俄罗斯2006年7月27日第152-FZ号联邦个人数据法(“个人数据法”)旨在保障个人个人数据的保护,并适用于收集、使用或共享此类数据的组织。
2021 3月1日,2020年12月30日第519-FZ号《联邦个人数据法修正案》生效(2021 7月1日生效的一节除外)(“修正案”)。
这些修正案极大地改变了那些希望在互联网和线下发布个人数据的实体的法律环境,例如,雇主对员工的法律环境。这些变化本质上赋予了数据主体更多的控制权,使其能够处理个人数据以进行传播。引入与数据主体允许传播的个人数据相关的特定定义(“允许发布的个人数据”)后,以下内容将成为俄罗斯适用数据法律的一部分:
允许传播的个人数据,在数据主体授权的情况下,通过同意处理个人数据,允许公众访问。
本质上,这意味着任何感兴趣的数据运营商在将个人数据置于公共可访问的来源以及发布后的任何进一步使用时,只能依赖数据主体的同意。修正案解释性说明中定义的目的是防止“在网站上收集和不受控制地使用此类个人数据,以达到与最初传播目的不同的目的”。
修正案进一步规定,同意书的形式和内容由负责保护个人数据主体权利的授权机构(“Roskomnadzor”)确定。
数据运营商需要考虑哪些同意要求?
出于对同意的重视,我们总结了以下新要求:
-
默认位置:
- 如果数据主体允许向公众传输数据,则同意书必须包含数据可以向公众传输的直接指示。必须在“这是强制性要求”中明确规定条件和禁令。
- 同意书中没有条件和禁令意味着允许运营商处理此类个人数据,但不得向公众传输(分发、提供、访问和其他行为)。
- 粒度:同意书应与其他同意书分开,并针对每一目的进行具体说明。
- 在公布雇员数据方面,雇主现在的负担更大。此前,雇主可以获得员工的同意,以便出于人力资源目的处理其个人数据,该同意可以包括授权在公司网站上发布员工的详细信息,但从2021 3月1日起,必须单独获得该同意。
- 明确:修正案规定需要明确同意——默认同意无效。以前,这只是假设,但在法律中没有明确规定。
- 条件和禁止:数据主体有权列出个人数据,并禁止发布(访问除外)和处理条款(授予访问除外)。
- 这一转变现在允许员工同意雇主在公司网站上发布其个人数据(如照片、姓名、学历、工作经历、关键资质等),同时禁止进一步传输这些数据。这可能包括作为提供服务提案的一部分向潜在客户进行转让。
- 发布:经营者必须在收到许可后的三个工作日内发布有关处理条款和存在任何禁令的信息。这使运营商有义务考虑进一步向公众发布、传输或以其他方式处理个人数据的任何禁令或限制,然后为了透明起见,立即提供这些信息。该义务自2021 3月1日起生效。
- 撤回同意的权利:修正案再次确认了数据主体撤销同意的权利。
第三方有哪些选择?
这种负担对数据运营商的乘数效应以及对同意的强调也将在第三方关系中体现出来。因此,从2021 3月1日起,打算处理允许传播的个人数据的第三方有三种选择:
- 根据数据处理规则,在处理允许传播的个人数据时,依赖数据运营商从数据主体获得的同意;
- 依赖受俄罗斯国家电力公司管辖的数据通过一个根据法律设立的专用网络平台提供的许可,但也要遵守数据处理规则(该选项将从2021 7月1日起生效);或
- 根据《个人数据法》的一般要求,确保其拥有适当的法律依据。
2021 3月1日之前获得的同意是否仍然有效,还有待观察。此外,修正案是否具有追溯效力(即是否有必要根据新要求获得新的同意)仍不清楚。
Roskomnadzor已经发布了一份命令草案,其中更详细地描述了同意书的形式和内容,但到目前为止,该命令尚未得到正式批准。预计我们将很快对修正案的某些条款(例如,上述同意的要求;在发生泄露的情况下证明后续传播的合法性;不可抗力;以及数据主体在未经同意的情况下发布数据)进行进一步澄清。迄今为止,Roskomnadzor尚未发布此类澄清。
建议
鉴于上述情况,我们建议运营商和第三方采取以下措施:
- 监督Roskomnadzor关于允许传播的个人数据处理规定的更新和澄清。
- 修订有关保护允许传播的个人数据的政策,以符合修正案。
- 在适用的情况下,审查所有同意书并酌情修改。特别是,如果一个组织已经在其公司网站上公布了其员工的详细信息,那么现在需要根据修正案中的要求获得员工的同意。
- 发布关于处理条款的信息,以及关于允许发布的个人数据的任何禁令。
鉴于这些变化,任何希望有能力处理允许传播的个人数据的运营商现在都应考虑需要对其政策和同意进行哪些更改,以确保其符合修订。我们预计Roskomnadzor可能会提供一些官方指导,以充实其中的一些规则,特别是关于同意的内容和修正案的追溯效力,因此这个故事还没有完全完成。
- 登录 发表评论