俄罗斯联邦个人数据法

俄罗斯联邦个人数据法于2006年通过,2011年修订后全面生效,是俄罗斯数据保护法律体系的核心组成部分。2021年,俄罗斯通过了新一轮修正案,加强了数据处理者的义务和数据主体权利保护。俄罗斯个人数据法律体系还包括联邦信息、信息技术和信息保护法以及多项行政法规。

俄罗斯个人数据法适用于在俄罗斯境内处理个人数据的任何操作。法律管辖俄罗斯及境外组织处理俄罗斯公民个人数据的行为。如果境外组织通过俄罗斯境内的数据处理设备处理个人数据,需遵守俄罗斯数据保护规定。自2015年起,俄罗斯实施了数据本地化要求,所有涉及俄罗斯公民个人数据的记录系统必须在俄罗斯境内使用。

数据主体的同意是俄罗斯个人数据法数据处理的核心基础。同意需为具体、知情且明确的自由意愿表达。同意需涵盖数据处理目的、数据类型、处理操作类型以及数据主体权利等信息。同意可以书面、电子或其他形式做出。数据主体有权撤回同意,撤回同意后数据处理需停止。对于某些特定目的,如直接营销或向第三方披露,需取得单独同意。敏感数据处理的同意要求更加严格,需数据主体以特定形式提供。

数据处理者的义务在俄罗斯个人数据法下覆盖广泛。数据控制者需建立数据保护政策并向公众公开。控制者需采取必要技术措施确保数据免受未经授权的访问。控制者有义务在数据泄露或其他违规情形发生后24小时内通知监管机构。数据处理者需遵守控制者的指示,并承担数据处理过程中的数据保护责任。特殊类别数据和生物识别数据的处理者需履行更严格的义务。

跨境数据传输在俄罗斯受到严格限制。俄罗斯个人数据法要求数据控制者在向境外传输个人数据前,需确保接收方国家提供足够的数据保护水平。俄罗斯政府发布了无额外限制即可接收个人数据的充分性保护国家名单。对于名单外的国家,数据控制者需取得数据主体的书面同意,或确保合同中有充分的数据保护条款。无论通过何种机制传输数据,数据控制者需在传输前通知俄罗斯通信、信息技术和大众传媒监督局。

数据主体权利在俄罗斯法律下受到多层保护。知情权赋予数据主体了解其个人数据处理情况的权利。访问权允许数据主体获取正在被处理的个人数据副本。更正权允许数据主体要求修正不准确的个人数据。删除权允许数据主体要求删除其个人数据,尤其是在数据不再需要用于收集目的或数据处理违反法律的情况下。反对权允许数据主体反对处理其个人数据。数据主体还有权要求限制处理以及要求将其数据从一个控制者转移至另一控制者。

俄罗斯通信、信息技术和大众传媒监督局是个人数据保护的主要监管机构。Roskomnadzor负责个人数据法的监督和执行,包括处理投诉、开展检查、发布整改指令以及施加行政处罚。Roskomnadzor拥有广泛的执法权力,包括暂停或终止数据控制者的数据处理活动。对于严重违法行为,Roskomnadzor可将数据控制者列入黑名单,要求电信运营商限制对其网站的用户访问。

数据本地化是俄罗斯数据法律要求中最具影响力的条款。自2015年9月起,所有收集俄罗斯公民个人数据的运营者在记录、系统化、积累、存储、澄清、提取个人数据时,必须使用位于俄罗斯境内的数据库。这一要求的实质效果是迫使互联网和科技企业在俄罗斯部署数据存储基础设施。俄方监管机构Roskomnadzor有权对境外企业进行合规检查并采取制裁措施。

数据泄露通知是数据控制者的法定责任。控制者在发现数据泄露或其他违反数据保护规定的事件后,需在24小时内通知Roskomnadzor。通知需包括泄露的性质、泄露的可能后果以及为减轻负面影响已采取或拟采取的措施。受数据泄露影响的个人也将收到通知。数据泄露风险评估需由数据控制者自行完成,如涉及高风险数据,需向受影响的个人提供更详细的信息。

特殊类别数据的处理受到更严格的保护。俄罗斯法律将涉及种族、民族、政治观点、宗教信仰、健康状况、私生活等信息列为特殊类别数据。此类数据的处理需获得数据主体的明确书面同意,或基于特定法律基础,如保护数据主体生命和健康的需要。生物识别数据用于识别个人身份的指纹、虹膜扫描、面部识别等数据,其处理也有专门要求。处理生物识别数据的数据控制者需在开始处理前通知Roskomnadzor。

数据处理记录维护是合规的基础要求。数据控制者需维护包含以下信息的记录:处理目的和法律基础、所处理的数据类别和类型、数据主体类别、数据接收方、向境外跨境数据传输信息、数据处理技术保护措施信息以及数据术语索引。Roskomnadzor可要求数据控制者提交上述记录用于检查。

数据保护影响评估并非俄罗斯个人数据法的一般性强制要求,但在涉及特定高风险处理活动时,控制者需就数据处理对数据主体权利和自由的影响进行评估。俄联邦通信、信息技术和大众传媒监督局发布的数据处理指南中建议控制者在处理大量个人数据或敏感数据时进行影响评估。

俄罗斯个人数据法执行力度近年来持续强化。Roskomnadzor对违反数据保护要求的企业实施了一系列制裁措施。数据本地化违规不仅是行政处罚问题,还可能涉及互联网管制措施。国内数据的跨境流动控制在俄罗斯的主权互联网框架下得到了加强。

北京企密安提供俄罗斯个人数据法合规服务。服务内容包括数据本地化方案设计、合规差距分析、数据处理记录编制、跨境数据传输评估、Roskomnadzor沟通支持。如需进一步信息,欢迎联系北京企密安:010-63711822,或访问baomiwang.com了解更多详情。

FAQ

问:俄罗斯的数据本地化要求具体是什么? 答:自2015年起,所有收集俄罗斯公民个人数据的运营者在进行相关操作时,必须使用位于俄罗斯境内的数据库。控制者需先在俄罗斯境内部署数据处理设施,满足该要求后才能进行其他数据处理活动。

问:数据泄露后需要在多长时间内通知监管机构? 答:数据控制者在发现数据泄露或其他违反数据保护规定的事件后,需在24小时内通知俄罗斯通信、信息技术和大众传媒监督局。