Proteção de Dados Pessoais - Federação Russa

A aplicabilidade do presente regulamento na Federação Russa deriva da sua extraterritorialidade[...]

Proteção de Dados Pessoais - Federação Russa

 

FEDERAÇÃO RUSSA  -  'PROTEÇÃO DE DADOS'

A aplicação do atual regulamento na Federação Russa deriva da sua extraterritorialidade. Um exemplo disso é que, o regulamento afeta diretamente as empresas russas que processam dados pessoais dos cidadãos da UE como parte de suas atividades comerciais. Isto diz respeito principalmente às empresas que oferecem bens ou serviços aos cidadãos da UE e monitoram o seu comportamento, como lojas on-line, operadoras de telecomunicações móveis, serviços de reservas de bilhetes, agências de viagens, empresas de transporte e financeiras, etc. O regulamento também se aplica aos cidadãos de países que não os da UE, fisicamente presentes na UE.

 

Regulamento (UE) 2016/679 do Parlamento Europeu e do Conselho, de 27 de abril de 2016, relativo à proteção das pessoas singulares no que diz respeito ao tratamento de dados pessoais e à livre circulação desses dados, e que revoga a Diretiva 95/46/CE, também conhecido como Regulamento Geral de Proteção de Dados "RGPD" entrou em vigor a 25 de maio de 2018.”

 

A saber, doravante Фз representa 'Lei Federal', em russo: Федеральный закон

 

_______________________________________

 

VISÃO GERAL DO SISTEMA JURÍDICO RUSSO

O sistema jurídico russo é baseado numa lei civil continental, um sistema baseado em código.

A Federação Russa possui legislação federal e regional; no entanto, a legislação federal prevaleçe em casos de conflito. Geralmente, os problemas de privacidade de dados são regulamentados ao nível federal e as regiões da Rússia não emitem leis ou regulamentos específicos a esse respeito.

Em contraste com a legislação europeia, a Lei de Dados Pessoais da Federação Russa não distingue entre controladores e processadores de dados. Portanto, qualquer indivíduo ou entidade que exerça atividades com base em dados pessoais, sejam estes por via direta ou indireta, é considerado um operador de dados pessoais e, portanto, enquadra-se na regulamentação da Lei de Dados Pessoais. Existem também vários regulamentos específicos, cobrindo principalmente o lado técnico do processamento de dados e, até certo ponto, esclarecendo as disposições da Lei de Dados Pessoais.

Os regulamentos são emitidos pelas seguintes entidades nomeadamente:

  • Governo Federal Russo;

  • Serviço Federal de Supervisão na Esfera das Comunicações, Tecnologia da Informação e Comunicações de Massa 'Roskomnadzor'; ou

  • pelas autoridades responsáveis por vários problemas de segurança na Rússia, como o Serviço Federal de Controle Técnico e de Exportação (FSTEK) ou o Serviço de Segurança Federal (FSB).

A abordagem geral do governo à privacidade tornou-se bastante protecionista. Em 2014, o parlamento russo adotou emendas à Lei de Dados Pessoais, que ficou conhecida como Lei de 'Localização de Dados', Lei Federal nº 242-Фз, que exige aos operadores de dados que coletam dados pessoais de cidadãos russos, ou que armazenem ou processem esses dados, utilizem bases de dados localizadas na Rússia. A Lei entrou em vigor a 1 de setembro de 2015.

Embora esta lei tenha gerado um lucro substancial para os 'data-centers' russos, gerou igualmente elevados custos para as empresas, por via de terem de redesenhar as infraestruturas de armazenamento de dados.

Além da Lei de Localização de Dados, o governo Federal Russo adotou emendas à Lei Federal Russa sobre Informação, Tecnologia da Informação e Proteção da Informação. Essas alterações exigem que as empresas que fornecem serviços de comunicação de vídeo, áudio ou texto (geralmente 'messengers') se registem junto das autoridades, o registo contempla nomeadamente o;

  • armazenamento de mensagens dos utilizadores ou;

  • chamadas de áudio ou video.

O prazo para a retenção dos dados é de até doze meses, dependendo do tipo de dados e finalidade empresarial, (por exemplo; o ‘IMO messenger’ é um canal para partilha de mensagens e conteúdos similar ao ‘WhatsApp’, já o ‘Tinder’ é um canal vocacionado para encontros, portanto, os dados coletados por ambas as empresas detêm diferentes caraterísticas), sendo de igual modo necessário, o fornecimento às autoridades de segurança, as chaves de descriptografia se as mensagens detiverem criptografia.

As regras impostas resultaram no bloqueio do 'Blackberry Messenger' entre outros 'messengers'.

 

REVISÃO JURÍDICA

Os últimos anos foram muito intensos para a lei federal russa de proteção de dados. O exemplo disso foi a Lei Federal No. 97-Фз, de 5 de maio de 2014, que alterou significativamente a Lei Federal No. 149-Фз, datada de 27 de julho de 2006 nomeadamente Informação, Tecnologias da Informação e Proteção da Informação (Lei da Informação), entre outros regulamentos.

A Lei da Informação foi posteriormente reforçada com algumas emendas adicionais entrando finalmente em vigor a 1 de julho de 2018. De autoria da deputada conservadora Irina Yarovaya, as emendas, à Lei de Yarovaya nomeadamente, Lei Yarovaya No. 374-Фз e Lei Yarovaya No. 375-Фз, também afetarão diretamente as Indústrias de telecomunicações e internet da Rússia. Em particular, as operadoras de telefonia móvel que atualmente ao abrigo das emendas, são obrigadas a armazenar as gravações de todas as chamadas telefónicas e o conteúdo de todas as mensagens de texto por um período de doze meses, implicando custos substanciais, enquanto as empresas de internet por exemplo, mensageiros, estão obrigadas a armazenar as gravações de todas as ligações telefónicas bem como de todo o conteúdo de todas as mensagens de texto por um periodo de seis meses e os metadados relacionados por um período de um ano.

Além disso, a Lei de 'Yarovaya' exige que esses operadores forneçam tais comunicações à polícia e à inteligência russas a seu pedido e instalem sistemas especiais usados para fins de investigação ou, 'reconciliem o uso de software e hardware com as autoridades' bem como, o fornecimento ás autoridades de segurança as chaves de descriptografia, se as mensagens possuirem criptografia.

A não conformidade pode resultar em multas ou acesso bloqueado ao serviço não compatível. As partes da lei de Yarovaya que já são efetivas são aplicadas ativamente pelo DPA e vários mensageiros, incluindo Blackberry Messenger, Imo e Vchat, foram bloqueados na Rússia por via da recusa de registo. Em maio de 2017, o DPA também bloqueou o WeChat e, mais tarde, retirou-lhe o bloqueio depois de este se registar no DPA.

No entanto, as autoridades russas adotaram a Lei de 'Localização de Dados' e criaram um novo procedimento que restringe o acesso a sites que violam as leis russas sobre dados pessoais. Com base nessa lei, o DPA criou um registo de sites infratores. A lei prevê um procedimento detalhado de 'notificação e remoção'. Mais importante, a Lei de Localização de Dados exige que todos os dados pessoais dos cidadãos russos sejam armazenados e processados na Rússia. A localização das bases de dados, contendo dados pessoais dos cidadãos russos, deve ser informada ao DPA (Data Protection Agency, ‘Roskomnadzor’).

Qualquer indivíduo ou empresa que colete e processe dados pessoais é considerado um operador de dados pessoais e, portanto, está sujeito aos regulamentos da Lei de Dados Pessoais e controle do governo Federal Russo. A Lei de Dados Pessoais e outros regulamentos relacionados não fazem distinção entre controladores e processadores de dados. Portanto, a lei se aplica integralmente a qualquer pessoa que colete ou processe dados pessoais, exceto onde explicitamente previsto de outra forma na Lei de Dados Pessoais.

Existem igualmente vários regulamentos específicos que cobrem principalmente o lado técnico do processamento de dados e, até certo ponto, esclarecem as disposições da Lei de Dados Pessoais. Entre esses regulamentos, está o Decreto nº 1119 do governo (datado de 1 de janeiro de 2012 e promulgado nos termos do artigo 19 da Lei de Dados Pessoais). O Decreto nº 1119 prevê quatro níveis gerais de proteção a serem aplicados pelos operadores de dados pessoais, dependendo da quantidade e tipos de dados processados nos sistemas de informação. Os requisitos técnicos detalhados colocados no processamento de dados pessoais são definidos pela FSTEK 'Federal Service for Technical and Export Control'.

Embora tenha havido um crescimento constante no monitoramento e o DPA esteja a trabalhar cada vez mais ativamente, o nível geral de conformidade com a Lei de Dados Pessoais ainda parece ser baixo na Rússia por vários motivos, incluindo:

(1) multas pouco significativas, comparativamente ao RGPD-UE;

(2) trabalho lento pelo DPA; e

(3) disposições ambíguas da Lei de Dados Pessoais que dificultam a conformidade.

 

OBRIGAÇÕES GERAIS PARA PROCESSADORES DE DADOS

Alguns procedimentos organizativos e técnicos precisam ser tomados para garantir a conformidade com a Lei de Dados Pessoais. Os processadores de dados devem:

  • coletar o consentimento de sujeitos de dados pessoais: é necessário que o consentimento seja coletado e, em certos casos, seja por escrito, a menos que certas isenções sejam claramente aplicáveis;

  • verificar o país do destinatário dos dados no caso de transferências transfronteiriças, pois pode ser necessária uma autorização adicional para transferências para determinados países;

  • possuir um contrato de transferência de dados para transferências de terceiros;

  • possuir uma base de dados primária na Rússia para dados pessoais de cidadãos russos;

  • cumprir os requisitos técnicos do FSB e FSTEK, bem como o Decreto nº 1119;

  • realizar uma auditoria interna de proteção de dados a cada três anos;

  • adotar regulamentos internos sobre proteção de dados pessoais e política de privacidade;

  • nomear um diretor de privacidade de dados;

  • lidar com solicitações de indivíduos;

  • definir avisos, em particular, para os titulares de dados pessoais;

  • familiarizar os funcionários com os processos e regulamentos internos de proteção de dados e realizar sessões de treino sobre segurança de dados pessoais; e

  • efetuar o registo no DPA (a menos que esteja sujeito a isenções).

A lista de procedimentos acima referidos é fortemente padronizada e pode ser aplicada à maioria dos operadores de dados; no entanto, não é exaustiva e as medidas relevantes podem variar dependendo dos tipos de dados coletados e dos meios de coleta e processamento. A lista exata de medidas a tomar deve ser definida caso a caso.

 

DIREITOS DO TITULAR DOS DADOS

Os operadores de dados são obrigados a lidar com solicitações de indivíduos com relação ao acesso, correção e exclusão de dados pessoais e, geralmente, são obrigados a atender solicitações de indivíduos relacionadas com dados pessoais detidos, a menos que haja uma disposição legal obrigatória que permita ao operador continuar o processamento dos dados pessoais.

Como parte da Lei de Dados Pessoais, os operadores são obrigados a notificar os indivíduos e o DPA sobre uma violação resolvida se uma violação for encontrada por um indivíduo ou pelo DPA e, solicitarem uma resolução sobre a violação. Os operadores de dados devem notificar os indivíduos cujos dados foram violados se, a solicitação para resolução da violação seja proveniente destes. A redação da Lei de Dados Pessoais pressupõe que esses avisos precisam ser pessoais e, portanto, a publicação de informação ou aviso pode não ser suficiente, se a publicação ou aviso conter dados pessoais das pessoas afetadas, sendo que tal, constituiria uma violação de dados separada.

 

ÁREAS REGULATÓRIAS ESPECÍFICAS

A Lei de Dados Pessoais aplica-se a todos os tipos de operadores e titulares de dados. No entanto, certos aspectos específicos da indústria também devem ser observados. O Banco Central da Rússia representa-se como um alto-regulador, por exemplo, exigindo que as bases relatem incidentes de segurança cibernética.

As leis trabalhistas russas exigem que os empregadores obtenham o consentimento por escrito dos funcionários para transferir os dados pessoais para terceiros, por exemplo, quando essa transferência é necessária para compartilhar dados com empresas do grupo. No entanto, quando o empregador tiver um interesse legítimo ou quando exigido por lei, a transferência poderá ser feita sem esse consentimento.

A proteção das crianças e a sua privacidade, bem como a privacidade financeira, a privacidade da saúde e a privacidade das comunicações, também são reguladas por leis específicas, como a Lei Federal para a Comunicação. No entanto, as regras contidas nessas leis são principalmente declarativas, exigindo a proteção da privacidade e confidencialidade dos dados das comunicações, sendo portanto proibida a divulgação dos nomes de crianças que foram vítimas de ações criminosas nos mídia, entre outros canais de divulgação.

 

INOVAÇÃO TECNOLÓGICA

Os desenvolvimentos na legislação de privacidade Russa e na Lei de Dados Pessoais costumavam ser muito lentos, e obviamente ainda não atendem às demandas das rápidas mudanças na inovação tecnológica. Questões como rastreio de localização, Big Data, portabilidade de dados, monitoramento de funcionários, tecnologia de reconhecimento facial, publicidade comportamental e marketing eletrônico permanecem, em certa medida, áreas cinzentas sem regulamentação adequada.

No entanto, a situação está mudar. Por exemplo, o DPA e os tribunais apoiam atualmente a ideia de que medidas tecnológicas, como cookies, constituem dados pessoais. Isso definitivamente torna as operações de negócios ainda mais complexas. Além disso, os legisladores pretendem adotar uma lei sobre 'big data' com um potencial requisito para localizar todos os dados na Rússia.

O Parlamento também introduziu, emendas ao artigo 14.8 do Código da Federação da Rússia sobre Infrações Administrativas, que promove software em smartphones e outros dispositivos.

A 21 de novembro de 2019, a Duma do Estado russo, a câmara baixa do parlamento russo, adotou uma nova lei que altera a Lei Federal de Proteção dos Direitos dos Clientes (O documento nº 757423-7 é uma emenda à lei de proteção ao consumidor) e afeta os smartphones e outros aparelhos vendidos na Rússia. A emenda foi igualmente aprovada pela Federação do Conselho da Rússia (câmara alta do parlamento russo) a 25 de novembro de 2019.

A Lei, que obriga a que o software russo deva ser instalado em smartphones e outros gadgets vendidos na Rússia, entrará em vigor a 1 de julho de 2020.

 

TRANSFERÊNCIA INTERNACIONAL DE DADOS E LOCALIZAÇÃO DE DADOS

As transferências internacionais de dados na Rússia são regulamentadas pela Lei de Dados Pessoais. A Lei de Dados Pessoais distingue entre países que fornecem proteção adequada para dados pessoais e aqueles que não fornecem proteção adequada para dados pessoais. No caso de transferências transfronteiriças, um operador de dados é obrigado a verificar se o país do destinatário dos dados é considerado um provedor de proteção adequada aos dados pessoais, caso contrário, o consentimento do titular dos dados deve ser feito por escrito, deverá conter igualmente, uma autorização específica para transferência de dados pessoais para esse país. A Lei de Dados Pessoais prevê apenas três categorias de transferência legal de dados pessoais entre países nomeadamente:

  • transferência para países signatários da Convenção do Conselho da Europa de 1981 (Convenção de Dados Pessoais);

  • transferência para países que não são signatários da Convenção de Dados Pessoais, mas estão na lista de países adicionais adotados pelo DPA Russo. A versão atual da lista (alterada em 14 de janeiro de 2019) inclui Angola, Argentina, Austrália, Benin, Canadá, Chile, Costa Rica, Gabão, Israel, Japão, Cazaquistão, Malásia, Mali, Mongólia, Marrocos, Nova Zelândia, Peru , Qatar, Singapore, África do Sul, Coreia do Sul e Tunísia; e

  • transferência para outros países (por exemplo, Estados Unidos) que não constam da lista de países adicionais nem signatários da Convenção de Dados Pessoais, desde que haja consentimento explícito por escrito dos dados sujeitos a essa transferência.

Na maioria dos casos, seria necessário obter o consentimento para transferir dados pessoais para terceiros. A Lei de Dados Pessoais russa também exige que o exportador de dados e o importador de dados celebrem um contrato (ou pelo menos adicione uma cláusula ao contrato no caso de uma transação transfronteiriça) que deve estipular que:

  • o importador de dados garantirá pelo menos o mesmo nível de proteção de dados aplicado pelo exportador de dados.

 

POLÍTICAS E PRÁTICAS PARA EMPRESAS

As empresas devem garantir que as políticas internas de funcionários abordem a proteção de dados pessoais e que tenham políticas internas gerais de proteção de dados e medidas técnicas e organizativas a serem tomadas pela empresa para proteger os dados pessoais. Normalmente, todos os itens acima podem ser abordados numa única política de privacidade. No entanto, na prática, nem todas as empresas implementaram políticas de privacidade, especialmente pequenas e médias empresas.

As leis russas sobre sindicatos dão aos sindicatos poderes para influenciar decisões relacionadas ao trabalho, por exemplo, certas decisões que afetam as relações trabalhistas. A empresa deve levar em consideração a opinião do sindicato nos casos previstos na lei, como atos regulamentares, regulamentos internos (atos normativos locais) ou acordos coletivos. Assim, antes da aprovação e implementação da política de privacidade, a opinião do sindicato deve ser solicitada.

Como referido acima, todas as empresas devem nomear um diretor interno de privacidade de dados. A Lei de Dados Pessoais não fornece muitos detalhes com relação aos responsáveis ​​pela privacidade de dados, o cargo que desempenha na empresa e a regulamentação detalhada dos direitos. Portanto, eles também são geralmente cobertos pelas políticas de privacidade.

As empresas são obrigadas a emitir documentos internos que abrangem vários aspectos da segurança da informação, incluindo medidas técnicas e organizativas a serem adotadas pelas empresas. Normalmente, esses documentos são desenvolvidos por provedores de serviços externos que possuem uma licença do governo para fornecer serviços de segurança da informação. Esses documentos são de natureza técnica e, geralmente, cobrem os tipos de software e hardware que uma empresa deve fazer uso para proteger os sistemas de informação que contêm dados pessoais.

De acordo com a cláusula 4 do artigo 27 do Regulamento, para garantir a conformidade com o Regulamento, o responsável pelo tratamento ou processador de dados residente fora da UE deve autorizar o seu representante a decider em conjunto, ou de forma independente, em seu nome, todas as questões relacionadas ao processamento de dados. O regulamento impõe apenas restrições gerais ao escopo da autoridade desse representante. Por conseguinte, não é possível excluir uma situação em que uma empresa holding residente na UE possa solicitar à sua subsidiária uma indagação sobre a conformidade desta última com os requisitos do RGPD UE para processamento de dados pessoais.

No entanto, a questão é ambigua, como resultado, se a subsidiária russa aceitar a solicitação para atender aos requisitos europeus de processamento de dados pessoais, ela também se comprometerá a atender a quaisquer solicitações do representante da UE relacionadas à transferência de dados pessoais. A questão é se a empresa russa pode seguir essas regras.

Por um lado, o regulamento da UE deve aplicar-se porque a filial processa dados pessoais dos cidadãos da UE. Por outro lado, a Lei 152-Фз deve ser aplicada porque a subsidiária está localizada na Federação Russa.

De acordo com o Artigo 18, Cláusula 5, da Lei 152-Фз, "ao coletar dados pessoais, por exemplo, por meio da rede de TI da Internet, o operador deve garantir que os dados pessoais dos cidadãos russos sejam registados, arquivados, acumulados, armazenados, ajustados (atualizados, alterados) e recuperados apenas se as bases de dados estiverem localizadas na Federação Russa.”

Além disso, o Artigo 22, cláusula 1 da Lei 152-Фз estabelece que o operador deve notificar a autoridade competente encarregada da proteção dos direitos dos titulares de dados pessoais da sua intenção de processar dados pessoais antes do início do processamento dos dados pessoais. A notificação deve indicar se uma transmissão transfronteiriça de dados pessoais ocorrerá durante o processamento em questão.

Assim, a lei russa não proíbe as subsidiárias russas de transmitir os dados solicitados às empresas-mãe estrangeiras localizadas na UE (representantes). No entanto, a subsidiária russa não pode transmitir dados pessoais de nacionais russos, por via de infrações à lei russa. Antes que a transmissão ocorra, a empresa deve passar por uma verificação de segurança.

Nesta situação, recomenda-se que a empresa realize uma análise dos procedimentos internos de processamento de dados pessoais. No entanto, pode ser encontrada uma solução no que respeita ao conceito de 'transmissão de dados transfronteiriça' desenvolvido pelos legisladores russos. Deste modo, a empresa pode inserir uma cláusula num contrato especial declarando que a transmissão de dados ocorrerá de acordo com o procedimento estabelecido pelas leis russas sobre o processamento de dados pessoais e, assim, cumprirá o Artigo 18, Cláusula 5 da Lei 152-Фз, referente ao uso de bases de dados. Sob este procedimento, os dados pessoais podem ser transmitidos para finalidades determinadas e por um período de tempo determinado. Ainda outra alternativa viável ao acordo sobre a transmissão transfronteiriça seria um memorando ou um acordo adicional que regulasse esse assunto.

Recomenda-se portanto, a distinção dos termos 'soberania de dados', 'residência de dados' e 'localização de dados' sendo que uma interpretação defecitária poderá conduzir a fortes penalizações monetárias e, em alguns casos, o cumprimento de uma pena de prisão, quando se trata de violação da regulamentação. Portanto, não apenas é necessário distinguir esses três termos, mas também é importante entender como eles afetam os dados.

Os termos 'soberania de dados', 'residência de dados' e 'localização de dados' costumam ser uma fonte de confusão para as empresas que gerem dados além-fronteiras, especialmente na infraestrutura de nuvem (Cloud). Eles são de fato usados de forma tão intercambiável que o seu significado individual praticamente se perdeu.

Esse uso intercambiável é evidenciado mais claramente pela notável consistência no número de pesquisas que cada termo recebe em mecanismos de pesquisa como o Google. Apesar de vários picos provocados pela nova legislação e artigos de notícias, o interesse global em 'residência de dados' e 'localização de dados' segue quase exatamente os mesmos padrões, com a 'soberania de dados' recebendo um pouco menos volume de pesquisa, mas ainda seguindo a mesma tendência aproximada.

Como os três termos se inter-relacionam?

Eles são efetivamente três graus de um único conceito: Como a privacidade de dados afeta os fluxos de dados transfronteiriços.

Este tema tornou-se cada vez mais importante nos últimos anos, com a legislação 'RGPD do ano passado que concede maiores direitos às pessoas sobre como seus dados são usados pelas empresas dentro e fora da União Europeia.

As organizações que lidam com dados internacionais devem garantir que a privacidade dos dados não seja posta em risco quando compartilhadas entre fronteiras. Da mesma forma, entender os requisitos legais de armazenamento de dados num determinado país é fundamental para atender aos padrões de privacidade e segurança de dados.

O que significa a residência de dados?

A residência de dados refere-se ao local onde uma empresa, órgão do setor ou governo especifica que os dados são armazenados num local geográfico da sua escolha, geralmente por motivos de regulamentação ou política.

Um exemplo típico de um requisito de residência de dados em ação é onde uma empresa deseja tirar proveito de um melhor regime tributário. Para tal, é necessário que a empresa prove que não está a realizar uma proporção substâncial das atividades principais de negócios fora das fronteiras desse país incluindo o processamento de dados. Impõe-se, portanto, uma residência de dados que exija o uso de certas infra-estruturas e, em seguida, impõe-se fluxos de trabalho rigorosos de gestão de dados a si mesmos e a qualquer provedor de serviços em nuvem para proteger os seus direitos tributários.

O que significa a soberania de dados?

A soberania dos dados difere da residência dos dados, pois não apenas os dados são armazenados num local designado, mas também estão sujeitos às leis do país em que estão fisicamente armazenados. Essa diferença é crucial, pois os titulares dos dados (qualquer pessoa cujos dados pessoais estão a ser coletados, mantidos ou processados) terão diferentes proteções de privacidade e segurança de acordo com o local onde os data-centers hospedam os dados fisicamente.

Essa diferença também é crucial para as empresas, pois os direitos de acesso de um governo aos dados encontrados dentro de suas fronteiras diferem amplamente de país para país. É aqui que a soberania e a residência dos dados, entram frequentemente em conflito. Garantir que os dados premaneçam dentro de uma localização geográfica por qualquer motivo - seja para evitar ou tirar proveito das leis, regulamentos e regimes tributários, ou mesmo para pura preferência e conforto - é uma questão de residência de dados. Mas o princípio de que os dados estão sujeitos às proteções e punições legais desse país é uma questão de soberania dos dados.

Eles estão claramente relacionados, no entanto, um é uma questão de direitos e obrigações legais nacionais, enquanto o outro é uma questão geográfica. O reconhecimento dessa distinção ajudará os profissionais a se prepararem melhor para a gestão e o intercâmbio de dados compatíveis.

O que significa a localização de dados?

Esse é o conceito mais rigoroso e restritivo dos três e, como a soberania de dados, é uma versão da residência de dados baseada em obrigações legais. É também o conceito que está crescer mais rápidamente internacionalmente.

A localização de dados requer que os dados criados dentro de certas fronteiras permaneçam dentro destas. Em contraste com os dois termos acima, quase sempre é aplicado à criação e armazenamento de dados pessoais, com exceções, incluindo os regulamentos de alguns países sobre impostos, contabilidade e jogos de fortuna/azar.

Em muitos casos, as leis de localização de dados exigem simplesmente que uma cópia desses dados seja mantida dentro das fronteiras do país, geralmente para garantir que o governo possa auditar dados dos cidadãos (desde que haja uma causa justa) sem ter que lidar com outro, neste caso, com as leis de privacidade do governo. O projeto de lei de proteção de dados pessoais da Índia é um exemplo disso.

No entanto, existem países em que a lei é tão rigorosa que impede que ela atravesse a fronteira. Por exemplo, a Lei de Dados Pessoais da Rússia exige que o armazenamento, a atualização e a recuperação de dados dos seus cidadãos sejam limitados aos recursos do data-center na Federação Russa.

Uma crítica típica a essas leis é que elas usam a máscara de segurança cibernética aprimorada ou preocupações com a privacidade dos cidadãos para ocultar a verdadeira motivação do protecionismo nacional. Alega-se que esse silenciamento de dados com base na fronteira impede que empresas e governos realizem todo o potencial que esses dados oferecem, além de contribuir para o faccionismo digital e para a Internet de 'splinternet'.

Mas, independentemente dos debates em torno das práticas, sabemos, que os executivos geralmente precisam de entender melhor a importância das diferenças entre esses três termos. Como profissionais de privacidade de dados, podemos ser defensores do uso do vocabulário correto nas circunstâncias corretas, mas a frequência e a forma de como essas palavras são usadas de forma intercambiável entre as empresas indicam um mal-entendido perigosamente generalizado.

Abordar qualquer nível de confusão nos negócios, sobre esta matéria, permitirá identificar as obrigações precisas que se aplicam à empresa e, de igual modo, interrogar os recursos dos provedores de serviços em nuvem com mais rigor.

Como ponto de partida, segue um exemplo explicativo referente à aplicação das distinções acima descritas abordando questões importantes sobre a infraestrutura empresarial a seguir:

Onde são criadas ou processadas cada uma das várias categorias de dados (dados pessoais, registos financeiros, etc.) e que obrigações isso pode trazer?

Onde são armazenados esses dados e quem é o proprietário do data-center?

“Os seus dados podem estar num data-center em Portugal, mas se esse data-center for de propriedade de uma empresa sediada nos EUA, o governo dos EUA poderá ter o direito de aceder aos seus dados de acordo com o 'CLOUD Act'.”

Quais os procedimentos a tomar para efetuar um backup?

Onde é efetuado o backup dos dados?

De acordo com o tipo de dados em questão, que estipulações locais existem para a segurança ou criptografia desses dados?

Qual é o grau de confiança no (s) seu (s) parceiro (s) de nuvem ‘CLOUD’ em relação aos regulamentos atuais e futuros de privacidade de dados?

De que modo o (s) seu (s) parceiro (s) evidenciaram que o (s) seu (s) 'data-centers' atendem a todas as suas necessidades de privacidade locais e globais?

 

“O respeito pela privacidade e o direito de controlar os próprios dados tornar-se-ão parâmetros-chave para obter uma vantagem competitiva.”

 

DESCOBERTA E DIVULGAÇÃO

Geralmente, a lei russa pressupõe um alto grau de cooperação com as autoridades no caso de investigações conduzidas por autoridades locais e regionais. A divulgação de dados (incluindo dados pessoais) é exigida sob vários estatutos, para que uma empresa seja obrigada a fornecer dados às autoridades fiscalizadoras mediante solicitação, que deve basear-se num estatuto. Por exemplo, o fornecimento de dados pessoais à polícia para investigações criminais deve se basear no pedido da polícia que deve cumprir as leis russas sobre atividades de investigação operacional. Normalmente, o pedido de divulgação deve ser aprovado por um tribunal; no entanto, os tribunais russos são muito cooperativos com as autoridades de investigação; portanto, as probalidades em se recusar a divulgar os dados às autoridades são muito limitadas.

O grau em que as autoridades esperam cooperação na divulgação de dados ficou evidente no exemplo mencionado no ponto ‘Revisão’ acima, a ‘Lei de Yarovaya’. Esta lei estabelece que os organizadores de mensagens na Internet devem fornecer os dados da mensagem às autoridades e as autoridades têm o direito de exigir que os organizadores instalem sistemas especiais usados ​​para fins de investigação.

É muito difícil, e na maioria dos casos até proibido, divulgar dados em resposta a solicitações de governos estrangeiros. Os dados podem ser fornecidos com base em tratados internacionais de assistência jurídica entre os países. No entanto, nesse caso, uma agência governamental estrangeira deve solicitar os dados através das autoridades russas.

É possivél também, a divulgação de dados diretamente, desde que seja efetuado com o consentimento por escrito dos titulares dos dados; no entanto, isso pode se tornar complicado sobre uma perspectiva prática.

 

APLICAÇÃO PÚBLICA E PRIVADA

Agências de execução

A agência principal que lida com violações de dados pessoais é a Data Protection Agency 'Roskomnadzor'. a Data Protection Agency (DPA) tem o direito de realizar auditorias agendadas e não agendadas. O cronograma de todas as auditorias de conformidade planeadas são geralmente publicadas nos sites das subdivisões territoriais da DPA. No entanto, a DPA também pode executar inspeções não programadas, embora neste último, seja necessário notificar o indivíduo ou a empresa com uma antecedência de 24 horas.

 

REGULADOR RESPONSÁVEL

‘Serviço Federal de Supervisão na esfera das comunicações, tecnologias da informação e comunicações de massa’

Roskomnadzor

Kitaigorodsky prospect, 7, bld. 2

Moscou, 109074

Telefone: (495) 987-67-50

Email: rsoc_in@rkn.gov.ru

Website: https://pd.rkn.gov.ru/authority/authority-contacts/

 

ESTRUTURA

Unidades estruturais do organismo autorizado para a proteção dos direitos dos titulares de dados pessoais:

A DPA ‘Roskomnadzor’, realiza o próprio monitoramento de violações de dados (incluindo o monitoramento da Internet e, das notícias relevantes, divulgadas nos mídia). A DPA também reage de forma bastante ativa às reclamações, que na prática podem ser apresentadas por titulares de dados, promotores ou concorrentes. Após uma reclamação ou com base nos resultados do seu monitoramento, a DPA realiza uma verificação não agendada, informando a empresa com 24 horas de antecedência.

Como resultado dessa verificação, a DPA pode emitir uma ordem para resolver a violação ou instaurar processos administrativos num tribunal local. Com base nas estatísticas, a DPA não inicia procedimentos com muita frequência. Isso significa que, na maioria dos casos, as violações podem ser resolvidas com base no pedido do DPA.

Os operadores de dados podem estar sujeitos a responsabilidade criminal, civil e administrativa.

As pessoas cujos dados pessoais foram comprometidos têm o direito privado de processar, com o direito de exigir indeminização por perdas ou indeminização por 'dano moral'.

A DPA tem o direito de iniciar processos administrativos em caso de violação de dados e impor sanções administrativas (multas) se a violação for comprovada. Além disso, a DPA pode, sujeito a uma decisão judicial, impedir o acesso a sites ou aplicativos móveis infratores na Rússia.

A multa administrativa atual é de 75.000 rublos (1065.30 EUR). Na prática, as multas administrativas não são multiplicadas, por exemplo, pelo número de e-mails ou funcionários cujos dados foram comprometidos ou pelo número de violações de dados específicas, mas sim, aplicadas apenas uma vez para um tipo específico de violação. No entanto, essa prática poderá vir a sofrer alterações num futuro próximo.

 

Sanções aplicaveis a ‘Informações’, ‘tecnologia da informação’ e ‘proteção da informação’, em particular por:

  • violações repetidas desta legislação.

As sanções são mais elevadas - a multa pode chegar aos 18 milhões de rublos (aproximadamente 256.067 euros)

 

Outras sanções aplicáveis:

  • A ausência de registo na entidade 'Roskomnadzor' como organizador da disseminação de informações na Internet pode resultar numa multa administrativa de até 1 milhão de Rublos (aproximadamente 14.260 euros) para pessoas jurídicas;
  • a falha em fornecer às autoridades russas informações sobre os utilizadores e suas chaves de comunicação ou descriptografia necessárias para descriptografar as comunicações dos utilizadores, podem resultar numa multa administrativa de até 6 milhões Rublos (aproximadamente 85.300 euros) para pessoas jurídicas;
  • a falha na instalação do equipamento necessário para a realização de investigações criminais pelas autoridades estatais russas pode resultar numa multa administrativa de até 6 milhões Rublos (aproximadamente 85.300 euros) para pessoas jurídicas;
  • não cumprimento das obrigações impostas ao serviço de vídeo sob demanda pode resultar numa multa administrativa de até 5 milhões de rublos (aproximadamente 71.084 euros) para pessoas jurídicas;
  • não cumprimento das obrigações impostas aos serviços de mensagens instantâneas pode resultar numa multa administrativa de até 2 milhões de rublos (aproximadamente 28.434 euros) para pessoas jurídicas;
  • não cumprimento das obrigações impostas aos mecanismos de pesquisa pode resultar numa multa administrativa de até 5 milhões de rublos (aproximadamente 71.084 euros) para pessoas jurídicas.

Comparativamente ao disposto no RGPD Europeu referente ao ‘Processamento de dados’, no caso de uma infração, a empresa pode ser sancionada com uma multa de até 20.000.000 EUR ou 4% da receita anual total da empresa. Além disso, a autoridade de supervisão da UE pode suspender ou proibir totalmente o processamento de dados pessoais na UE.

Embora a Lei de Proteção de Dados Pessoais russa definir "Dados Pessoais" como quaisquer dados relacionados a um indivíduo, direta ou indiretamente identificado ou identificável ("Sujeito a Dados Pessoais").

De acordo com a lei russa, não está claro qual é a interpretação de "indivíduos diretamente ou indiretamente identificáveis". Anteriormente, as autoridades russas interpretavam de forma bastante restrita o conceito sobre Dados Pessoais, o que não é atualmente o caso. Presentemente as autoridades russas aplicam uma interpretação mais ampla dos dados pessoais. Por exemplo, 'DPA Roskomnadzor' iniciou várias ações fiscais contra empresas de telecomunicações por venda de dados de atividades dos utilizadores a empresas de publicidade, enquanto o Ministério das Comunicações (o regulador na área de Dados Pessoais) emitiu esclarecimentos não vinculativos, onde concluiu que os dispositivos móveis pessoais, números de telephone e endereços de e-mail constituem por si mesmos Dados Pessoais.

Atualmente, as autoridades russas classificam os endereços IP, os números de IMEI e outros identificadores de dispositivos, como Dados Pessoais, o que estende substancialmente o escopo das leis russas referentes à proteção de dados pessoais. Os ‘Dados Pessoais Sensíveis’ incluem dados pessoais sobre crenças políticas, religiosas, filosóficas ou outras de um indivíduo, raça e identidade nacional, estado de saúde e vida privada.

As sanções penais só podem ser aplicadas contra pessoas físicas e não contra empresas. Embora os artigos do Código Penal russo que poderiam, embora que teoricamente, se aplicar a violações de dados pessoais, estes não são aplicados a esses casos.

 

LITÍGIOS PARTICULARES

As pessoas cujos dados pessoais são processados ​​de forma a que não estejam em conformidade com a Lei de Dados Pessoais têm o direito de reivindicar danos ou compensações por danos morais da empresa infratora. Tais reclamações só podem ser julgadas num tribunal entre o titular dos dados afetados e o infrator. Geralmente, os casos em que os titulares dos dados fazem uso dessa opção (ou seja, apresentam tais indenizações por danos ou compensações perante os tribunais), são raros e é improvável que o número de ações judiciais civis aumente no futuro próximo. A principal razão para tal é de que os requerentes devem passar pelo complicado processo judicial e fornecer evidências dos danos (incluindo danos morais) causados. Além disso, os tribunais russos competentes não concedem grandes somas pelas violações de dados (geralmente apenas alguns milhares de rublos). Na prática, os indivíduos preferem enviar as reclamações ao DPA ou ao Ministério Público russo, que pode iniciar uma auditoria de conformidade da entidade infratora pelo DPA.

 

CONSIDERAÇÕES PARA ORGANIZAÇÕES ESTRANGEIRAS

Possuir um escritório de representação na Rússia ou mesmo exercer uma atividade através de uma subsidiária russa aciona automaticamente a necessidade de conformidade com os regulamentos russos referentes à Proteção de Dados. Por vezes, o DPA tenta interpretar as leis russas de proteção de dados como tendo jurisdição sobre empresas estrangeiras.

As solicitações do DPA a empresas estrangeiras para fornecer documentos internos sobre conformidade de dados pessoais e apresentar justificações sobre as supostas violações de dados não são incomuns. No entanto, na ausência de qualquer cooperação substancial entre o DPA e as autoridades estrangeiras para a proteção de dados, bem como a falta de tratados relevantes sobre assistência jurídica, as perspectivas de execução contra uma entidade legal estrangeira são duvidosas. De qualquer forma, os problemas descritos neste capítulo, em particular os requisitos de localização de dados, devem ser levados em consideração por qualquer empresa estrangeira que pretenda expandir os seus negócios para o mercado russo. O caso do LinkedIn também confirma que, mesmo a falta de presença na Rússia não isenta os operadores de dados estrangeiros da obrigação de cumprir certos requisitos da Lei de ‘Dados Pessoais’ russa.

 

CIBERSEGURANÇA E VIOLAÇÕES DE DADOS

O tópico da segurança cibernética está a tornar-se cada vez mais importante nas discussões russas sobre a matéria. A Rússia está a tomar medidas constantes para proteger a sua infraestrutura de internet. Como consequência, em 26 de julho de 2017, a Rússia adotou a Lei Federal nº 187-Фз sobre a segurança da infraestrutura de informações críticas da Federação Russa.

A lei estabelece os princípios básicos para garantir a segurança da infraestrutura de informações críticas, os poderes dos órgãos do governo para garantir a segurança da infraestrutura de informações críticas, bem como os direitos, obrigações e responsabilidades das pessoas que detêm direitos de propriedade, ou outros direitos legais inerentes às instalações para infra-estrutura crítica de informações, provedores de comunicações e sistemas de informação que ofereçam interação com essas instalações.

Entende-se por elementos da infra-estrutura crítica de informações e sistemas de informação, as redes de telecomunicações das autoridades do governo, bem como os sistemas e redes para a gestão de processos tecnológicos utilizados em defesa do estado, saúde, transporte, comunicação, finanças, energia, combustível, nuclear, aeroespacial, mineração, metalurgia e indústrias químicas. Todas essas indústrias são consideradas críticas para a economia e devem ser protegidas contra quaisquer ameaças cibernéticas. A lei exige que essas indústrias implementem medidas de proteção, atribuam a categoria de proteção (de acordo com os estatutos) e se registem na FSTEK, que é a autoridade de supervisão nesse campo.

Presentemente, as empresas detêm algumas questões para as autoridades com base nessa lei, que é amplamente elaborada. A pergunta mais comum é, se a lei se aplica a um negócio específico ou não, uma vez que até as redes internas LAN (Local Area Network) podem ser consideradas uma infraestrutura de informações críticas sob regras gerais da lei.

A falta de práticas de fiscalização não ajuda a esclarecer esta situação.

O potencial abuso de sistemas de informação para fins ilícitos apresenta novos riscos à segurança do governo e das empresas. Como resultado, as autoridades russas introduziram regras exigindo que os produtores estrangeiros de software permitam que as agências certificadas pelas autoridades do governo inspecionem o código-fonte do software (na maioria dos casos, produtos de segurança, como firewalls, aplicativos antivírus e software que contém criptografia) antes que seja emitido o registo (pela entidade competente), para que os produtos possam ser importados e vendidos no país. Isso é feito por forma a garantir que não haja 'backdoors' no software que possam ser usados ​​por serviços de inteligência estrangeiros.

Em 16 de abril de 2019, a Rússia adotou a Lei de ‘Isolamento RuNet’. A Lei entrou em vigor a 1 de novembro de 2019. Nos termos desta lei, o DPA receberá amplos poderes para controlar a Internet. Além disso, os operadores de comunicações serão obrigados a utilizar ‘pontos de troca de tráfego’ de um registo criado especialmente e executado pela DPA, que deve estar fisicamente localizado apenas no território da Federação Russa. Além disso, as operadoras de comunicações serão obrigadas a fornecer ao DPA todas as informações sobre os endereços de rede, rotas de mensagens de telecomunicações, ferramentas de software e hardware usadas para resolver nomes de domínio e infraestrutura de rede de comunicações.

Um ambiente tão fechado facilitaria o bloqueio de serviços proibidos ou indesejados. A ideia geral desta lei é manter tecnicamente ativo o segmento russo da Internet, mesmo que esteja desativado do resto da rede mundial de computadores (independentemente da fonte de tal decisão - uma força externa ou o próprio governo russo). A parte de bloqueio também parece bastante lógica, já que atualmente é extraordináriamente difícil para as autoridades impor o bloqueio quando serviços ilegais são hospedados por provedores estrangeiros. Num ambiente fechado na Rússia, isso seria muito mais fácil, pois todos os 'players' seriam apenas empresas e indivíduos russos.

Resta saber de que forma essa lei afetaria qualquer empresa estrangeira que fizesse negócios na Rússia. No entanto, no caso de um cenário do dia do ‘juízo final’, em que o segmento russo é desligado do resto da web, certamente afetaria todos os que trabalham com a Rússia. Na minha perspectiva, no entanto, essa lei é um tipo de ‘arma’ que as autoridades desejam ter ‘apenas por precaução’ e não me parece provável que elas próprias iniciem a desativação.

 

PERSPECTIVAS

Os principais problemas para os próximos anos são, a Lei de Localização de Dados e a Lei Yarovaya. Existe um forte pressentimento de que a lei russa de proteção de dados e os regulamentos da Internet, tal como se encontram, avançarão mais para a formalização e menos para flexibilidade, isto porque as autoridades dão boas-vindas ao controle adicional sobre a Internet e a fluxos de dados pessoais.

A Rússia assinou recentemente o Protocolo da Convenção nº 108 do Conselho da Europa. Portanto, espera-se novas emendas à Lei de Dados Pessoais que harmonizem a lei com a Convenção nº 108. Em particular, esperamos que as regras de notificação de violação sejam introduzidas. Além disso, as regras de despersonalização também abrangeriam entidades comerciais (até ao momento a DPA considerava que apenas entidades do governo podiam realizar despersonalização).

Existe também um projeto de lei que, a ser aprovado, aumentará as multas por falta de localização de dados pessoais na Rússia. A multa máxima proposta é de 18 milhões de rublos (aproximadamente 255.629 EUR).

Também é esperado que surga mais prática judicial. O número de processos judiciais relacionados à privacidade de dados aumenta dia-para-dia e, portanto, são esperadas mais ações de execução e esclarecimentos judiciais nesse campo.

 

©RJCS

 


 

 

Referências

 

Agência de Proteção de Dados (ROSKOMNADZOR)
https://eng.rkn.gov.ru/

Alexander Zharov
Diretor do 'Federal Service for Supervision of Communications, Information Technology and Mass Media (Roskomnadzor)'
http://government.ru/en/department/58/

Federal Service for Technical and Export Control  (FSTEC
https://fstec.ru/en/

Vladimir Selin
Diretor do 'Federal Service for Technical and Export Control (FSTEC)'
http://government.ru/en/department/96/

Federal Security Service (FSB)
http://fsb.ru/

Alexander Bortnikov
Diretor do 'Federal Security Service (FSB)'
http://archive.government.ru/eng/power/113/

Regulamento (UE) 2016/679
https://op.europa.eu/pt/publication-detail/-/publication/3e485e15-11bd-11e6-ba9a-01aa75ed71a1

Diretiva 95/46 / CE
https://eur-lex.europa.eu/legal-content/PT/ALL/?uri=CELEX%3A31995L0046

Lei Federal Nº. 149-Фз
https://www.wipo.int/edocs/lexdocs/laws/en/ru/ru126en.pdf

Lei Federal Nº 152-Фз
https://pd.rkn.gov.ru/authority/p146/p164/

Lei Federal Nº 242-Фз
https://pd.rkn.gov.ru/authority/p146/p191/

Lei Federal No. 97-Фз
https://www.wipo.int/edocs/lexdocs/laws/en/ru/ru126en.pdf

Lei Yarovaya No. 374-Фз 06.07.2016 
http://kremlin.ru/acts/bank/41108

Lei Yarovaya No. 375-Фз 06.07.2016 
http://kremlin.ru/acts/bank/41113

Decreto nº 1119 do Governo da Federação Russa de 1º de novembro de 2012, "Aprovação dos requisitos para a proteção de dados pessoais durante o processamento em sistemas de informação de dados pessoais"

http://pd.rkn.gov.ru/docs/Postanovlenie_Pravitel6stva_Rossijskoj_Federacii_ot_01_nojabrja_2012_g._N_1119.rtf  ( versão disponível em Português, ‘Decreto nº 1119-2012’ )

Rússia 'Right to oblivion' ou 'Right to be forgotten
https://www.hse.ru/data/2015/10/11/1076267685/nurullaev.pdf

Rússia 'Proteção ao consumidor' emenda nº 757423-7 de 2 de dezembro de 2019
https://sozd.duma.gov.ru/bill/757423-7

Introdução de emendas ao artigo 14.8 do Código da Federação da Rússia sobre Infrações Administrativas, (sobre o estabelecimento de responsabilidade pela venda de mercadorias tecnicamente complexas sem software russo pré-instalado).
https://sozd.duma.gov.ru/bill/757430-7

Convenção Europeia para a Proteção dos Direitos Humanos e das Liberdades Fundamentais, 1950 (ECHR).
https://www.echr.coe.int/Documents/Convention_POR.pdf

Constituição russa de 1993, artigos 22, 23, 24 e 29 (com alterações até 2014)
https://www.constituteproject.org/constitution/Russia_2014.pdf?lang=en

Código Civil Russo (Parte I) 1994 (artigos 152, 152.1 e 152.2)
https://www.wipo.int/edocs/lexdocs/laws/en/ru/ru083en.pdf

Cláusula 4ª do artigo 27 do RGPD (Regulamento Geral de Proteção de Dados)
https://eur-lex.europa.eu/legal-content/PT/TXT/HTML/?uri=CELEX:32016R0679&from=EN

JSC Russian Railways  (empresa ferroviária do estado)
http://eng.rzd.ru/

PJSC Sberbank  (empresa do estado de serviços bancários e financeiros)
https://www.sberbank.ru/en/about/about_sberbank

Artigo 21 da Lei Federal Russa de 2006
https://pd.rkn.gov.ru/authority/p146/p164/

A Assembleia Federal da Rússia - o Parlamento - é a legislatura da Federação Russa. Composta por duas câmaras:
o Conselho da Federação e a Duma do Estado.
http://www.gov.ru/main/page7_en.html

Council of the Federal Assembly of the Russian Federation (Conselho da Assembleia Federal)
http://council.gov.ru/

DUMA do Estado  (Assembleia Federal da Rússia)
http://duma.gov.ru/

Alterações à Lei Federal No. 90-ФЗ “Sobre Comunicações” e à Lei Federal “Sobre Informação, Tecnologias da Informação e Proteção da Informação”
"Lei da Internet Soberana" assinada a 1 maio de 2019, pelo Presidente Vladimir Putin
https://sozd.duma.gov.ru/bill/608767-7

Lei Federal de 01.05.2019 No. 90-ФЗ "Emendas à Lei Federal "Sobre Comunicações" e Lei Federal "Sobre Informação, Tecnologias da Informação e Proteção da Informação (RuNet)".
http://publication.pravo.gov.ru/Document/View/0001201905010025

Processamento e armazenamento de dados pessoais na Federação Russa
https://digital.gov.ru/ru/personaldata/

EUA Cloud Act
https://www.justice.gov/dag/page/file/1152896/download

Internet/Splinternet.
https://en.wikipedia.org/wiki/Splinternet

Protocolo da Convenção nº 108 do Conselho da Europa de 1981 (Convenção de Dados Pessoais)
https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52018PC0451&from=EN

Blackberry Messenger
https://www.blackberry.com/uk/en/products/bbm-enterprise-bbme

IMO messenger
https://imo.im/

VChat messenger
https://v-chat-messenger.soft112.com/

WeChat messenger
https://www.wechat.com/en/

Telegram messenger
https://telegram.org/

Tinder
https://tinder.com/?lang=ru-RU