El 1 de septiembre de 2015, la disposición sobre la localización del almacenamiento y ciertos procesos de procesamiento de datos personales, definida en la Ley Federal N ° 242 del 21 de julio de 2014 "sobre la modificación de ciertas leyes legislativas de la Federación de Rusia con respecto a aclarar el procesamiento de datos personales en redes de información y telecomunicaciones ".
El 1 de septiembre de 2017, Roskomnadzor publicó su informe sobre el trabajo realizado para cumplir con la ley, escribimos más sobre esto en nuestro
artículo .
Bueno, esto es nuestro. ¿Qué tal en otros países? Los expertos de Roskomnadzor realizaron su análisis, en base al cual publicaron en la red su "Revisión analítica de la experiencia internacional en la localización de bases de datos que contienen datos personales de ciudadanos", que desean leer el texto completo del documento, encuéntrelo
aquí .
El documento es bastante extenso y contiene tanto la práctica de países extranjeros como una revisión de la aplicación de la práctica rusa. Repasaremos brevemente las prácticas extranjeras.
Entonces, participando en la revisión del país:
- Australia
- Vietnam
- Indonesia
- India
- Kazajstán
- Canadá
- China
- Malasia
- Nigeria
Australia
En 2012, Australia aprobó una ley que regula la provisión de acceso a registros médicos electrónicos para fines relevantes (Ley de Registros de Salud Electrónica Controlados Personalmente 2012 No. 63), que, entre otras cosas, determinó la obligación de las personas que tienen acceso a la información contenida en documentos electrónicos. registros médicos de ciudadanos para garantizar el almacenamiento de dicha información en Australia.
Entonces, de acuerdo con la Parte 1 del Art. 77 de la Ley, un operador del sistema, un operador de repositorio registrado, un operador de portal registrado o un proveedor de servicios contractuales registrado que almacena registros para los fines del sistema PCEHR, independientemente de si los registros se almacenan para otros fines) o no tiene acceso a la información sobre dichos registros, :
- mantener registros o notas de registro fuera de Australia;
- procesar o procesar información relacionada con registros fuera de Australia;
- Permita que otros mantengan registros o utilicen registros fuera de Australia, para procesar o procesar información relacionada con registros fuera de Australia.
Por la violación de estas prohibiciones, se proporciona una multa de 120 unidades de multa.
Al mismo tiempo, parte 2 del artículo. 77 de la Ley establece que con el propósito de operar o administrar el sistema PCEHR, el Operador del Sistema tiene el derecho de:
- almacenar y aceptar dichos documentos fuera de Australia, siempre que estos registros no incluyan información personal sobre un consumidor o miembro del sistema PCEHR o información que identifique a una persona física o jurídica;
- procesar dicha información fuera de Australia, siempre que la información no sea personal con respecto a un consumidor o miembro del sistema PCEHR y / o información que identifique a una persona física o jurídica.
Las organizaciones que procesan información relacionada con la salud deben establecer centros de datos en Australia o confiar el procesamiento a empresas australianas con dichos centros en Australia. El procesamiento de información sobre el estado de los ciudadanos externos está permitido solo en forma anónima.Vietnam
En septiembre de 2013, entró en vigencia en Vietnam un Decreto sobre la administración, provisión y uso de servicios de Internet y contenido de información en Internet. Por lo tanto, todas las empresas que brindan servicios de Internet deben tener al menos un servidor con bases de datos en Vietnam.
En octubre de 2013, el Ministerio de Información y Comunicaciones distribuyó un borrador de circular que proporcionó datos adicionales sobre la implementación del Decreto, incluido el requisito de que si hay requisitos para un sistema de servidor ubicado en Vietnam, todo el sistema de servidor ubicado fuera de Vietnam debe cumplir con estos requisitos.
Indonesia
En 2012, el gobierno indonesio exigió que las agencias gubernamentales, organizaciones involucradas en la provisión de servicios públicos, garanticen el establecimiento de centros de datos en Indonesia.
La disposición de la cláusula 82 de la Operación del sistema electrónico y las operaciones estipula que para este propósito el operador del sistema electrónico también debe establecer un centro de recuperación de desastres en territorio indonesio.
En 2014, el Ministerio de Comunicaciones amplió el requisito de encontrar centros de datos para la recuperación ante desastres para una gama más amplia de instituciones, cualquier institución y organización que brinde servicios utilizando tecnología de la información.
Además, el operador del sistema electrónico debe garantizar el almacenamiento de datos de transacciones en Indonesia. El requisito de almacenar datos derivados de transacciones electrónicas entre proveedores de sistemas electrónicos y sus clientes en Indonesia se aplica tanto a proveedores de sistemas electrónicos privados como públicos en virtud del GR 82.
India
Según la Política nacional de intercambio de datos y accesibilidad de la India, todos los datos recopilados con recursos públicos deben almacenarse en la India.
En febrero de 2014, el Consejo de Seguridad Nacional de India propuso garantizar la localización de todos los datos personales de ciudadanos indios en India.
Se supuso que todos los proveedores de servicios de correo electrónico podrían recibir instrucciones de alojar sus servidores que recopilan datos indios en India. Además, la iniciativa del Consejo de Seguridad Nacional prohíbe la creación de espejos para dichos servidores si el servidor principal se almacena en el extranjero.
Actualmente, la Ley de Telecomunicaciones de la India establece que toda la información del cliente y la información del usuario (excepto la información de itinerancia) debe almacenarse en la India, está prohibido el acceso remoto a dicha información desde fuera de la India.
Kazajstán
En Kazajstán, la Ley de Datos Personales de la República de Kazajstán se adoptó en 2013, y en 2015, se le hicieron modificaciones. Los cambios en 2015 se asociaron con la introducción del requisito de almacenar (localizar) datos personales en Kazajstán. El requisito de almacenar datos personales en Kazajstán entró en vigor el 1 de enero de 2016.
El requisito de localizar datos personales solo requiere almacenar bases de datos con datos personales en el territorio de la República de Kazajstán.
La ley no exige que los datos personales se almacenen primero en Kazajstán y luego se transfieran a otros países. En consecuencia, la recopilación, el procesamiento, el uso y la modificación de la base de datos pueden llevarse a cabo primero en el extranjero, seguido de guardar la base de datos con datos personales en el territorio de la República de Kazajstán. En este caso, las empresas deben estar preparadas para proporcionar evidencia de que la base de datos con datos personales se almacenó posteriormente en Kazajstán.
En el caso del almacenamiento inicial de datos en el extranjero, es importante garantizar la sincronización de las bases de datos en el extranjero y en Kazajstán. La frecuencia de sincronización no está definida en la Ley de datos personales.
Los datos personales en Kazajstán deben ser almacenados tanto por los propietarios de bases de datos como por los operadores de bases de datos.
Canadá
En Canadá, la legislación federal no requiere la localización de bases de datos personales de ciudadanos en Canadá. Sin embargo, tal requisito existe a nivel de dos provincias: Nueva Escocia y Columbia Británica.
Hasta diciembre de 2017, Columbia Británica tenía una Ley de Libertad de Información y Privacidad. De acuerdo con el art. 30.1 Por ley, la autoridad pública debe garantizar que el almacenamiento de la información personal en poder de dicha autoridad, así como el acceso a ella, se lleve a cabo solo en Canadá. Al mismo tiempo, el interesado podría consentir el almacenamiento o uso de información personal en otra jurisdicción.
En Nueva Escocia, el almacenamiento de bases de datos que contienen datos personales está regulado por las disposiciones de la Ley de Protección de Información Personal. Las leyes de localización en Nueva Escocia son idénticas a las de Columbia Británica (art. 5 (1)).
China
En 2011, el Banco Popular de China emitió un Aviso sobre la necesidad de aumentar los niveles de protección de la información financiera personal.
La información financiera personal en China significa información personal (nombre, género, nacionalidad, foto), información de propiedad personal, información de cuenta personal, información de crédito personal, información de transacción, otra información derivada (información obtenida al analizar información primaria), otra información personal, conocida por el Banco en el curso de la cooperación comercial, relaciones contractuales.
El Aviso prohíbe a los bancos almacenar, procesar o analizar fuera de China cualquier información financiera personal que se haya recopilado en China, o proporcionar información financiera personal recopilada en China a una empresa offshore.
La violación de los requisitos contenidos en la Notificación da derecho al Banco Popular de China a ordenar al Banco pertinente que corrija su incumplimiento y exija que el Banco castigue a los funcionarios responsables.
Además, a partir del 1 de junio de 2017, entró en vigencia la Ley de Ciberseguridad, que estableció nuevas restricciones para los operadores de infraestructura de información clave, operadores de red y proveedores de productos y servicios de red.
Por lo tanto, la Sección 37 de la Ley de Ciberseguridad estipula que los operadores de infraestructura de información crítica deben almacenar información personal recopilada o producida por ellos en China continental en China continental. Sin embargo, cuando debido a los requisitos comerciales es realmente necesario garantizar el almacenamiento de información personal fuera del continente, los operadores de infraestructura de información crítica deben seguir las medidas formuladas conjuntamente por los departamentos de información de la red estatal y los departamentos pertinentes del Consejo de Estado para llevar a cabo una evaluación de seguridad; pero en los casos en que las leyes y las normas administrativas estipulen lo contrario, se deben seguir estas disposiciones.
Si los operadores de la infraestructura de información crítica violan la Sección 37 de la Ley al almacenar datos fuera del continente o proporcionar datos de red a individuos u organizaciones fuera del continente sin una evaluación de seguridad, el departamento competente relevante da advertencias, confisca los beneficios obtenidos ilegalmente e impone multas de hasta 50 000 a 500,000 yuanes
(9.74 rublos por 1 yuan a la tasa del Banco Central al 29 de mayo de 2018) y pueden emitir una decisión sobre la suspensión temporal de las operaciones, etc. y la suspensión de actividades para eliminar violaciones, terminar la operación de sitios web y revocar los permisos correspondientes para actividades. Aquellos que ejercen control sobre el cumplimiento de los requisitos de la ley, las personas responsables, en caso de violación, pueden ser multados de 10,000 a 100,000 yuanes.
Además, el requisito de localización se aplica a las bases de datos que contienen información médica. Por lo tanto, las medidas para administrar la información de salud pública adoptada por el Comité Estatal de Salud y Planificación de la Física de la República Popular China estipulan que las instituciones médicas, las organizaciones de seguridad social (servicios sociales) y las instituciones de planificación familiar no pueden almacenar información sobre la salud pública en servidores en el extranjero o de otro modo alojar o alquilar servidores extranjeros.
Con respecto a las actividades de las empresas extranjeras en China, observamos que periódicamente se envía una notificación a sus oficinas de representación en China con una solicitud para localizar el almacenamiento de datos personales en China. En caso de rechazo, los servicios de Internet de estas compañías se bloquean temporalmente en base a una decisión del órgano ejecutivo autorizado.Malasia
En 2010, la Ley de Protección de Datos Personales de Malasia introdujo una prohibición sobre la transferencia de datos personales fuera del país.
La transferencia transfronteriza de datos personales solo es posible bajo ciertas condiciones y en una serie de casos excepcionales. Debe obtenerse el consentimiento del sujeto de los datos personales, si es necesario cumplir el contrato entre el sujeto y el operador, la necesidad de cumplir el contrato entre el operador y el tercero, que se concluyó a solicitud o en interés del sujeto de los datos personales.
Nigeria
En Nigeria, en 2013, la Agencia Nacional para el Desarrollo de Tecnología de la Información emitió una Guía para el Desarrollo de Contenido Nigeriano en Tecnología de Información y Comunicación. De acuerdo con las disposiciones de la Guía, las organizaciones involucradas en la identificación de datos e información de un ciudadano deben garantizar la localización de dichas bases de datos en el país.
En lugar de un epílogo
Como vemos en los ejemplos de las leyes de otros países, no somos los únicos que estamos comprometidos de una manera u otra. Pero, como siempre, tenemos nuestro propio carácter de legislación. A diferencia de los ejemplos anteriores, nuestra ley establece que la ley extiende su efecto incluso a organizaciones que no tienen oficinas de representación en la Federación de Rusia. Recordemos aquí el comentario del Ministerio de Comunicaciones:
"... las obligaciones sobre la localización de ciertos procesos de procesamiento de datos personales se aplican a operadores extranjeros, siempre que realicen actividades dirigidas en el territorio de la Federación de Rusia y no hay excepciones expresamente especificadas en la parte 5 del artículo 18 de la Ley Federal" sobre datos personales "(por ejemplo, un acuerdo internacional, para lograr los objetivos de los cuales se lleva a cabo el procesamiento) ".
PD Aquí puede descargar nuestro Libro Blanco sobre la Ley Federal No. 152 .Este es un libro que se publicó para ayudar a eliminar la confusión con respecto al procesamiento de datos personales y describir claramente el proceso de llevar la información personal IP de acuerdo con la ley rusa. El tema se desarrolla desde cero. Esto ayuda a satisfacer las necesidades de una amplia gama de lectores.