近日,乌克兰议会公布了《个人数据保护法草案》(以下简称“草案”)。根据议会发布的“草案解释”,近年来,包括乌克兰在内的全球互联网数据处理活动显著增加,特别是在大数据和社交媒体领域。鉴于国际上个人数据保护领域规则的发展,乌克兰国内外的立法状态并不能完全保障乌克兰个人数据的安全,需要对立法及其应用进行全面更新,遂制定此法。
其中,受数据保护法规影响最大的部分乌克兰企业,主要客户群体位于欧洲。乌克兰企业也正在更新其隐私流程和个人数据处理的部门和规则,以期与乌克兰《个人数据保护法》及欧盟政策标准相符合,使个人数据保护规则与新标准接轨。
主要内容
草案由十一章六十条组成,包括一般规定、处理个人数据的特殊要求、个人数据主体权利、控制者和经营者职责、个人数据跨境传输和第三方个人数据访问程序等内容,为处理个人数据、敏感信息以及其他特定类型的数据提供了依据。
在“处理个人数据的特殊要求”一章中,草案规定了处理敏感个人数据、与刑事起诉有关的个人数据、生物特征数据、视频监控数据以及死者个人数据的处理规则,以及出于直接营销、竞选活动和政治广告目的处理个人数据的规则。
在“个人资料主体的权利”一章中,草案强化了个人数据主体的权利,设置了知情权、查阅权、更正权、被遗忘权、反对和限制处理个人数据的权利、个人数据移动权、个人数据主体的损害赔偿请求权等权利。
在“控制者和经营者的职责”一章中,草案规定了数据控制者和运营者职责,包括应当采用隐私保护设计、符合数据处理的安全性要求、向相关监管机构注册以及进行数据保护影响评估等。另外,明确了数据泄露报告制度,要求数据控制者自知悉泄露之日起72小时内向监管机构报告,除非泄漏不太可能导致对个人权利和自由的风险。
在“个人数据跨境传输”一章中,草案规定了数据控制者可以进行个人数据跨境传输的情形:(1)外国或国际组织已提供足够水平的个人数据保护;(2)控制者和/或运营者为保护个人数据提供了充分的保证;(3)依照《个人数据保护法》批准的强制性公司规则,将个人数据转移至境外。
在“违反个人数据保护法的责任”一章中,草案指出将以立法的方式对法律适用作出解释,或以法院判决的方式对指控的个人信息保护领域罪行作出判决。对于违法行为,规定了法人最高1.5亿格里夫纳(约合400万欧元)或上一报告年度此类法人实体年总营业额8%的罚款。
*来源:乌克兰议会、DataGuidance、https://itd.rada.gov.ua/billInfo/Bills/Card/40707
声明:本文来自数据合规公社,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
