俄羅斯修訂《聯邦個人數據法》，強化運營商數據安全責任

俄羅斯數據保護法部分更新于9月1日生效，數據運營商必須在跨境數據傳輸前完成通知。

當地時間8月11日，俄羅斯聯邦通信、信息技術和大眾傳媒監督局（Roskomnadzor）領導的公共委員會舉行了例行會議，會上討論了最近通過的《聯邦個人數據法》的變化以及在數字服務發展的背景下保護其主體的權利。據專家介紹，將加強對用戶的保護以及數據運營商的泄密責任。部分修正案將于將于9月1日生效。

Roskomnadzor副負責人Milos Wagner稱，法案的修改是由于：

1.在現代經濟中，個人數據已成為越來越有價值的對象并被過度收集，個人數據的載體和所有者需要適當的措施來保護其權利。

2.自2022年年初以來，俄羅斯已經發生了40多次重大個人信息泄露事件，有超過3億條記錄（特別是姓名、出生日期、性別、電子郵件地址、電話號碼、居住地和健康信息）可供免費使用。

Wagner還詳細介紹了法案的變化。例如：

從2022年9月1日起，運營商將被要求將用戶信息泄露事件通知Roskomnadzor。有兩種選擇：在24小時內通知，并說明被泄露的數據和指明聯系人；或者在三天內通知，在三天結束時需要報告內部檢查的結果和導致泄露的人員（如果有的話）。

改變了個人數據跨境轉移的規則。從2023年3月1日起，運營商必須在開始跨境數據傳輸之前通知Roskomnadzor。對于已經進行跨境傳輸的運營商，該義務立即生效。通知中的信息構成必須包括經營者向哪些國家、出于什么目的以及轉移哪些數據的信息。

個人數據的處理將僅出于合同的目的而成為可能，其中沒有限制個人控制其個人數據的權利的條件 - 接收有關處理的信息，要求刪除或銷毀數據，不同意將數據傳輸給第三方。

向個人提供關于法律依據、處理數據的目的、數據的轉移和原因、數據的構成和接收來源的詳盡信息的時限。從9月1日起，對此類請求的答復期限不得超過10個工作日，但如果有充分理由，該期限可再延長5個工作日。

計劃在不久的將來，運營商可以通過在監管機構門戶網站上填寫表格以電子方式發送此類通知。Roskomnadzor也計劃在其門戶網站上推出電子通知的適當形式。

據Roskomnadzor負責人Andrey Lipov稱，俄羅斯的個人數據保護已經達到了一個新的水平：“對個人數據安全的新要求是一個真正專注于為公民權利提供高水平保護的監管體系形成的自然延續。”