跳转到主要内容

俄罗斯的隐私格局将于2022年9月1日发生变化,2022年7月14日第266-FZ号《联邦个人数据法修正法》(“修正法”)生效。通过修改2006年7月27日关于个人数据的第152-FZ号联邦法律(“个人数据法”),修正法引入了新的条款,将加强对俄罗斯公民的数据保护。它还就国内外数据运营商如何与数据主体和供应商互动,以及更重要的是,他们如何证明和记录其合规性,特别是在数据传输的情况下,对其规定了更严格的义务。OneTrust数据指南分解了这些新条款,突出了现有法律之间的关键差异。

俄罗斯的数据保护法规是如何演变的?

2006年通过了《个人数据法》,以规范与个人数据处理有关的关系。其义务最初涉及数据运营商(即确定处理目的和内容的实体),但后来将处理委托给另一实体的概念也包括在内

自那时以来,《个人数据法》已经修订了25次以上,例如,纳入了新的定义和处理的法律依据,授权在各种应用中使用假名称数据,并澄清了国家在数据保护领域的职能和权限。最近,关于同意和使用公开数据的新规则于2021 3月开始实施。

包括俄罗斯政府和数字发展、通信和大众媒体部在内的一些当局也发布了二级立法,对生物特征数据处理等方面以及联邦通信、信息技术和大众媒体监督局(“Roskomnadzor”)的执法权进行了监管。

随着《修正法》的通过,预计俄罗斯国内外的数据保护格局将发生比以往更大的变化。事实上,为了应对日益频繁的网络安全事件和互联网上个人数据的广泛共享,《修正法》对《个人数据法》的许多条款进行了改革,以加强对数据主体的法律保护,并加强国家在这一领域的控制。

关键变化是什么?

 

现行规定

新规定

范围

域外适用(第1条)

《个人数据法》对这一问题保持沉默。

修订后,《个人数据法》将适用于俄罗斯公民的个人数据处理,该处理由外国法律实体或外国个人根据以下条件进行:

  • 俄罗斯公民签署的协议,或与俄罗斯公民签订的其他协议;或
  • 俄罗斯公民同意处理其个人数据。

与数据主体的关系

法律依据:与数据主体的合同(第6(1)条)

根据数据主体为一方或受益人的协议,允许处理个人数据。

修订后,明确要求将适用于此类协议。即,它们不应包含以下规定:

  • 限制个人数据主体的权利和自由;
  • 建立处理未成年人个人数据的案例;或
  • 要求数据主体不采取行动,作为达成协议的条件。

生物统计数据(第11条)

生物特征数据的处理在很大程度上仅限于联邦法律规定的情况。

修订后,对使用生物特征数据的限制将继续适用。特别是,生物特征数据的提供不得是强制性的,除非联邦法律另有规定。

如果根据联邦法律,运营商在处理个人数据时无需获得同意,则在数据主体拒绝提供其生物特征数据和/或同意的情况下,运营商无权拒绝服务。

数据主体权利(第14、18和20条)

运营商有义务在30天内回复访问请求。

修订后,运营商将有义务在十个工作日内回复访问请求。

除了较短的时间框架外,运营商还应告知数据主体其如何履行第181条规定的义务(即问责措施),以及在强制提供个人数据的情况下,拒绝此类提供的法律后果。

供应商管理

供应商合同和加工商义务(第6(3)条)

运营商有权在数据主体同意的情况下,根据与受委托实体签订的协议,将个人数据的处理委托给另一实体。受委托实体必须遵守运营商的指示。

修订后,受委托实体将受到额外要求的约束,包括遵守个人数据的保密性,并采取必要措施履行《个人数据法》规定的义务。

在处理协议方面,运营商需要定义以下内容:

  • 受委托实体将执行的个人数据和处理行动清单;
  • 处理的目的;
  • 保密义务;
  • 第18(5)条和第181条规定的要求(即数据本地化和问责措施);
  • 提供信息以确认为执行运营商指示而采取的措施的义务;和
  • 确保数据安全的义务,包括第19条规定的要求,以及通知运营商数据泄露的要求。

最后,如果运营商将个人数据的处理委托给外国个人或外国法律实体,则运营商和此类委托实体将对数据主体负责。

跨境数据传输

转让机制和事先批准(第12条)

根据个人数据法和某些禁令,可以向以下国家进行转移:

  • 《个人数据自动处理保护个人公约》(“第108号公约”)的缔约方;或
  • 经Roskomnadzor批准,为数据主体的权利提供充分保护。

在下列情况下,可以进行不满足这些条件的转让:

经数据主体书面同意;

  • 俄罗斯联邦的国际条约有规定时;
  • 联邦法律规定时,如有必要,保护宪法秩序和国家安全;
  • 基于数据主体为一方的协议;或
  • 为了保护数据主体或其他人的生命、健康或其他重要利益,如果无法获得同意。

修订后,个人数据法下的传输机制将受到限制,而运营商将受制于与通知和评估相关的附加条件。

转移机制

因此,可以向以下国家进行转让:

  • 经俄罗斯联邦共和国批准为提供充分保护,其中包括《第108号公约》缔约国;或
  • 为保护数据主体或其他人的生命、健康或其他重要利益,有必要进行此类转移。

事先批准

在传输个人数据之前,运营商需要:

  • 对预期的第三国和外国接收者进行评估;和
  • 通知Roskomnadzor以获得预期转让的批准。

在提交通知后,运营商将有权进行转让,直至Roskomnadzor决定禁止或限制转让。在这种情况下,运营商将负责确保销毁先前传输的个人数据。

遵守和问责

问责措施:政策和程序(第181条)

运营商必须采取措施证明遵守个人数据法,包括:

  • 任命负责组织数据处理的人员;
  • 公布处理政策;
  • 采取法律、技术和组织措施确保数据安全;
  • 实施内部控制和审计;
  • 在违反个人数据法的情况下进行风险评估;和
  • 培训员工。

修订后,明确要求将适用于运营商的处理政策。

对于每个处理目的,操作员需要定义并记录以下内容:

  • 已处理个人数据的类别和列表;
  • 其个人数据被处理的数据主体的类别;
  • 加工方法;
  • 加工和储存条款;和
  • 在达到处理目标或出现其他法律理由时销毁个人数据的程序。

数据泄露通知(第19条和第21条)

《个人数据法》没有关于数据泄露通知的要求。然而,在发生事故时,应数据主体或Roskomnadzor的要求,运营商需要采取某些行动。

修订后,运营商将有义务与GosSOPKA合作,这是一个检测、预防和消除信息安全事件的国家系统。这将包括提供有关导致非法转移(即提供、分发或访问)个人数据的计算机事件的信息。预计将进一步详细阐述这方面的程序。

更重要的是,在非法转让的情况下,运营商必须通知Roskomnadzor:

  • 在24小时内,关于事件、据称的原因和对数据主体造成的伤害、为解决事件而采取的措施以及关于指定负责人的信息;和
  • 在72小时内,关于内部调查的结果,以及导致确定事件的人员的信息(如有)。

数据处理通知(第22条)

在处理个人数据之前,运营商通常需要通知Roskomnadzor。本要求不适用于以下数据:

  • 根据劳动法进行处理;
  • 由运营商作为数据主体为一方的协议的一部分获得;
  • 与公共协会或宗教组织的成员有关;
  • 由数据主体授权分发;
  • 仅包括数据主体的名字、姓氏和父名;
  • (a)数据主体一次性进入运营商所在场所所必需的;
  • 已包含在具有国家自动化信息系统状态的信息系统中;
  • 在没有自动化工具的情况下进行处理;或
  • 在运输安全立法规定的情况下进行处理。

修订后,通知要求的例外情况将减少。因此,只有在以下情况下才需要通知:

  • 为保护国家安全和公共秩序而创建的个人数据国家信息系统中包含的个人数据;
  • 如果操作员仅在不使用自动化工具的情况下执行处理活动;或
  • 在运输安全法规规定的情况下处理的个人数据。

影响是什么?

《修正法》将于2022年9月1日生效,尽管有些规定将推迟到2023年3月1日(请参见《修正法》第6(2)条)。

特别是在跨境数据传输方面,根据《个人数据法》(经修订)第12条,在2022年9月1日之前进行传输并将在2023年9月之后继续进行传输的运营商必须在2023月1日前通知俄罗斯联邦数据管理局(见修订法第6(5)条)。

本文:https://cioctocdo.com/russia-amendments-law-personal-data-strengthening…