C 1 сентября 2015 года в Российской Федерации начало действовать положение о локализации хранения и отдельных процессов обработки персональных данных, определенное в Федеральном законе №242 от 21 июля 2014 года «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях».
1 сентября 2017 года Роскомнадзор опубликовал свой отчет о проделанной работе, по соблюдению законодательства, подробнее об этом мы писали в своей статье.
Ну, это у нас. А как в других странах? Эксперты Роскомнадзора провели свой анализ, на основании которого выложили в сеть свой «Аналитический обзор международного опыта по локализации баз данных, содержащих персональные данные граждан», кто желает ознакомиться с полным текстом документа, найдет его по ссылке.
Документ довольно обширен и содержит в себе как практику зарубежных стран, так и обзор правоприменения Российской практики. Мы же кратко пройдемся по зарубежным практикам.
Итак, участвующие в обзоре страны:
- Австралия
- Вьетнам
- Индонезия
- Индия
- Казахстан
- Канада
- Китай
- Малайзия
- Нигерия
Австралия
В 2012 году в Австралии был принят закон, регулирующий вопросы предоставления доступа к электронным медицинским записям для соответствующих целей (Personally Controlled Electronic Health Records Act 2012 № 63), который, в том числе, определил обязанность лиц, имеющих доступ к информации, содержащейся в электронных медицинских записях граждан, обеспечить хранение такой информации на территории Австралии.
Так, согласно ч. 1 ст. 77 указанного Закона оператор системы, зарегистрированный оператор репозитория, зарегистрированный оператор портала или зарегистрированный контрактный поставщик услуг, который хранит записи для целей системы PCEHR, независимо от того, хранятся ли записи в других целях) или имеется доступ к информации в отношении таких записей, не должны:
- хранить записи или записывать записи за пределами Австралии;
- обрабатывать или обрабатывать информацию, относящуюся к записям за пределами Австралии;
- разрешать другим лицам хранить записи или использовать записи за пределами Австралии, обрабатывать или обрабатывать информацию, относящуюся к записям, за пределами Австралии.
За нарушение указанных запретов предусмотрен штраф в размере 120 штрафных единиц.
В тоже время, ч. 2 ст. 77 Закона предусмотрено, что для целей эксплуатации или администрирования системы PCEHR Системный оператор вправе:
- хранить и принимать такие документы за пределами Австралии, при условии, что эти записи не включают личную информацию в отношении потребителя или участника системы PCEHR или информацию, позволяющую идентифицировать физическое или юридическое лицо;
- обрабатывать такую информацию за пределами Австралии, при условии, что информация не является личной информацией в отношении потребителя или участника системы PCEHR и (или) информацией, позволяющей идентифицировать физическое или юридическое лицо.
Организации, которые, осуществляют обработку сведений, связанных со здоровьем, должны создавать центры обработки данных на территории Австралии или поручать обработку такой информации австралийским компаниям, имеющим такие центры в Австралии. Обрабатывать сведения о состоянии граждан за пределами разрешается только в обезличенном виде.
Вьетнам
В сентябре 2013 года во Вьетнаме вступил в силу Декрет об управлении, предоставлении и использовании интернет-услуг и информационном контенте в Интернет. Так, все компании, предоставляющие интернет-услуги должны иметь хотя бы один сервер с базами данных на территории Вьетнама.
В октябре 2013 года Министерство информации и связи распространило проект циркуляра, в котором представлены дополнительные данные о реализации Декрета, в том числе, содержащее требование, что в случае наличия требований к серверной системе, расположенной во Вьетнаме, вся серверная система, расположенная за пределами Вьетнама, должна отвечать этим требованиям.
Индонезия
В 2012 году правительство Индонезии потребовало, чтобы государственные учреждения, организации, участвующие в предоставлении государственных услуг, обеспечили создание центров обработки данных на территории Индонезии.
Положением п. 82 Эксплуатации электронной системы и операций предусмотрено, что электронный системный оператор в этих целях обязан также создать центр аварийного восстановления на индонезийской территории.
В 2014 году Министерство связи распространило требование о нахождении ЦОДов для аварийного восстановления для более широкого круга учреждений – любых учреждений и организаций, предоставляющих услуги с использованием информационных технологий.
Кроме того, электронный системный оператор должен обеспечить хранение данных о транзакциях в Индонезии. Требование хранить данные, возникающие в результате электронных транзакций между поставщиками электронных систем и их клиентами в Индонезии, применяется как к частным, так и к публичным поставщикам электронных систем в рамках GR 82.
Индия
Согласно Национальной политики обмена данными и доступности Индии все данные, собранные с использованием государственных ресурсов, должны храниться на территории Индии.
В феврале 2014 года Совет национальной безопасности Индии предложил обеспечить локализацию всех персональных данных граждан Индии на территории Индии.
Предполагалось, что всем провайдерам услуг электронной почты может быть поручено разместить свои серверы, собирающие данные индийцев на территории Индии. Также, инициатива Совета национальной безопасности запрещает создание зеркал таких серверов, если основной сервер храниться за рубежом.
В настоящее время, Закон о телекоммуникациях Индии предусматривает, что вся информация о клиентах и информация о пользователях (кроме сведений о роуминге) должна храниться на территории Индии, удаленный доступ к такой информации из-за пределов Индии запрещен.
Казахстан
В Казахстане Закон о персональных данных РК был принят в 2013 г., в 2015 г. в него были внесены изменения. Изменения 2015 г. были связаны с введением требования о хранении (локализации) персональных данных в Казахстане. Требование хранить персональные данные в Казахстане вступило в силу 1 января 2016 г.
Требование локализации персональных данных требует только хранить базы данных с персональными данными на территории РК.
В законе отсутствует требование сохранить персональные данные сначала в Казахстане, а потом передавать их в другие страны. Соответственно, сбор, обработка, использование и внесение изменений в базу данных могут производиться сначала за рубежом с последующим сохранением базы данных с персональными данными на территории РК. В таком случае компании должны быть готовы представить доказательства того, что база данных с персональными данными была в последующем сохранена в Казахстане.
В случае первоначального сохранения данных за рубежом, важно обеспечить синхронизацию баз данных за рубежом и в Казахстане. Частота синхронизации не определена в Законе о персональных данных.
Персональные данные в Казахстане должны хранить, как владельцы баз данных, так и операторы баз данных.
Канада
В Канаде в системе федерального законодательства отсутствует требование по локализации баз персональных данных граждан на территории Канады. Однако, такое требование существует на уровне двух провинций – Новой Шотландии и Британской Колумбии.
До декабря 2017 года в Британской Колумбии существовал Закон о свободе информации и защите частной жизни. Согласно ст. 30.1. Закона общественный орган должен обеспечить, чтобы хранение личной информации, находящейся в распоряжении такого органа, а также доступ к ней, осуществлялись только на территории Канады. При этом, субъект данных мог дать согласие на хранение или использование личной информации в другой юрисдикции.
В Новой Шотландии вопросы хранения баз данных, содержащих персональные данные, урегулированы положениями Закона о защите личной информации. Законодательные положения об обеспечении локализации в Новой Шотландии идентичны положениям (ст. 5(1)), существовавшим в Британской Колумбии.
Китай
В 2011 году Народный банк Китая опубликовал Уведомление, посвященное необходимости повышения уровни защиты личной финансовой информации.
Под личной финансовой информацией в Китае понимают персональную информацию (имя, пол, национальность, фотография), информацию о личной собственности, информацию о личном счете, личную кредитную информацию, информацию о транзакциях, иная производная информация (информация, полученная путем анализа первичной информации), другая личная информация, ставая известная Банку в ходе делового сотрудничества, договорных отношений.
В Уведомлении содержится запрет Банкам хранить, обрабатывать или анализировать за пределами Китая любую личную финансовую информацию, которая была собрана в Китае, или предоставлять личную финансовую информацию, собранную в Китае, оффшорному предприятию.
Нарушение требований, содержащихся в Уведомлении, дает право Народному Банку Китая приказать соответствующему Банку исправить свое несоответствие и потребовать от Банка наказать ответственных должностных лиц.
Кроме того, с 1 июня 2017 года вступил в силу Закон о кибербезопасности, который установил новые ограничения для операторов ключевой информационной инфраструктуры, операторов сетей и поставщиков сетевых продуктов и услуг.
Так, статьей 37 Закона о кибербезопасности предусмотрено, что операторы критической информационной инфраструктуры должны хранить на материковой территории КНР собранную или произведенную ими персональную информацию на материковой части Китая. Однако, когда из-за требований бизнеса действительно необходимо обеспечить хранение персональной информации за пределами материка, операторы критической информационной инфраструктуры должны следовать мерам, совместно сформулированным государственными сетевыми информационными департаментами и соответствующими департаментами Государственного совета для проведения оценки безопасности; но в тех случаях, когда законы и административные нормы предусматривают иное, необходимо следовать этим положениям.
Если операторы критической информационной инфраструктуры нарушают статью 37 Закона путем хранения данных за пределами материковой территории или предоставляют сетевые данные отдельным лицам или организациям за пределами материковой территории без проведения оценки безопасности, соответствующий компетентный отдел дает предупреждения, конфисковывает незаконно полученную выгоду, налагает штрафы в размере от 50 000 до 500 000 юаней (9,74 руб. за 1 юань по курсу ЦБ РФ на 29.05.2018) и может вынести постановление о временном приостановлении операций, приостановлении деятельности для устранения нарушений, прекратить деятельность веб-сайтов, аннулировать соответствующие разрешения на деятельность. Лица, осуществляющие контроль соблюдения требований законодательства, ответственные лица, в случае выявления нарушения могут быть оштрафованы на сумму от 10000 до 100000 юаней.
Также, требование локализации касается баз данных, содержащих медицинские сведения. Так, Мерами по управлению информацией о здоровье населения, принятыми Государственным комитетом по делам здравоохранения и планового деторождения КНР, предусмотрено, что медицинские учреждения, организации в сфере социального обеспечения (социальные службы), учреждения по планированию семьи не могут хранить информацию о здоровье населения на серверах за границей или иным образом размещать или арендовать зарубежные серверы.
Относительно деятельности иностранных компаний на территории Китая отметим, что в адрес их представительств на территории Китая периодически направляется уведомление с требованием локализовать хранение персональных данных на территории Китая. В случае отказа, интернет-сервисы указанных компаний временно блокируются на основании решения уполномоченного органа исполнительной власти.
Малайзия
В 2010 году, закон о защите персональных данных Малайзии ввел запрет на передачу персональных данных за пределы страны. Трансграничная передача персональных данных возможна лишь при соблюдении определенных условий и в ряде исключительных случаев. Должно быть получено согласие субъекта персональных данных, если есть необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта персональных данных.
Нигерия
В Нигерии в 2013 году Национальное агентство по развитию информационных технологий выпустило Руководство по развитию нигерийского контента в области информационных и коммуникационных технологий. Согласно положениям Руководства, организации, осуществляющие действия с данными и информацией, позволяющей идентифицировать гражданина, должны обеспечить локализацию баз таких данных на территории страны.
Вместо послесловия
Как видим из примеров законодательств других стран, мы не единственные, кто занимается в той или иной мере локализацией. Но, как всегда, у нас свой характер законодательства. В отличие от приведенных примеров, у нас законом предусмотрено, что свое действие закон распространяет даже на организации, не имеющие представительств в РФ. Вспомним здесь комментарий Минкомсвязи:
"… обязанности по локализации отдельных процессов обработки персональных данных распространяются на иностранных операторов при условии осуществления ими направленной деятельности на территорию Российской Федерации и отсутствии исключений, прямо указанных в ч. 5 ст. 18 ФЗ «О персональных данных» (например, международного договора, для достижения целей которого осуществляется обработка)."
P.S. По ссылке вы можете скачать наш White Paper о Федеральном Законе №152.
Это книга, которая была опубликована с целью помочь устранить путаницу в вопросах обработки персональных данных и ясно описать процесс приведения ИС персональных данных в соответствии с законодательством России. Тема раскрывается «с нуля». Это помогает удовлетворить потребности широкого круга читателей.
