Am 14.07.2022 wurden durch das Föderale Gesetz Nr. 266-FZ wesentliche Änderungen des Föderalen Gesetzes Nr. 152-FZ vom 27.07.2006 "Über persönliche Daten" (im Folgenden "Gesetz über persönliche Daten") in Bezug auf die grenzüberschreitende Übermittlung persönlicher Daten eingeführt, die bereits am 01.03.2023 in Kraft treten werden.

Für die Operatoren der persönlichen Daten werden zusätzliche Anforderungen gelten.

Wer ist der Operator der persönlichen Daten?

Gemäß dem Punkt 2 des Artikels 3 des Gesetzes über persönliche Daten ist der Operator eine öffentliche Behörde, eine städtische Behörde, eine juristische oder natürliche Person, die unabhängig oder gemeinsam mit anderen Personen die Verarbeitung von persönlichen Daten organisiert und/oder durchführt sowie die Zwecke der Verarbeitung von persönlichen Daten, die Zusammensetzung der zu verarbeitenden persönlichen Daten und die mit den persönlichen Daten durchgeführten Handlungen (Operationen) bestimmt.

So ist beispielsweise eine Organisation ein Operator der persönlichen Daten in Bezug auf ihre Mitarbeiter und andere Personen, deren Daten sie erhält.

Was sind persönliche Daten und was ist ihre grenzüberschreitende Übermittlung?

Gemäß dem Punkt 1 des Artikels 3 des Gesetzes über persönliche Daten gelten als persönliche Daten alle Informationen, die sich auf eine direkt oder indirekt definierte oder identifizierbare natürliche Person (das Subjekt der persönlichen Daten) beziehen (z. B. Name, Staatsangehörigkeit, Steuernummer, Geschlecht, usw.).

Die grenzüberschreitende Übermittlung persönlicher Daten wiederum ist die Übermittlung persönlicher Daten ins Ausland an eine ausländische Behörde, eine ausländische natürliche Person oder eine ausländische juristische Person (Punkt 11 des Artikels 3 des Gesetzes über persönliche Daten).

Einige Beispiele für die grenzüberschreitende Übermittlung von Daten:

Beispiel 1. Mitarbeiter werden auf eine Geschäftsreise ins Ausland geschickt (z. B. zur Muttergesellschaft). Der Arbeitgeber (russisches Unternehmen) schickt die Namen, Telefonnummern, Positionen und E-Mail-Adressen der Mitarbeiter an die Muttergesellschaft, um Treffen zu organisieren.

Beispiel 2. Die Annahme von Bewerbern für bestimmte Positionen oder interne Versetzungen erfordert die Zustimmung der Gründer (Teilnehmer, Aktionäre), die ausländische Personen sind, und die persönlichen Daten der Bewerber/Arbeitnehmer werden ihnen zu diesem Zweck ins Ausland übermittelt.

Was wird sich im Jahr 2023 ändern?

Ab dem 01.03.2023 muss der Operator den Föderalen Dienst für die Aufsicht im Bereich der Kommunikation, Informationstechnologie und Massenkommunikation (Roskomnadzor) über seine Absicht informieren, persönliche Daten grenzüberschreitend zu übermitteln, bevor er mit der grenzüberschreitenden Übermittlung der persönlichen Daten beginnt. Diese Meldung wird getrennt von der in Artikel 22 des Gesetzes über persönliche Daten vorgesehenen Meldung über die Absicht der Verarbeitung persönlicher Daten versandt.

Bitte beachten Sie, dass Operatoren, die vor dem 01.09.2022 persönliche Daten grenzüberschreitend übermittelt haben und die nach dem 01.09.2022 weiterhin persönliche Daten grenzüberschreitend übermitteln, bis spätestens 01.03.2023 Meldungen über die grenzüberschreitende Übermittlung von persönlichen Daten an Roskomnadzor senden sollen.

Die Meldung über die Absicht, persönliche Daten grenzüberschreitend zu übermitteln, wird in Form eines Papierdokuments oder in Form eines elektronischen Dokuments übermittelt und von einer bevollmächtigten Person des Operators unterzeichnet. Die Anforderungen an den Inhalt der Meldung sind in Teil 4 des Artikels 12 des Gesetzes über persönliche Daten (in der Fassung des Föderalen Gesetzes Nr. 266-FZ vom 14.07.2022) festgelegt.

Was soll vor der Meldung an Roskomnadzor getan werden?

Es ist notwendig, von den ausländischen Personen, an die die Übermittlung persönlicher Daten geplant ist (ausländische Behörden, ausländische natürliche oder juristische Personen), die folgenden Informationen einzuholen:

• Informationen über die von den ausländischen Personen getroffenen Maßnahmen zum Schutz der zu übermittelnden persönlichen Daten und über die Bedingungen für die Beendigung der Verarbeitung dieser Daten;
• Informationen über die gesetzlichen Bestimmungen im Bereich persönlicher Daten im Land, in dem die ausländischen Personen ihren Sitz haben;
• Informationen über ausländische Personen (Firma/vollständiger Name sowie Kontakttelefonnummern, Postanschriften und E-Mail-Adressen).

Warum ist es wichtig, die oben genannten Informationen und Daten einzuholen, bevor eine Meldung bei Roskomnadzor eingereicht wird?

Sie können von Roskomnadzor angefordert werden, um die Zuverlässigkeit der direkt in der Meldung enthaltenen Informationen zu beurteilen. In diesem Fall ist der Operator verpflichtet, die angeforderten Daten innerhalb von 10 Arbeitstagen nach Erhalt der Anfrage an Roskomnadzor zu übermitteln.

Kann Roskomnadzor die grenzüberschreitende Übermittlung persönlicher Daten verbieten oder einschränken?

Ja, Roskomnadzor kann die grenzüberschreitende Übermittlung persönlicher Daten verbieten oder einschränken, um zu gewährleisten:

• den Schutz der Grundlagen der verfassungsmäßigen Ordnung der Russischen Föderation, der Moral, der Gesundheit, der Rechte und der legitimen Interessen der Bürger,
• die Verteidigung des Landes und der Sicherheit des Staates,
• den Schutz der wirtschaftlichen und finanziellen Interessen der Russischen Föderation,
• den Schutz der Rechte, Freiheiten und Interessen der Bürger der Russischen Föderation, der Souveränität, der Sicherheit, der territorialen Integrität der Russischen Föderation und ihrer sonstigen Interessen auf der internationalen Bühne mit diplomatischen und völkerrechtlichen Mitteln.

In diesem Fall ist der Operator verpflichtet, dafür zu sorgen, dass die vorher übermittelten persönlichen Daten von den ausländischen Personen vernichtet werden.

Welche Strafmaßnahmen werden bei Nichtmeldung oder nicht rechtzeitiger Meldung an Roskomnadzor verhängt?

Gemäß dem Artikel 19.7 des Gesetzes über administrative Verstöße der Russischen Föderation kann die Nichtvorlage oder verspätete Vorlage einer Meldung bei Roskomnadzor sowohl für einen Beamten als auch für eine juristische Person eine Verwarnung oder ein Bußgeld zur Folge haben.

Unsere Dienstleistungen:

• Beratung bei der Einhaltung der Rechtsvorschriften über die Verarbeitung und den Schutz persönlicher Daten;
• Vorbereitung der an Roskomnadzor zu übermittelnden Meldungen;
• Ausarbeitung und/oder umfassende Prüfung der lokalen Akte Ihrer Organisation, die die Prozesse der Verarbeitung und des Schutzes persönlicher Daten regeln, und, falls erforderlich, Änderung dieser lokalen Akte.

Ihre Ansprechpartner:

Maria Matrossowa, Projektleiterin swilar OOO
M: maria.matrossowa@swilar.ru, T: + 7 495 648 69 44 (ext. 308)
Yulia Belokon, Senior Project Manager swilar OOO
M: yulia.belokon@swilar.ru, T: +7 495 648 69 44 (ext. 309)