Geekly articles weekly

توطين البيانات الشخصية لغير الروس



في 1 سبتمبر 2015 ، الحكم المتعلق بتعريب التخزين وبعض العمليات الخاصة بمعالجة البيانات الشخصية ، المحدد في القانون الاتحادي رقم 242 المؤرخ 21 يوليو 2014 "بشأن تعديل بعض القوانين التشريعية للاتحاد الروسي فيما يتعلق بتوضيح معالجة البيانات الشخصية في شبكات المعلومات والاتصالات ".

في 1 سبتمبر 2017 ، نشرت Roskomnadzor تقريرها عن العمل المنجز للامتثال للقانون ، كتبنا المزيد عن هذا في مقالتنا .

حسنا ، هذا لنا. ماذا عن البلدان الأخرى؟ أجرى خبراء Roskomnadzor تحليلهم ، وعلى أساسهم نشروا على الشبكة "المراجعة التحليلية للتجربة الدولية في توطين قواعد البيانات التي تحتوي على البيانات الشخصية للمواطنين" ، أي شخص يريد قراءة النص الكامل للوثيقة سيجدها هنا .

الوثيقة واسعة للغاية وتحتوي على كل من ممارسة الدول الأجنبية ومراجعة لإنفاذ الممارسة الروسية. سنتناول بإيجاز الممارسات الأجنبية.

لذا ، المشاركة في مراجعة الدولة:

  • أستراليا
  • فيتنام
  • إندونيسيا
  • الهند
  • كازاخستان
  • كندا
  • الصين
  • ماليزيا
  • نيجيريا

أستراليا


في عام 2012 ، أصدرت أستراليا قانونًا ينظم توفير الوصول إلى السجلات الطبية الإلكترونية للأغراض ذات الصلة (قانون السجلات الصحية الإلكترونية الخاضع للتحكم الشخصي لعام 2012 رقم 63) ، والذي حدد ، في جملة أمور ، التزام الأشخاص الذين يمكنهم الوصول إلى المعلومات الواردة في السجلات الإلكترونية السجلات الطبية للمواطنين لضمان تخزين هذه المعلومات في أستراليا.

لذلك ، وفقا للجزء 1 من الفن. 77 من القانون ، يجب ألا يشغل عامل النظام أو مشغل المستودع المسجل أو مشغل البوابة المسجلة أو مزود الخدمة التعاقدية المسجلة السجلات لأغراض نظام PCEHR ، بغض النظر عما إذا كانت السجلات يتم تخزينها لأغراض أخرى) أو الوصول إلى المعلومات المتعلقة بهذه السجلات ، :

  • الاحتفاظ بالسجلات أو تسجيل الملاحظات خارج أستراليا ؛
  • معالجة أو معالجة المعلومات المتعلقة بالسجلات خارج أستراليا ؛
  • اسمح للآخرين بالاحتفاظ بالسجلات أو استخدام السجلات خارج أستراليا ، لمعالجة أو معالجة المعلومات المتعلقة بالسجلات خارج أستراليا.

في حالة انتهاك هذه المحظورات ، يتم دفع غرامة قدرها 120 وحدة غرامة.

في نفس الوقت ، الجزء 2 من المقالة 77 من القانون ينص على أنه لغرض تشغيل أو إدارة نظام PCEHR ، يحق لمشغل النظام:

  • لتخزين وقبول هذه المستندات خارج أستراليا ، شريطة ألا تتضمن هذه السجلات معلومات شخصية تتعلق بمستهلك أو عضو في نظام PCEHR أو معلومات تحدد فردًا أو كيانًا قانونيًا ؛
  • معالجة هذه المعلومات خارج أستراليا ، بشرط ألا تكون المعلومات معلومات شخصية تتعلق بمستهلك أو عضو في نظام PCEHR و / أو المعلومات التي تحدد فردًا أو كيانًا قانونيًا.

يجب على المنظمات التي تعالج المعلومات المتعلقة بالصحة أن تنشئ مراكز بيانات في أستراليا أو أن تعهد إلى معالجة الشركات الأسترالية التي لديها مثل هذه المراكز في أستراليا. لا يُسمح بمعالجة المعلومات المتعلقة بوضع المواطنين في الخارج إلا بشكل مجهول.

فيتنام


في سبتمبر 2013 ، دخل مرسوم بشأن إدارة وتوفير واستخدام خدمات الإنترنت ومحتوى المعلومات على الإنترنت حيز التنفيذ في فيتنام. لذا ، يجب أن يكون لدى جميع الشركات التي تقدم خدمات الإنترنت خادم واحد على الأقل مع قواعد بيانات في فيتنام.

في أكتوبر 2013 ، وزعت وزارة الإعلام والاتصالات مسودة تعميم توفر بيانات إضافية حول تنفيذ المرسوم ، بما في ذلك شرط أنه إذا كانت هناك متطلبات لنظام خادم موجود في فيتنام ، فإن نظام الخادم بأكمله الموجود خارج فيتنام ، يجب أن تستوفي هذه المتطلبات.

إندونيسيا


في عام 2012 ، طالبت الحكومة الإندونيسية أن تضمن الوكالات الحكومية والمنظمات المشاركة في تقديم الخدمات العامة إنشاء مراكز البيانات في إندونيسيا.

ينص البند 82 من تشغيل النظام والعمليات الإلكترونية على أنه لهذا الغرض ، يجب على مشغل النظام الإلكتروني أيضًا إنشاء مركز للتعافي من الكوارث على الأراضي الإندونيسية.

في عام 2014 ، وسعت وزارة الاتصالات شرط العثور على مراكز بيانات للتعافي من الكوارث لمجموعة واسعة من المؤسسات - أي مؤسسات ومنظمات تقدم خدمات باستخدام تكنولوجيا المعلومات.

بالإضافة إلى ذلك ، يجب على مشغل النظام الإلكتروني ضمان تخزين بيانات المعاملات في إندونيسيا. ينطبق شرط تخزين البيانات الناشئة عن المعاملات الإلكترونية بين موردي النظام الإلكتروني وعملائهم في إندونيسيا على موردي النظام الإلكتروني الخاص والعام بموجب GR 82.

الهند


وفقًا لسياسة تبادل البيانات الوطنية وإمكانية الوصول في الهند ، يجب تخزين جميع البيانات التي يتم جمعها باستخدام الموارد العامة في الهند.

في فبراير 2014 ، اقترح مجلس الأمن القومي الهندي ضمان توطين جميع البيانات الشخصية للمواطنين الهنود في الهند.

كان من المفترض أن يتم توجيه جميع مزودي خدمة البريد الإلكتروني لاستضافة خوادمهم التي تجمع البيانات الهندية في الهند. أيضا ، تحظر مبادرة مجلس الأمن القومي إنشاء مرايا لهذه الخوادم إذا كان الخادم الرئيسي مخزنا في الخارج.

حاليًا ، ينص قانون الاتصالات الهندي على أنه يجب تخزين جميع معلومات العملاء ومعلومات المستخدم (باستثناء معلومات التجوال) في الهند ، ويحظر الوصول عن بُعد إلى هذه المعلومات من خارج الهند.

كازاخستان


في كازاخستان ، تم اعتماد قانون البيانات الشخصية لجمهورية كازاخستان في عام 2013 ، وفي عام 2015 ، تم إدخال تعديلات عليه. ارتبطت التغييرات في عام 2015 بإدخال شرط تخزين (توطين) البيانات الشخصية في كازاخستان. دخل شرط تخزين البيانات الشخصية في كازاخستان حيز التنفيذ في 1 يناير 2016.

يتطلب اشتراط توطين البيانات الشخصية فقط تخزين قواعد البيانات مع البيانات الشخصية على أراضي جمهورية كازاخستان.

لا يشترط القانون تخزين البيانات الشخصية أولاً في كازاخستان ، ثم نقلها إلى دول أخرى. وبناءً على ذلك ، يمكن أولاً جمع قاعدة البيانات ومعالجتها واستخدامها وتعديلها في الخارج أولاً ، يليها حفظ قاعدة البيانات بالبيانات الشخصية على أراضي جمهورية كازاخستان. في هذه الحالة ، يجب أن تكون الشركات مستعدة لتقديم دليل على أن قاعدة البيانات مع البيانات الشخصية تم تخزينها لاحقًا في كازاخستان.

في حالة التخزين الأولي للبيانات في الخارج ، من المهم ضمان تزامن قواعد البيانات في الخارج وفي كازاخستان. لم يتم تحديد وتيرة التزامن في قانون البيانات الشخصية.

يجب تخزين البيانات الشخصية في كازاخستان من قبل مالكي قواعد البيانات ومشغلي قواعد البيانات.

كندا


في كندا ، لا يتطلب التشريع الفيدرالي توطين قواعد البيانات الشخصية للمواطنين في كندا. ومع ذلك ، يوجد مثل هذا الشرط على مستوى مقاطعتين - نوفا سكوتيا وكولومبيا البريطانية.

حتى ديسمبر 2017 ، كانت كولومبيا البريطانية لديها قانون حرية المعلومات والخصوصية. بحسب الفن. 30.1. بموجب القانون ، يجب على السلطة العامة التأكد من أن تخزين المعلومات الشخصية التي تحتفظ بها هذه السلطة ، وكذلك الوصول إليها ، يتم في كندا فقط. في الوقت نفسه ، يمكن لموضوع البيانات الموافقة على تخزين أو استخدام المعلومات الشخصية في ولاية قضائية أخرى.

في نوفا سكوشا ، يتم تخزين قواعد البيانات التي تحتوي على البيانات الشخصية بموجب أحكام قانون حماية المعلومات الشخصية. تتطابق قوانين التوطين في نوفا سكوتيا مع تلك الموجودة في كولومبيا البريطانية (المادة 5 (1)).

الصين


في عام 2011 ، أصدر بنك الشعب الصيني إشعارًا بشأن الحاجة إلى زيادة مستويات حماية المعلومات المالية الشخصية.

المعلومات المالية الشخصية في الصين تعني المعلومات الشخصية (الاسم ، الجنس ، الجنسية ، الصورة) ، معلومات الملكية الشخصية ، معلومات الحساب الشخصية ، معلومات الائتمان الشخصية ، معلومات المعاملات ، المعلومات المشتقة الأخرى (المعلومات التي يتم الحصول عليها عن طريق تحليل المعلومات الأساسية) ، معلومات شخصية أخرى ، أصبحت معروفة للبنك في سياق التعاون التجاري ، والعلاقات التعاقدية.

يحظر الإشعار على البنوك تخزين أي معلومات مالية شخصية تم جمعها في الصين أو معالجتها أو تحليلها خارج الصين ، أو توفير معلومات مالية شخصية تم جمعها في الصين إلى شركة خارجية.

إن انتهاك المتطلبات الواردة في الإخطار يخول بنك الشعب الصيني أن يأمر البنك المعني بتصحيح عدم امتثاله ويطلب من البنك معاقبة المسؤولين المسؤولين.

بالإضافة إلى ذلك ، اعتبارًا من 1 يونيو 2017 ، دخل قانون الأمن السيبراني حيز التنفيذ ، والذي وضع قيودًا جديدة لمشغلي البنية التحتية الأساسية للمعلومات ، ومشغلي الشبكات وموردي منتجات وخدمات الشبكة.

وبالتالي ، ينص القسم 37 من قانون الأمن السيبراني على أنه يجب على مشغلي البنية التحتية الحيوية للمعلومات تخزين المعلومات الشخصية التي يجمعونها أو ينتجونها في البر الرئيسي للصين في الصين القارية. ومع ذلك ، عندما يكون من الضروري حقًا ، نظرًا لمتطلبات العمل ، ضمان تخزين المعلومات الشخصية خارج البر الرئيسي ، يجب على مشغلي البنية التحتية الحيوية للمعلومات اتباع الإجراءات التي تمت صياغتها بشكل مشترك من قبل إدارات معلومات شبكة الدولة والإدارات ذات الصلة في مجلس الدولة لإجراء تقييم أمني ؛ ولكن في الحالات التي تنص فيها القوانين والقواعد الإدارية على خلاف ذلك ، يجب اتباع هذه الأحكام.

إذا انتهك مشغلو البنية التحتية الحيوية للمعلومات القسم 37 من القانون من خلال تخزين البيانات خارج البر الرئيسي أو توفير بيانات الشبكة للأفراد أو المنظمات خارج البر الرئيسي دون تقييم السلامة ، فإن الإدارة المختصة ذات الصلة تقدم تحذيرات ، وتصادر الفوائد التي تم الحصول عليها بشكل غير قانوني ، وتفرض غرامات تصل إلى 50 000 إلى 500000 يوان (9.74 روبل لكل يوان بسعر البنك المركزي اعتبارًا من 29 مايو 2018) وقد يصدر قرارًا بشأن التعليق المؤقت للعمليات ، إلخ. وتعليق الأنشطة للقضاء على الانتهاكات ، وإنهاء تشغيل المواقع الإلكترونية ، وإلغاء التصاريح المقابلة للأنشطة. يمكن تغريم أولئك الذين يمارسون السيطرة على الامتثال لمتطلبات القانون ، والأشخاص المسؤولين ، في حالة الانتهاك ، من 10000 إلى 100000 يوان.

أيضًا ، ينطبق شرط التعريب على قواعد البيانات التي تحتوي على معلومات طبية. وبالتالي ، فإن تدابير إدارة معلومات الصحة العامة التي اعتمدتها اللجنة الحكومية للصحة والإنجاب المخطط لها في جمهورية الصين الشعبية تنص على أن المؤسسات الطبية ومنظمات الضمان الاجتماعي (الخدمات الاجتماعية) ومؤسسات تنظيم الأسرة لا يمكنها تخزين معلومات حول الصحة العامة على الخوادم في الخارج أو استضافة أو تأجير خوادم أجنبية.

فيما يتعلق بأنشطة الشركات الأجنبية في الصين ، نلاحظ أنه يتم إرسال إشعار بشكل دوري إلى مكاتبها التمثيلية في الصين مع طلب لتوطين تخزين البيانات الشخصية في الصين. في حالة الرفض ، يتم حظر خدمات الإنترنت لهذه الشركات مؤقتًا بناءً على قرار من الهيئة التنفيذية المخولة.

ماليزيا


في عام 2010 ، فرض قانون حماية البيانات الشخصية الماليزي حظرًا على نقل البيانات الشخصية خارج البلاد. لا يمكن نقل البيانات الشخصية عبر الحدود إلا لشروط معينة وفي عدد من الحالات الاستثنائية. يجب الحصول على موافقة موضوع البيانات الشخصية ، إذا كانت هناك حاجة للوفاء بالعقد بين الموضوع والمشغل ، والحاجة إلى الوفاء بالعقد بين المشغل والطرف الثالث ، والذي تم إبرامه بناءً على الطلب أو لصالح موضوع البيانات الشخصية.

نيجيريا


في نيجيريا ، في عام 2013 ، أصدرت الوكالة الوطنية لتطوير تكنولوجيا المعلومات دليلاً لتطوير المحتوى النيجيري في تكنولوجيا المعلومات والاتصالات. وفقًا لأحكام الدليل ، يجب على المنظمات المشاركة في تحديد البيانات والمعلومات للمواطن ضمان توطين قواعد البيانات هذه في البلد.

بدلا من كلمة ختامية




كما نرى من أمثلة قوانين الدول الأخرى ، لسنا الوحيدين الذين ينخرطون بطريقة أو بأخرى في التوطين. ولكن ، كما هو الحال دائمًا ، لدينا طابعنا التشريعي الخاص. على النقيض من الأمثلة المذكورة أعلاه ، ينص قانوننا على أن القانون يمتد أثره حتى للمنظمات التي ليس لها مكاتب تمثيلية في الاتحاد الروسي. أذكر هنا تعليق وزارة الاتصالات:

"... تنطبق الالتزامات المتعلقة بتوطين بعض عمليات معالجة البيانات الشخصية على المشغلين الأجانب ، شريطة أن يقوموا بأنشطة موجهة على أراضي الاتحاد الروسي ، ولا توجد استثناءات محددة صراحة في الجزء 5 من المادة 18 من القانون الاتحادي" بشأن البيانات الشخصية "(على سبيل المثال ، اتفاق دولي ، تحقيق الأهداف التي تتم المعالجة). "

ملاحظة: يمكنك تنزيل الكتاب الأبيض الخاص بالقانون الاتحادي رقم 152 .
تم نشر هذا الكتاب للمساعدة في القضاء على الارتباك فيما يتعلق بمعالجة البيانات الشخصية ووصف عملية جلب المعلومات الشخصية IP بوضوح وفقًا للقانون الروسي. يتكشف الموضوع من نقطة الصفر. هذا يساعد على تلبية احتياجات مجموعة واسعة من القراء.

Source: https://habr.com/ru/post/ar412533/

More articles:


All Articles