Neue Regulierung für Datenverarbeitung

Recht Russland

Dr. Tatiana Vukolova, Rödl & Partner, Russland

Neue Änderungen ab dem 1. September 2022, die von den Verantwortlichen für Datenverarbeitung berücksichtigt werden sollten

Grundsatz der Extraterritorialität

Ab dem 1. September 2022 wird der Anwendungsbereich des Föderalen Gesetzes 152-FZ über personenbezogene Daten durch die Einführung des Extraterritorialitätsprinzips offiziell erweitert. Das Gesetz 152-FZ gilt insbesondere für die Verarbeitung personenbezogener Daten durch:

  • ausländische juristische oder natürliche Personen auf der Grundlage eines Vertrages, an dem russische Staatsbürger als Partei gelten,
  • ausländische juristische und natürliche Personen auf der Grundlage anderer Verträge, bei denen die Parteien Bürger der Russischen Föderation sind,
  • ausländische juristische oder natürliche Personen auf der Grundlage der Einwilligung in die Verarbeitung ihrer personenbezogenen Daten.

Dieser ergänzende Artikel legitimiert die bestehenden Bedingungen und Verfahren für die Verarbeitung personenbezogener Daten von Bürgern der Russischen Föderation, indem er von sozialen Netzwerken, Suchmaschinen und anderen Dienstanbietern, unabhängig von ihrem territorialen Standort verlangt, in ihren Verträgen und Nutzervereinbarungen die russischen Rechtsvorschriften zu berücksichtigen. Früher wurde diese Frage formell behandelt, und zwar auf der Grundlage allgemeiner Informationsschreiben, in denen auf die Notwendigkeit hingewiesen wurde, die Bedingung zu erfüllen, sich an Bürger der Russischen Föderation zu wenden, in Rubel abzurechnen usw. Auch die Beziehungen zu Arbeitgebern, anderen Dienstleistern und Privatpersonen sind im Wesentlichen unverändert. Die Praxis, die Zustimmung der natürlichen Personen der Arbeitnehmer einzuholen, kann als etabliert angesehen werden.

Erweiterung der Haftung von Personen, die personenbezogene Daten verarbeiten

Ausländische natürliche oder juristische Personen, die personenbezogene Daten im Auftrag von Bürgern der Russischen Föderation verarbeiten, werden zusammen mit dem für die Datenverarbeitung Verantwortlichen haftbar gemacht. Bisher galt diese Haftung nur für russische juristische und natürliche Personen.

Neue Anforderungen an den Inhalt lokaler Gesetze zur Verarbeitung personenbezogener Daten

Ab dem 1. September 2022 sind die Betreiber personenbezogener Daten verpflichtet, in den internen Vorschriften des Unternehmens die Kategorien und die Liste der verarbeiteten personenbezogenen Daten für jeden Zweck der Verarbeitung dieser zu notieren. Hierunter fallen insbesondere die Kategorien von Personen, deren personenbezogene Daten verarbeitet werden, die Mittel, die Bedingungen für die Verarbeitung und die Speicherung personenbezogener Daten. Ebenso muss das Verfahren für die Vernichtung personenbezogener Daten bei Erreichen des Zwecks ihrer Verarbeitung oder bei Vorliegen anderer rechtlicher Gründe angegeben werden.

Pflicht zur Meldung von Datenlecks

Das Fehlen von Bestimmungen im Gesetz über die Meldepflicht von Datenlecks wurde von Fachleuten wiederholt kritisiert. In Folge der Kritik fügte der Gesetzgeber Regeln zu diesem Thema hinzu, insbesondere die Verpflichtung des Betreibers, die Aufsichtsbehörde innerhalb von 24 Stunden über den aufgetretenen Vorfall zu informieren und Angaben zu der Person zu machen, die vom Betreiber bevollmächtigt wurde, sich in Bezug auf den Vorfall zu melden. Auch die Verpflichtung, innerhalb von 72 Stunden über die Ursachen und Maßnahmen zur Beseitigung von Datenlecks zu informieren, wird hinzugefügt. Es sei jedoch darauf hingewiesen, dass bisher keine Haftung für die unterlassene, nicht ordnungsgemäße oder nicht rechtzeitige Unterrichtung der Aufsichtsbehörde über eine Verletzung des Schutzes personenbezogener Daten besteht. Es ist davon auszugehen, dass diese Bestimmungen in die nächsten Verordnungen übernommen werden.

Fotoquelle: www.d-russia.ru

Zurück