文章分类
一般方法
法律和监管框架
2006年7月通过了关于“个人数据”的第152-FZ号联邦法律(“数据保护法”),其中一些规定是基于俄罗斯2001年11月7日签署的1981年《关于在自动处理个人数据方面保护个人的斯特拉斯堡公约》(“斯特拉斯堡公约”)。
《数据保护法》提供了一个框架,由俄罗斯政府和政府当局的一些条例以及俄罗斯劳动和行政法的某些规定加以补充。
关键发展
2015年,《数据保护法》修订了个人数据本地化要求,根据该要求,俄罗斯公民的个人数据必须存储在位于俄罗斯的服务器上。2019年,除了之前的制裁措施(包括阻止访问侵权者的网站)外,还对违反这一要求的行为实施了巨额罚款。
2017年,违反个人数据法要求的行政罚款大幅增加。
2018年,俄罗斯签署了一项修正议定书,更新了《欧洲委员会关于在自动处理个人数据方面保护个人的第108号公约》。预计将修订《国家数据保护法》,以遵守本议定书。例如,应在俄罗斯法律中引入数据控制者通知数据保护机构和数据主体任何个人数据泄露的义务,以及基因数据作为一种新的敏感个人数据类别的概念。在现阶段,批准修正议定书的法律尚未通过。
监督机构
俄罗斯负责个人数据保护的机构是联邦通信、信息技术和大众媒体监督局(“Roskomnadzor”)。
数据保护法的范围
个人数据
《数据保护法》特别定义了个人数据和数据处理,规定了数据主体的权利和数据控制者的义务、同意规则、数据本地化和跨境数据传输。
《数据保护法》未包含被视为“个人数据”的数据的详尽列表。因此,个人数据的构成必须根据具体情况进行评估。个人数据定义为直接或间接指向已识别或可识别个人的任何信息(“数据主体”)。
《数据保护法》还规定了个人数据的特殊类别。这些信息涉及个人的种族或族裔出身、政治观点、宗教或哲学信仰、个人健康、性生活和犯罪记录。此外,生物特征数据的处理受《数据保护法》的监管。
数据处理操作
数据保护法适用于在俄罗斯境内执行的所有个人数据处理操作。然而,近年来,罗斯科纳佐尔成功阻止了几家包含俄罗斯公民个人数据并由国外托管或管理的网站。
数据保护法下的个人数据操作包括任何处理,如数据收集、存储、记录、删除、传输。
《数据保护法》不适用于个人出于私人需要进行的个人数据处理。
数据主体的权利
根据《数据保护法》,数据主体有权:
请求数据控制器处理其个人数据的详细信息(正在处理哪些数据以及原因等);
随时撤销其对数据处理的同意;
在某些情况下,要求更正、阻止或删除其个人数据;和/或
赔偿损失,包括精神损害。
获得数据主体的同意
个人数据只能在(i)个人(数据主体)事先、自愿、明示和知情同意的基础上进行处理;或(ii)如果法律明确允许未经数据主体同意进行处理。
可以以任何形式给予同意:口头、书面、电子或暗示。数据控制员必须确保能够证明已正式获得同意。在某些情况下,法律要求书面同意,如下所述。
有条件同意
在以下情况下,必须获得书面同意(“合格同意”):
处理特殊类别的个人数据和/或生物特征个人数据;
将个人数据传输至无法确保个人数据得到充分保护的国家(“不安全国家”);
决策是自动做出的,此类决策可能会影响数据主体的权利和自由;和
员工的个人数据被传输给第三方,包括同一集团的公司。
合格同意书必须包含以下要素:
数据主体的姓名、地址和护照详细信息;
个人数据控制人的姓名和地址;
个人数据处理的目的;
同意处理的个人数据清单;
使用个人数据执行的操作列表,以及用于个人数据处理的方法的一般说明;
处理个人数据的期限以及撤回同意的方式;和
数据主体的签名。
跨境传输个人数据
《数据保护法》区分了两种类型的跨境数据传输:
- 将数据传输至个人数据得到充分保护的国家(“安全国家”);和
- 向不安全国家传输数据。
安全国家包括《斯特拉斯堡公约》的签署国和被俄罗斯联邦国家安全局列入安全国家名单的国家。Roskomnadzor偶尔会修改这份名单,这份名单现在由22个国家组成。
可根据内部数据传输的要求,将个人数据跨境传输至安全国家/地区。向不安全国家的跨境转移需要获得数据主体的合格同意,法律明确规定的情况除外。
数据控制者和数据处理者
《数据保护法》将数据控制者定义为组织和/或处理个人数据的实体(国家机构、市政当局或法律实体)或个人。它还确定处理的目的和范围、要处理的个人数据的内容以及对数据执行的操作。
数据控制者的主要义务
个人数据控制人的主要义务是:
- 通知Roskomnadzor其处理个人数据的意图,除非豁免适用;
- 确保个人数据安全;
- 采用个人数据处理政策,包括数据列表、数据处理目的等。;
- 任命一名数据保护官员,负责组织公司内的数据处理;
- 定期对用于保护个人数据的措施的有效性进行内部审计和评估;
- 保持对此类措施和个人数据保护水平的控制(特别是在数据处理外包的情况下);和
- 确保俄罗斯公民个人数据的记录、系统化、积累、存储、澄清(更新、修改)和检索在俄罗斯境内的数据库中进行。
通知Roskomnadzor处理个人数据意向要求的例外情况
- 处理(i)雇员的个人数据时,尤其不需要通知,因为雇主出于雇佣关系的目的处理了这些数据;
- (ii)由数据控制者接收的个人数据,以与各自的数据主体订立和履行协议;
- (iii)数据主体公布的数据。
技术要求
根据法律,个人数据必须受到保护,防止未经授权的访问、更改、转移、通过转移或删除进行披露,以及损坏和意外破坏。为了确保个人数据的安全性,数据控制员尤其必须:
- 使用经俄罗斯主管当局认证的技术设备,并保存存储个人数据的设备记录;
- 确定未经授权处理个人数据可能造成的损害程度;和
- 制定与访问个人数据相关的规则。
《数据保护法》没有提供上述技术和组织措施的进一步细节,尽管相关监管命令中提供了一些详细要求。
本地化要求
- 收集俄罗斯公民个人数据的数据控制员必须确保仅在俄罗斯境内的数据库中记录、系统化、积累、存储、澄清(更新、修改)和检索俄罗斯公民的个人数据。这一要求有少数例外,通常不适用于企业。
- 当通知罗斯科纳佐尔开始处理个人数据时,数据管理员需要说明包含俄罗斯公民个人数据的数据库的位置。
外包
数据控制器可以将个人数据的处理外包。为此,他们必须与数据处理服务提供商(“技术处理器”)签订协议。协议必须包含《数据保护法》规定的某些实质性条件。然而,数据控制者仍然对数据主体履行其义务负责。技术处理方必须确保个人数据的保密性和保护。
责任
行政罚款和其他制裁
如果数据控制员违反了数据保护法的要求,Roskomnadzor和/或相关法院可以:
- 要求数据控制器纠正违规行为;
- 向数据控制器发出警告;和/或
- 处以罚款。
可能对数据控制器处以以下罚款:
- 个人:700-5000卢布(10-711欧元);
- 公司官员:3000-20000卢布(43-286欧元);
- 法人:15000-75000卢布(214-1071欧元)。
最常见的违规行为包括:
- 未能向Roskomnadzor提交开始处理个人数据的通知;
- 通知中列出的细节与实际处理活动不一致;
- 未获得数据主体的合格同意,未告知数据主体其个人数据的处理情况;和
- 在没有适当法律依据的情况下处理个人数据,并且未能提供对其个人数据处理政策的无限制访问(例如在其网站上发布)。
最近对《俄罗斯行政犯罪法》进行了修订,以对违反个人数据本地化要求的行为实施单独制裁。除屏蔽网站外,还可能处以以下罚款:
- 个人:30000-50000卢布(429-715欧元);
- 公司官员:100000-200000卢布(1430-2860欧元);
- 法人:100万至600万卢布(14300至85800欧元)。
重复违反个人数据本地化规则可能会对法人实体处以高达1800万卢布(257400欧元)的罚款。
司法救济
数据主体可以向数据控制者提起诉讼,要求对非法处理个人数据造成的损害进行赔偿。
刑法问题
在严重情况下,非法数据处理也可能被视为非法收集和传播有关个人私生活的信息。《俄罗斯刑法》规定,此类违法行为可处以罚款、强制劳动或监禁
被遗忘的权利
俄罗斯互联网用户有权要求删除有关其信息的在线链接。
在收到个人的相关请求后十天内,提供商必须删除相关链接,如果拒绝,则必须给出理由。个人可向法院提出上诉。
本文:
- 登录 发表评论