邦履行其在《重新接纳国际协定》下的义务需要移交时
2015年9月1日,新的“第18(5)条”生效,更加严格地限制了数据的输出。[7]
俄罗斯立法对使用电子通信手段进行直接营销施加了严格限制。也就是说,在通过电子邮件或短信向个人发送营销信息之前,应获得该个人的明确同意。除非发件人证明相反,否则应推定未获得此类事先同意。该法律规定,个人在接到通知后立即停止发送营销通信。还应注意的是,在俄罗斯,明确禁止使用自动拨号发送电子邮件或短信。
若要通过邮寄发送营销通信,运营商必须获得联邦电信局的特别许可。不幸的是,获得此类许可的程序尚未建立。
在处理个人数据时,就其处理目的而言,个人数据应充分、相关且不过度。
正在处理的个人数据应享有保密制度。这意味着运营商使用了足够的技术和组织手段,旨在防止任何第三方未经授权访问已处理的个人信息。必须制定程序(包括发布内部条例或法令),以规范获取此类机密信息的过程。
个人数据应准确,并在必要时保持最新。运营商有义务确保应个人数据主体的要求,个人信息可供其检查。如果此类受试者发现该信息过时或不充分,运营商将被迫停止处理此类信息,直到引入所需的修改。
个人数据的保存时间不应超过其处理目的所需的时间,这需要在实现此类目的后或在不再需要实现这些目的的情况下予以销毁。
个人数据必须根据适用的数据保护立法规定的个人数据主体的权利进行处理。除其他外,如果运营商:
- 违反立法中规定的访问权条款;
- 未能在法律规定或双方商定的期限内遵守停止处理的请求。
程序必须到位,以确保计算机系统配置适当,允许准确记录本文所述的所有相关案例中的同意书发放情况。还必须制定程序,以确保对任何通知或请求作出回应并及时处理。
必须采取适当的技术和组织措施,防止未经授权或非法处理个人数据,防止个人数据意外丢失、破坏或损坏。运营商应考虑采取适当措施确保数据完整性(用于电子处理),包括安装病毒防护软件和防火墙,采用数据传输加密,使用增强隐私的技术,并定期进行安全存储的备份。对于人工处理,应考虑采取适当的安全措施,例如将纸质记录存储在可上锁的防火柜中。
相关规定要求有效保护个人数据。联邦安全局(以下简称“FSS”)目前正在制定保护此类数据的强制性法规,将在两个月内发布。目前,根据在电话咨询期间从FSS专家处收到的信息,FSS有上述法规的初稿,该初稿可能会修改,因为上述法规的最终版本将在两个月内发布。该草案目前的版本规定保护所有以加密形式在俄罗斯境外传输的个人数据。值得一提的是,就目前而言,实际上可以仅使用俄罗斯加密软件和设备。
个人权利
立法赋予个人数据主体有关其持有的个人数据的某些权利。这些措施包括:
- 访问与运营商有关的信息和处理后的个人数据的权利;
- 要求停止处理、阻止或修改非法获取、不充分或过时的个人数据的权利;和
- 为直接营销目的要求立即停止加工的权利。
个人资料类别
该法规描述了某些个人数据类别:[8]
- 公共-仅从根据《俄罗斯联邦个人数据法》(第152-FZ号)第8条创建的公共可用个人数据源获得的个人数据
- 生物特征-描述一个人生理和生物特征的信息,在此基础上可以确定他的个性,并由个人数据运营商用于识别个人数据的主体。
- 特别-与种族、民族血统、政治观点、宗教信仰、健康状况、个人数据主体的性生活有关的个人数据。
- 其他-不属于上述任何类别(公共、生物识别、特殊)的个人数据。
通知
俄罗斯法律适用的运营商必须向其拥有个人信息处理设施的俄罗斯联邦公共通信、电信和文化遗产保护监督局(以下简称“联邦电信局”)领土机构发送通知。对于莫斯科,它将是上述联邦服务局的莫斯科部门。此类通知对于将运营商纳入特定登记册是必要的,并且应由在2006年7月27日颁布的“个人数据”联邦法律颁布之前处理个人信息并在2008年1月1日之前颁布后继续处理的运营商发出。在上述法律颁布之前,未使用位于俄罗斯的自己或第三方设备处理个人信息的运营商必须在实际开始处理个人数据之前发送通知。上述通知必须包含适用法律规定的信息。
司法权
俄罗斯数据保护立法的适用范围:当运营商使用位于俄罗斯的自己或第三方数据处理设备时,俄罗斯法律适用。以及数据已经在俄罗斯境外传输,但在传输之前或期间侵犯了个人数据主体的权利的情况。如果数据被及时转移到俄罗斯境外,则随后将受目的地国法律的监管,俄罗斯法律的影响将不适用于此。
在大多数情况下,联邦电信局仅对在俄罗斯持有或处理的数据拥有管辖权。然而,如果使用俄罗斯境内设备收集和处理个人数据的个人权利受到限制,则俄罗斯数据保护立法的法律影响将适用于已在俄罗斯境外传输的数据,在此类转移之前或期间受到侵犯(例如,运营商未经数据主体事先书面同意,将个人数据转移至个人数据未得到充分保护的国家)。在这种情况下,联邦电信局可能会对运营商提起诉讼,以保护个人数据主体的权利,并对违反数据保护法规的行为处以相应的罚款。
另见
- Data sovereignty
- Data localization
- Privacy
- Information privacy (data protection)
- Data governance
- National data protection authorities
本文:https://cioctocdo.com/data-protection-privacy-laws-russia
- 登录 发表评论