Änderungen in den russischen Gesetzen über personenbezogene Daten

25.08.2022
In weniger als einem Monat treten Änderungen des Gesetzes „Über personenbezogene Daten“ Nr. 152-FZ in Kraft, die fast jedes Unternehmen betreffen werden. Diese Änderungen wurden durch das Föderale Gesetz Nr. 266-FZ vom 14. Juli 2022 eingeführt. Somit hat der Gesetzgeber den Verarbeitern personenbezogener Daten etwas mehr als einen Monat Zeit gelassen, um sich mit den Neuerungen zurechtzufinden.

Nachfolgend geben wir Ihnen einen Überblick über die wichtigsten Änderungen, auf die Sie besonders achten müssen. Sie treten am 1. September 2022 in Kraft.

  • Es gibt von nun an mehr Fälle, in denen der Verarbeiter Roskomnadzor über die Verarbeitung personenbezogener Daten informieren muss: Zum Beispiel, wenn sie im Rahmen der Arbeitsverhältnisse verarbeitet werden, zur Ausstellung einmaliger Besucherausweise für ein abgegrenztes Gelände sowie in einer Reihe anderer Fälle verwendet werden.
  • Die Vorschriften, die ein Verarbeiter in den Vertrag aufnehmen muss, wenn er eine andere Person mit der Verarbeitung personenbezogener Daten beauftragt, wurden ergänzt. Solche Aufträge können beim Abschluss von Verträgen über die Krankenversicherung für Mitarbeiter des Unternehmens, über das Gehaltsprojekt bei einer Bank, über die Schulungen für Mitarbeiter sowie von Handyverträgen erteilt werden.
  • Die Einwilligungserklärungen der betroffenen Personen zur Verarbeitung deren personenbezogener Daten müssen sachgemäß und eindeutig sein. Dies bedeutet, dass die meisten Unternehmen ihre Einwilligungsformulare überarbeiten und ergänzen müssen.
  • Die Frist für die Beantwortung von Anfragen der betroffenen Person wurde gekürzt: Der Verarbeiter muss innerhalb von 10 Arbeitstagen Rückmeldung geben. Die betroffene Person hat das Recht, Informationen über die Erfüllung der im Gesetz Nr. 152-FZ festgelegten Verpflichtungen durch den Verarbeiter anzufordern.
  • Die Liste der vom Verarbeiter zu erstellenden und zu genehmigenden Dokumente wurde ergänzt. Neben der Regelung zur Verarbeitung personenbezogener Daten sind unternehmensinterne Vorschriften erforderlich, die für jeden Zweck der Verarbeitung personenbezogener Daten die Kategorien und die Liste der Daten, die Kategorien der betroffenen Personen, die Methoden und Fristen der Verarbeitung und Speicherung sowie das Verfahren zur Vernichtung personenbezogener Daten festlegen.
  • Die Regelung des Verarbeiters zur Verarbeitung personenbezogener Daten soll unter anderem in den Abschnitten der Website veröffentlicht werden, in denen personenbezogene Daten erhoben werden. Dies ist relevant für Unternehmen, die Anträge, Bewerbungen oder Lebensläufe von Kandidaten auf ihren Websites annehmen, sowie wenn Cookies auf der Website verwendet werden.
  • Es ist vorgeschrieben, bei Roskomnadzor die Vorfälle, die zu einer rechtswidrigen Übertragung (Bereitstellung, Verbreitung, Zugriff) personenbezogener Daten geführt haben, innerhalb von 24 Stunden nach deren Entdeckung zu melden, sowie innerhalb von 72 Stunden  über Ergebnisse der diesbezüglichen internen Untersuchung zu informieren, und darüber hinaus mit dem Föderalen Sicherheitsdienst über ein neues Informationssystem GosSOPKA (Staatliches System zur Entdeckung, Verhinderung und Beseitigung der Folgen von Computerangriffen) zu interagieren.
  • Die Bestimmungen des Gesetzes Nr. 152-FZ gelten jetzt auch für ausländische juristische und natürliche Personen, wenn sie personenbezogene Daten von Bürgern der Russischen Föderation aufgrund eines Vertrags oder einer anderen Vereinbarung, deren Partei Bürger der Russischen Föderation sind, oder aufgrund einer Einwilligung des Bürgers der Russischen Föderation zur Verarbeitung deren personenbezogener Daten verarbeiten. Dies ist relevant für Unternehmen, die gemeinsame Datenbanken auf Seiten ausländischer Unternehmen betreiben. 

 Außerdem treten ab dem 1. März 2023 Änderungen in Bezug auf die grenzüberschreitende Übermittlung personenbezogener Daten in Kraft, gemäß denen Verarbeiter verpflichtet sind, Roskomnadzor über ihre Absicht zu informieren, grenzüberschreitende Übermittlungen personenbezogener Daten durchzuführen, und eine Genehmigung einzuholen, wenn das Empfängerland nicht zur Liste der Länder gehört, die den angemessenen Schutz der Rechte der betroffenen Personen sicherstellen. Zum Zeitpunkt dieser Veröffentlichung umfasst die Liste der Länder, die einen solchen Schutz sicherstellen, zum Beispiel nicht die Vereinigten Staaten, China und die Länder des Nahen Ostens. 

Bei Verstößen gegen das Gesetz Nr. 152-FZ können dem Unternehmen erhebliche Geldbußen von bis zu 6 Millionen Rubel auferlegt werden. Obwohl Roskomnadzor keine planmäßigen Prüfungen bis Ende 2022 durchführen wird, empfehlen wir, diese Zeit zu nutzen, um die fehlenden unternehmensinternen Dokumente zur Regelung der Verarbeitung personenbezogener Daten auszuarbeiten und Interaktionsprozesse einzurichten.

Kontaktieren Sie uns.

loading captcha...
Senden...