Am 1. September 2015 wurde die Bestimmung zur Lokalisierung der Speicherung und zu bestimmten Prozessen für die Verarbeitung personenbezogener Daten im Bundesgesetz Nr. 242 vom 21. Juli 2014 „Zur Änderung bestimmter Rechtsakte der Russischen Föderation zur Klärung der Verarbeitung personenbezogener Daten in Informations- und Telekommunikationsnetze. "
Am 1. September 2017 veröffentlichte Roskomnadzor seinen Bericht über die zur Einhaltung des Gesetzes geleistete Arbeit. Mehr dazu haben wir in unserem
Artikel geschrieben .
Nun, das ist unser. Wie wäre es in anderen Ländern? Die Experten von Roskomnadzor führten ihre Analyse durch, auf deren Grundlage sie ihre „analytische Überprüfung der internationalen Erfahrung bei der Lokalisierung von Datenbanken mit personenbezogenen Daten von Bürgern“ im Netzwerk veröffentlichten. Jeder, der den vollständigen Text des Dokuments lesen möchte, findet ihn
hier .
Das Dokument ist ziemlich umfangreich und enthält sowohl die Praxis des Auslandes als auch eine Überprüfung der Durchsetzung der russischen Praxis. Wir werden kurz auf ausländische Praktiken eingehen.
Also, an der Überprüfung des Landes teilnehmen:
- Australien
- Vietnam
- Indonesien
- Indien
- Kasachstan
- Kanada
- China
- Malaysia
- Nigeria
Australien
Im Jahr 2012 hat Australien ein Gesetz verabschiedet, das den Zugang zu elektronischen Patientenakten für relevante Zwecke regelt (Gesetz über persönlich kontrollierte elektronische Patientenakten 2012 Nr. 63), das unter anderem die Verpflichtung von Personen festlegt, Zugang zu in elektronischen Informationen enthaltenen Informationen zu haben Krankenakten von Bürgern, um die Speicherung solcher Informationen in Australien sicherzustellen.
Also, gemäß Teil 1 der Kunst. Gemäß Artikel 77 des Gesetzes sollten ein Systembetreiber, ein registrierter Endlagerbetreiber, ein registrierter Portalbetreiber oder ein registrierter vertraglicher Dienstleister, der Aufzeichnungen für die Zwecke des PCEHR-Systems speichert, unabhängig davon, ob Aufzeichnungen für andere Zwecke gespeichert werden, keinen Zugang zu Informationen über diese Aufzeichnungen haben ::
- Aufzeichnungen oder Aufzeichnungen außerhalb Australiens führen;
- Prozess oder Prozessinformationen in Bezug auf Aufzeichnungen außerhalb Australiens;
- Erlauben Sie anderen, Aufzeichnungen außerhalb Australiens zu führen oder Aufzeichnungen zu verwenden, Informationen zu Aufzeichnungen außerhalb Australiens zu verarbeiten oder zu verarbeiten.
Bei Verstößen gegen diese Verbote wird eine Geldstrafe von 120 Bußgeldern verhängt.
Zur gleichen Zeit Teil 2 des Artikels 77 des Gesetzes sieht vor, dass der Systembetreiber zum Zwecke des Betriebs oder der Verwaltung des PCEHR-Systems das Recht hat:
- solche Dokumente außerhalb Australiens zu speichern und zu akzeptieren, sofern diese Aufzeichnungen keine persönlichen Informationen über einen Verbraucher oder ein Mitglied des PCEHR-Systems oder Informationen zur Identifizierung einer Person oder juristischen Person enthalten;
- solche Informationen außerhalb Australiens verarbeiten, sofern es sich bei den Informationen nicht um personenbezogene Daten eines Verbrauchers oder eines Mitglieds des PCEHR-Systems und / oder um Informationen handelt, die eine natürliche oder juristische Person identifizieren.
Organisationen, die gesundheitsbezogene Informationen verarbeiten, sollten Rechenzentren in Australien einrichten oder die Verarbeitung australischen Unternehmen mit solchen Zentren in Australien anvertrauen. Die Verarbeitung von Informationen über den Status von Bürgern außerhalb ist nur in anonymer Form zulässig.Vietnam
Im September 2013 trat in Vietnam ein Dekret über die Verwaltung, Bereitstellung und Nutzung von Internetdiensten und Informationsinhalten im Internet in Kraft. Daher müssen alle Unternehmen, die Internetdienste anbieten, mindestens einen Server mit Datenbanken in Vietnam haben.
Im Oktober 2013 verteilte das Ministerium für Information und Kommunikation einen Entwurf eines Rundschreibens, der zusätzliche Daten zur Umsetzung des Dekrets enthielt, einschließlich der Anforderung, dass das gesamte Serversystem außerhalb Vietnams liegt, wenn Anforderungen an ein Serversystem in Vietnam bestehen. muss diese Anforderungen erfüllen.
Indonesien
2012 forderte die indonesische Regierung, dass Regierungsbehörden, Organisationen, die an der Erbringung öffentlicher Dienstleistungen beteiligt sind, die Einrichtung von Rechenzentren in Indonesien sicherstellen.
Die Bestimmung in Abschnitt 82 des Betriebs des elektronischen Systems und des Betriebs sieht vor, dass der Betreiber des elektronischen Systems zu diesem Zweck auch ein Disaster Recovery-Zentrum auf indonesischem Gebiet einrichten muss.
Im Jahr 2014 erweiterte das Kommunikationsministerium die Anforderung, Rechenzentren für die Notfallwiederherstellung für ein breiteres Spektrum von Institutionen zu finden - alle Institutionen und Organisationen, die Dienste mithilfe von Informationstechnologie bereitstellen.
Darüber hinaus muss der Betreiber des elektronischen Systems die Speicherung von Transaktionsdaten in Indonesien sicherstellen. Die Anforderung, Daten aus elektronischen Transaktionen zwischen Anbietern elektronischer Systeme und ihren Kunden in Indonesien zu speichern, gilt sowohl für private als auch für öffentliche Anbieter elektronischer Systeme gemäß GR 82.
Indien
Gemäß der National Data Exchange and Accessibility Policy von Indien müssen alle mit öffentlichen Mitteln gesammelten Daten in Indien gespeichert werden.
Im Februar 2014 schlug der Nationale Sicherheitsrat von Indien vor, die Lokalisierung aller personenbezogenen Daten indischer Staatsbürger in Indien sicherzustellen.
Es wurde angenommen, dass alle E-Mail-Dienstanbieter angewiesen werden könnten, ihre Server zu hosten, die indische Daten in Indien sammeln. Die Initiative des Nationalen Sicherheitsrates verbietet auch die Erstellung von Spiegeln für solche Server, wenn der Hauptserver im Ausland gespeichert ist.
Derzeit sieht das Telecommunications Act of India vor, dass alle Kundeninformationen und Benutzerinformationen (außer Roaming-Informationen) in Indien gespeichert werden müssen. Der Fernzugriff auf solche Informationen von außerhalb Indiens ist verboten.
Kasachstan
In Kasachstan wurde 2013 das Gesetz über personenbezogene Daten der Republik Kasachstan verabschiedet, und 2015 wurden Änderungen daran vorgenommen. Die Änderungen im Jahr 2015 waren mit der Einführung der Anforderung verbunden, personenbezogene Daten in Kasachstan zu speichern (zu lokalisieren). Die Verpflichtung zur Speicherung personenbezogener Daten in Kasachstan trat am 1. Januar 2016 in Kraft.
Die Anforderung, personenbezogene Daten zu lokalisieren, erfordert lediglich die Speicherung von Datenbanken mit personenbezogenen Daten im Hoheitsgebiet der Republik Kasachstan.
Das Gesetz schreibt nicht vor, personenbezogene Daten zuerst in Kasachstan zu speichern und dann in andere Länder zu übertragen. Dementsprechend kann die Erhebung, Verarbeitung, Nutzung und Änderung der Datenbank zunächst im Ausland erfolgen, gefolgt von der Speicherung der Datenbank mit personenbezogenen Daten auf dem Gebiet der Republik Kasachstan. In diesem Fall sollten Unternehmen bereit sein, den Nachweis zu erbringen, dass die Datenbank mit personenbezogenen Daten anschließend in Kasachstan gespeichert wurde.
Bei der ersten Datenspeicherung im Ausland ist es wichtig, die Synchronisation der Datenbanken im Ausland und in Kasachstan sicherzustellen. Die Häufigkeit der Synchronisation ist im Gesetz über personenbezogene Daten nicht festgelegt.
Personenbezogene Daten in Kasachstan sollten sowohl von Datenbankbesitzern als auch von Datenbankbetreibern gespeichert werden.
Kanada
In Kanada schreibt die Bundesgesetzgebung nicht die Lokalisierung personenbezogener Datenbanken von Bürgern in Kanada vor. Eine solche Anforderung besteht jedoch auf der Ebene von zwei Provinzen - Nova Scotia und British Columbia.
Bis Dezember 2017 hatte British Columbia ein Gesetz über Informationsfreiheit und Datenschutz. Nach Art. 30.1. Laut Gesetz muss die Behörde sicherstellen, dass die Speicherung personenbezogener Daten einer solchen Behörde sowie der Zugriff darauf nur in Kanada erfolgt. Gleichzeitig könnte die betroffene Person der Speicherung oder Verwendung personenbezogener Daten in einer anderen Gerichtsbarkeit zustimmen.
In Nova Scotia ist die Speicherung von Datenbanken mit personenbezogenen Daten durch die Bestimmungen des Gesetzes zum Schutz personenbezogener Daten geregelt. Die Lokalisierungsgesetze in Nova Scotia sind identisch mit denen in British Columbia (Art. 5 Abs. 1).
China
Im Jahr 2011 veröffentlichte die Volksbank von China eine Mitteilung über die Notwendigkeit, das Schutzniveau für persönliche Finanzinformationen zu erhöhen.
Persönliche Finanzinformationen in China sind persönliche Informationen (Name, Geschlecht, Nationalität, Foto), persönliche Eigentumsinformationen, persönliche Kontoinformationen, persönliche Kreditinformationen, Transaktionsinformationen und andere abgeleitete Informationen (Informationen, die durch Analyse der Primärinformationen erhalten wurden). sonstige personenbezogene Daten, die der Bank im Rahmen der geschäftlichen Zusammenarbeit bekannt werden, Vertragsbeziehungen.
Die Mitteilung verbietet es Banken, in China gesammelte persönliche Finanzinformationen außerhalb Chinas zu speichern, zu verarbeiten oder zu analysieren oder in China gesammelte persönliche Finanzinformationen an ein Offshore-Unternehmen weiterzugeben.
Ein Verstoß gegen die in der Mitteilung enthaltenen Anforderungen berechtigt die Volksbank von China, die betreffende Bank anzuweisen, ihre Nichteinhaltung zu korrigieren, und die Bank zu verpflichten, die zuständigen Beamten zu bestrafen.
Darüber hinaus trat ab dem 1. Juni 2017 das Cybersicherheitsgesetz in Kraft, das neue Beschränkungen für Betreiber wichtiger Informationsinfrastrukturen, Netzbetreiber und Anbieter von Netzprodukten und -diensten festlegte.
In Abschnitt 37 des Cybersicherheitsgesetzes ist daher festgelegt, dass Betreiber kritischer Informationsinfrastrukturen personenbezogene Daten speichern müssen, die von ihnen auf dem chinesischen Festland auf dem chinesischen Festland gesammelt oder produziert wurden. Wenn es jedoch aus geschäftlichen Gründen wirklich erforderlich ist, die Speicherung personenbezogener Daten außerhalb des Festlandes sicherzustellen, müssen die Betreiber kritischer Informationsinfrastruktur die Maßnahmen befolgen, die von den Informationsabteilungen des staatlichen Netzes und den zuständigen Abteilungen des Staatsrates gemeinsam formuliert wurden, um eine Sicherheitsbewertung durchzuführen. In Fällen, in denen Gesetze und Verwaltungsvorschriften etwas anderes vorsehen, müssen diese Bestimmungen befolgt werden.
Wenn die Betreiber kritischer Informationsinfrastrukturen gegen Abschnitt 37 des Gesetzes verstoßen, indem sie Daten außerhalb des Festlandes speichern oder Personen oder Organisationen außerhalb des Festlandes Netzwerkdaten ohne Sicherheitsbewertung zur Verfügung stellen, gibt die zuständige zuständige Abteilung Warnungen aus, beschlagnahmt illegal erhaltene Leistungen und verhängt Geldstrafen von bis zu 50 000 bis 500.000 Yuan
(9,74 Rubel pro 1 Yuan zum Zentralbankkurs zum 29. Mai 2018) und kann eine Entscheidung über die vorübergehende Einstellung des Betriebs usw. treffen. und die Aussetzung von Aktivitäten, um Verstöße zu beseitigen, den Betrieb von Websites zu beenden und die entsprechenden Genehmigungen für Aktivitäten zu widerrufen. Wer die Kontrolle über die Einhaltung der gesetzlichen Bestimmungen ausübt, kann im Falle eines Verstoßes mit einer Geldstrafe von 10.000 bis 100.000 Yuan belegt werden.
Die Lokalisierungsanforderung gilt auch für Datenbanken mit medizinischen Informationen. Daher sehen die vom staatlichen Ausschuss für Gesundheit und geplante Geburt der VR China verabschiedeten Maßnahmen zur Verwaltung von Informationen zur öffentlichen Gesundheit vor, dass medizinische Einrichtungen, Organisationen der sozialen Sicherheit (soziale Dienste) und Familienplanungseinrichtungen keine Informationen über die öffentliche Gesundheit auf Servern speichern können im Ausland oder auf andere Weise ausländische Server hosten oder mieten.
In Bezug auf die Aktivitäten ausländischer Unternehmen in China stellen wir fest, dass regelmäßig eine Benachrichtigung an ihre Repräsentanzen in China gesendet wird, um die Speicherung personenbezogener Daten in China zu lokalisieren. Im Falle einer Ablehnung werden die Internetdienste dieser Unternehmen aufgrund einer Entscheidung des autorisierten Exekutivorgans vorübergehend gesperrt.Malaysia
Im Jahr 2010 hat das malaysische Gesetz zum Schutz personenbezogener Daten ein Verbot der Übermittlung personenbezogener Daten außerhalb des Landes eingeführt.
Die grenzüberschreitende Übermittlung personenbezogener Daten ist nur unter bestimmten Bedingungen und in einigen Ausnahmefällen möglich. Die Zustimmung des Subjekts personenbezogener Daten muss eingeholt werden, wenn eine Vereinbarung zwischen dem Subjekt und dem Betreiber getroffen werden muss, wenn ein Vertrag zwischen dem Betreiber und einem Dritten geschlossen werden muss, der auf Anfrage oder im Interesse des Subjekts personenbezogener Daten geschlossen wurde.
Nigeria
In Nigeria hat die Nationale Agentur für die Entwicklung der Informationstechnologie 2013 einen Leitfaden für die Entwicklung nigerianischer Inhalte in der Informations- und Kommunikationstechnologie herausgegeben. Gemäß den Bestimmungen des Leitfadens müssen Organisationen, die an der Daten- und Informationsidentifizierung eines Bürgers beteiligt sind, die Lokalisierung solcher Datenbanken im Land sicherstellen.
Anstelle eines Nachwortes
Wie wir anhand von Beispielen der Gesetze anderer Länder sehen, sind wir nicht die einzigen, die sich auf die eine oder andere Weise mit der Lokalisierung befassen. Aber wie immer haben wir unseren eigenen Gesetzgebungscharakter. Im Gegensatz zu den obigen Beispielen sieht unser Gesetz vor, dass das Gesetz seine Wirkung auch auf Organisationen ausdehnt, die keine Repräsentanzen in der Russischen Föderation haben. Erinnern Sie sich hier an den Kommentar des Ministeriums für Kommunikation:
"... Verpflichtungen zur Lokalisierung bestimmter Verfahren zur Verarbeitung personenbezogener Daten gelten für ausländische Betreiber, sofern sie gezielte Tätigkeiten auf dem Gebiet der Russischen Föderation ausüben und es keine ausdrücklich in Artikel 18 Teil 5 des Bundesgesetzes" Über personenbezogene Daten "festgelegten Ausnahmen gibt (z. B. ein internationales Abkommen, z Erreichen der Ziele, deren Verarbeitung durchgeführt wird). "
PS Hier können Sie unser Weißbuch zum Bundesgesetz Nr. 152 herunterladen.Dies ist ein Buch, das veröffentlicht wurde, um Verwirrung bei der Verarbeitung personenbezogener Daten zu vermeiden und den Prozess der Übermittlung von geistigem Eigentum an geistiges Eigentum in Übereinstimmung mit dem russischen Recht klar zu beschreiben. Das Thema entfaltet sich von Grund auf neu. Dies trägt dazu bei, die Bedürfnisse einer Vielzahl von Lesern zu erfüllen.