文章分类
俄罗斯的隐私格局将于2022年9月1日发生变化,2022年7月14日第266-FZ号《联邦个人数据法修正法》(“修正法”)生效。通过修改2006年7月27日关于个人数据的第152-FZ号联邦法律(“个人数据法”),修正法引入了新的条款,将加强对俄罗斯公民的数据保护。它还就国内外数据运营商如何与数据主体和供应商互动,以及更重要的是,他们如何证明和记录其合规性,特别是在数据传输的情况下,对其规定了更严格的义务。OneTrust数据指南分解了这些新条款,突出了现有法律之间的关键差异。
俄罗斯的数据保护法规是如何演变的?
2006年通过了《个人数据法》,以规范与个人数据处理有关的关系。其义务最初涉及数据运营商(即确定处理目的和内容的实体),但后来将处理委托给另一实体的概念也包括在内。
自那时以来,《个人数据法》已经修订了25次以上,例如,纳入了新的定义和处理的法律依据,授权在各种应用中使用假名称数据,并澄清了国家在数据保护领域的职能和权限。最近,关于同意和使用公开数据的新规则于2021 3月开始实施。
包括俄罗斯政府和数字发展、通信和大众媒体部在内的一些当局也发布了二级立法,对生物特征数据处理等方面以及联邦通信、信息技术和大众媒体监督局(“Roskomnadzor”)的执法权进行了监管。
随着《修正法》的通过,预计俄罗斯国内外的数据保护格局将发生比以往更大的变化。事实上,为了应对日益频繁的网络安全事件和互联网上个人数据的广泛共享,《修正法》对《个人数据法》的许多条款进行了改革,以加强对数据主体的法律保护,并加强国家在这一领域的控制。
关键变化是什么?
|
现行规定 |
新规定 |
范围 |
||
域外适用(第1条) |
《个人数据法》对这一问题保持沉默。 |
修订后,《个人数据法》将适用于俄罗斯公民的个人数据处理,该处理由外国法律实体或外国个人根据以下条件进行:
|
与数据主体的关系 |
||
法律依据:与数据主体的合同(第6(1)条) |
根据数据主体为一方或受益人的协议,允许处理个人数据。 |
修订后,明确要求将适用于此类协议。即,它们不应包含以下规定:
|
生物统计数据(第11条) |
生物特征数据的处理在很大程度上仅限于联邦法律规定的情况。 |
修订后,对使用生物特征数据的限制将继续适用。特别是,生物特征数据的提供不得是强制性的,除非联邦法律另有规定。 如果根据联邦法律,运营商在处理个人数据时无需获得同意,则在数据主体拒绝提供其生物特征数据和/或同意的情况下,运营商无权拒绝服务。 |
数据主体权利(第14、18和20条) |
运营商有义务在30天内回复访问请求。 |
修订后,运营商将有义务在十个工作日内回复访问请求。 除了较短的时间框架外,运营商还应告知数据主体其如何履行第181条规定的义务(即问责措施),以及在强制提供个人数据的情况下,拒绝此类提供的法律后果。 |
供应商管理 |
||
供应商合同和加工商义务(第6(3)条) |
运营商有权在数据主体同意的情况下,根据与受委托实体签订的协议,将个人数据的处理委托给另一实体。受委托实体必须遵守运营商的指示。 |
修订后,受委托实体将受到额外要求的约束,包括遵守个人数据的保密性,并采取必要措施履行《个人数据法》规定的义务。 在处理协议方面,运营商需要定义以下内容:
最后,如果运营商将个人数据的处理委托给外国个人或外国法律实体,则运营商和此类委托实体将对数据主体负责。 |
跨境数据传输 |
||
转让机制和事先批准(第12条) |
根据个人数据法和某些禁令,可以向以下国家进行转移:
在下列情况下,可以进行不满足这些条件的转让: 经数据主体书面同意;
|
修订后,个人数据法下的传输机制将受到限制,而运营商将受制于与通知和评估相关的附加条件。 转移机制 因此,可以向以下国家进行转让:
事先批准 在传输个人数据之前,运营商需要:
在提交通知后,运营商将有权进行转让,直至Roskomnadzor决定禁止或限制转让。在这种情况下,运营商将负责确保销毁先前传输的个人数据。 |
遵守和问责 |
||
问责措施:政策和程序(第181条) |
运营商必须采取措施证明遵守个人数据法,包括:
|
修订后,明确要求将适用于运营商的处理政策。 对于每个处理目的,操作员需要定义并记录以下内容:
|
数据泄露通知(第19条和第21条) |
《个人数据法》没有关于数据泄露通知的要求。然而,在发生事故时,应数据主体或Roskomnadzor的要求,运营商需要采取某些行动。 |
修订后,运营商将有义务与GosSOPKA合作,这是一个检测、预防和消除信息安全事件的国家系统。这将包括提供有关导致非法转移(即提供、分发或访问)个人数据的计算机事件的信息。预计将进一步详细阐述这方面的程序。 更重要的是,在非法转让的情况下,运营商必须通知Roskomnadzor:
|
数据处理通知(第22条) |
在处理个人数据之前,运营商通常需要通知Roskomnadzor。本要求不适用于以下数据:
|
修订后,通知要求的例外情况将减少。因此,只有在以下情况下才需要通知:
|
影响是什么?
《修正法》将于2022年9月1日生效,尽管有些规定将推迟到2023年3月1日(请参见《修正法》第6(2)条)。
特别是在跨境数据传输方面,根据《个人数据法》(经修订)第12条,在2022年9月1日之前进行传输并将在2023年9月之后继续进行传输的运营商必须在2023月1日前通知俄罗斯联邦数据管理局(见修订法第6(5)条)。
本文:https://cioctocdo.com/russia-amendments-law-personal-data-strengthening…
- 登录 发表评论