5月25日,《通用数据保护条例》(GDPR)生效。在俄罗斯,也有一份保护用户个人数据(PD)的文件——152-FZ“关于个人数据”,根据大多数律了正确遵守其要求师的说法,该文件是旧的欧洲保护PD指令的翻版,已被GDPR取代。
联邦法律152实施十余年以来,一些组织认为实施 GDPR 要求并不需要他们付出太多努力。让我们尝试弄清楚这是否是真的。
两个巨大的差异
数字权利中心律师兼合伙人萨尔基斯·达比了 中东手机号码清单 正确遵守其要求尼扬 (Sarkis Darbinyan) 表示:“尽管这两份文件都涉及个人数据的保护和处理,但 GDPR 和联邦法律 152 之间的差异大于相似之处。”
- GDPR 定义了域外适用范围(无论运营商的实际位置如何,均可处理欧盟公民的个人数据),并且一些俄罗斯公司(酒店、电信运营商、银行、运输公司等)属于其条款的适用范围,而联邦法律 152 仅在俄罗斯“有效”。联邦法律152没有对“个人数据”的概念做出明确的定义。因此,对法律的解释很大程度上取决于俄罗斯联邦信息和通信技术监管局和法院的立场,他们会根据具体情况确定数据传播是否受到该法律的保护。在GDPR中,个人数据的定义更加明确,条例的规定吸收了欧洲法院的丰富实践,涵盖了广泛的个人数据。例如,网络服务收集和处理的 IP 地址以及 cookie 数据完全受 PD 处理。与联邦法律 152 不同,GDPR 将所有处理者分为两类:控制者(“船长”)和处理者(“水手”)。它们具有不同级别的权限和职责,并提供与数据存储、传输和处理相关的流程。在俄罗斯法律中,一切都很复杂。划分不同处理器的权力和责任范围几乎是不可能的。
- 另一个重要的区别是执法的透明度和 为什么黑色星期五对您的业务如此重要? 处理个人数据的整个过程。显然,该法律的主要目的不是惩罚和罚款违法者,而是培训和提高处理者的素养水平,以便数据安全存储并符合主体的权利。 “如果我们审视俄罗斯联邦信息和通信监管局(Roskomnadzor)的活动,那么遗憾的是,我们没有看到任何针对该行业的解释或预防性工作。该监管机构早已变成了一个惩罚机构,其主要任务就是惩罚,”萨尔基斯·达尔比尼扬说道。他表示,GDPR为数据所有者设立了新的透明度标准,要求他们向监管机构和用户通报任何个人数据泄露事件,并且对发生此类事件时的行动也有明确的规定。
- GDPR引入了主体的“数据可携带权”,而联邦法律152并没有这样的规定。 “这项要求很重要,但也很‘成问题’,因为目前并非所有信息系统都允许轻松执行此类操作,”太阳能安全专家部门负责人安德烈·普罗佐罗夫 (Andrey Prozorov) 解释道。
我们走在正确的道路上
Sarkis Darbinyan 坚信,GDPR 将对改变全 迴聲資料庫 球个人数据处理方式产生重大影响。 “我们看到它正在改变许多俄罗斯公司的政策和业务流程,这些公司现在被迫考虑该法规,以维持与欧洲合作伙伴的合同以及在欧盟市场的存在,”该律师强调说。
Andrey Prozorov 认为,不久的将来,联邦法律 152 也将更新,并且与 GDPR 有很多共同之处