Pada tanggal 1 September 2015, ketentuan mengenai pelokalan penyimpanan dan proses tertentu untuk memproses data pribadi, didefinisikan dalam Undang-Undang Federal No. 242 tanggal 21 Juli 2014 βMengenai Perubahan Undang-Undang Legislatif Tertentu dari Federasi Rusia sehubungan dengan klarifikasi pemrosesan data pribadi di jaringan informasi dan telekomunikasi. "
Pada 1 September 2017, Roskomnadzor menerbitkan laporannya tentang pekerjaan yang dilakukan untuk mematuhi hukum, kami menulis lebih banyak tentang ini di
artikel kami.
Nah, ini milik kita. Bagaimana dengan di negara lain? Para ahli Roskomnadzor melakukan analisis mereka, atas dasar yang mereka posting di jaringan mereka "Tinjauan analitis pengalaman internasional dalam melokalisasi database yang berisi data pribadi warga negara", siapa pun yang ingin membaca teks lengkap dokumen akan menemukannya di
sini .
Dokumen ini cukup luas dan berisi praktik negara-negara asing dan ulasan tentang penerapan praktik Rusia. Kami sebentar akan membahas praktik asing.
Jadi, berpartisipasi dalam peninjauan negara:
- Australia
- Vietnam
- Indonesia
- India
- Kazakhstan
- Kanada
- Cina
- Malaysia
- Nigeria
Australia
Pada 2012, Australia mengeluarkan undang-undang yang mengatur penyediaan akses ke rekam medis elektronik untuk tujuan yang relevan (Undang-Undang Catatan Kesehatan Elektronik Terkendali Secara Pribadi 2012 No. 63), yang, antara lain, menentukan kewajiban orang yang memiliki akses ke informasi yang terkandung dalam elektronik catatan medis warga untuk memastikan penyimpanan informasi tersebut di Australia.
Jadi, menurut Bagian 1 Seni. 77 Undang-Undang, operator sistem, operator repositori terdaftar, operator portal terdaftar atau penyedia layanan kontrak terdaftar yang menyimpan catatan untuk keperluan sistem PCEHR, terlepas dari apakah catatan disimpan untuk tujuan lain) atau memiliki akses ke informasi mengenai catatan tersebut, tidak boleh :
- menyimpan catatan atau catatan di luar Australia;
- memproses atau memproses informasi yang berkaitan dengan catatan di luar Australia;
- Izinkan orang lain menyimpan catatan atau menggunakan catatan di luar Australia, untuk memproses atau memproses informasi terkait catatan di luar Australia.
Untuk pelanggaran larangan ini, denda 120 unit diberikan.
Pada saat yang sama, bagian 2 artikel 77 Undang-undang mengatur bahwa untuk tujuan mengoperasikan atau mengelola sistem PCEHR, Operator Sistem memiliki hak:
- untuk menyimpan dan menerima dokumen semacam itu di luar Australia, asalkan catatan-catatan ini tidak termasuk informasi pribadi mengenai seorang konsumen atau anggota sistem PCEHR atau informasi yang mengidentifikasi seorang individu atau badan hukum;
- memproses informasi tersebut di luar Australia, asalkan informasi tersebut bukan informasi pribadi mengenai konsumen atau anggota sistem PCEHR dan / atau informasi yang mengidentifikasi individu atau badan hukum.
Organisasi yang memproses informasi terkait kesehatan harus mendirikan pusat data di Australia atau mempercayakan pemrosesan kepada perusahaan Australia dengan pusat semacam itu di Australia. Memproses informasi tentang status warga di luar hanya diperbolehkan dalam bentuk anonim.Vietnam
Pada bulan September 2013, Keputusan tentang manajemen, penyediaan dan penggunaan layanan Internet dan konten informasi di Internet mulai berlaku di Vietnam. Jadi, semua perusahaan yang menyediakan layanan Internet harus memiliki setidaknya satu server dengan basis data di Vietnam.
Pada bulan Oktober 2013, Kementerian Informasi dan Komunikasi mengedarkan konsep sirkuler yang menyediakan data tambahan tentang implementasi Keputusan tersebut, termasuk persyaratan bahwa jika ada persyaratan untuk sistem server yang berlokasi di Vietnam, seluruh sistem server yang berlokasi di luar Vietnam, harus memenuhi persyaratan ini.
Indonesia
Pada 2012, pemerintah Indonesia menuntut agar lembaga pemerintah, organisasi yang terlibat dalam penyediaan layanan publik, memastikan pendirian pusat data di Indonesia.
Ketentuan pasal 82 dari Operasi sistem elektronik dan operasi menetapkan bahwa untuk tujuan ini operator sistem elektronik juga harus mendirikan pusat pemulihan bencana di wilayah Indonesia.
Pada tahun 2014, Kementerian Perhubungan memperluas persyaratan untuk menemukan pusat data untuk pemulihan bencana untuk berbagai lembaga - lembaga dan organisasi yang menyediakan layanan menggunakan teknologi informasi.
Selain itu, operator sistem elektronik harus memastikan penyimpanan data transaksi di Indonesia. Persyaratan untuk menyimpan data yang timbul dari transaksi elektronik antara pemasok sistem elektronik dan pelanggan mereka di Indonesia berlaku untuk pemasok sistem elektronik publik dan swasta di bawah GR 82.
India
Menurut Pertukaran Data Nasional dan Kebijakan Aksesibilitas India, semua data yang dikumpulkan menggunakan sumber daya publik harus disimpan di India.
Pada bulan Februari 2014, Dewan Keamanan Nasional India mengusulkan untuk memastikan lokalisasi semua data pribadi warga negara India di India.
Diasumsikan bahwa semua penyedia layanan email dapat diinstruksikan untuk meng-host server mereka yang mengumpulkan data India di India. Juga, inisiatif Dewan Keamanan Nasional melarang pembuatan mirror untuk server seperti itu jika server utama disimpan di luar negeri.
Saat ini, Undang-Undang Telekomunikasi India menetapkan bahwa semua informasi pelanggan dan informasi pengguna (kecuali informasi roaming) harus disimpan di India, dan akses jarak jauh ke informasi semacam itu dari luar India dilarang.
Kazakhstan
Di Kazakhstan, Undang-Undang tentang Data Pribadi Republik Kazakhstan diadopsi pada 2013, dan pada 2015, amandemen dibuat untuk itu. Perubahan pada tahun 2015 dikaitkan dengan pengenalan persyaratan untuk menyimpan (melokalisasikan) data pribadi di Kazakhstan. Persyaratan untuk menyimpan data pribadi di Kazakhstan mulai berlaku pada 1 Januari 2016.
Persyaratan untuk melokalkan data pribadi hanya membutuhkan penyimpanan basis data dengan data pribadi di wilayah Republik Kazakhstan.
Tidak ada persyaratan dalam hukum untuk menyimpan data pribadi terlebih dahulu di Kazakhstan, dan kemudian mentransfernya ke negara lain. Dengan demikian, pengumpulan, pemrosesan, penggunaan, dan modifikasi database dapat dilakukan terlebih dahulu di luar negeri, diikuti dengan menyimpan database dengan data pribadi di wilayah Republik Kazakhstan. Dalam hal ini, perusahaan harus siap untuk memberikan bukti bahwa database dengan data pribadi selanjutnya disimpan di Kazakhstan.
Dalam hal penyimpanan data awal di luar negeri, penting untuk memastikan sinkronisasi database di luar negeri dan di Kazakhstan. Frekuensi sinkronisasi tidak ditentukan dalam Undang-Undang Data Pribadi.
Data pribadi di Kazakhstan harus disimpan oleh pemilik basis data dan operator basis data.
Kanada
Di Kanada, undang-undang federal tidak mengharuskan lokalisasi basis data pribadi warga di Kanada. Namun, persyaratan semacam itu ada di tingkat dua provinsi - Nova Scotia dan British Columbia.
Hingga Desember 2017, British Columbia memiliki Undang-Undang Kebebasan Informasi dan Privasi. Menurut Art. 30.1. Secara hukum, otoritas publik harus memastikan bahwa penyimpanan informasi pribadi yang dipegang oleh otoritas tersebut, serta aksesnya, hanya dilakukan di Kanada. Pada saat yang sama, subjek data dapat menyetujui penyimpanan atau penggunaan informasi pribadi di yurisdiksi lain.
Di Nova Scotia, penyimpanan database yang berisi data pribadi diatur oleh ketentuan Undang-Undang Perlindungan Informasi Pribadi. Hukum pelokalan di Nova Scotia identik dengan yang ada di British Columbia (pasal 5 (1)).
Cina
Pada 2011, People's Bank of China mengeluarkan Pemberitahuan tentang perlunya meningkatkan tingkat perlindungan informasi keuangan pribadi.
Informasi keuangan pribadi di Cina berarti informasi pribadi (nama, jenis kelamin, kebangsaan, foto), informasi properti pribadi, informasi akun pribadi, informasi kredit pribadi, informasi transaksi, informasi turunan lainnya (informasi diperoleh dengan menganalisis informasi primer), informasi pribadi lainnya, yang diketahui oleh Bank dalam rangka kerjasama bisnis, hubungan kontraktual.
Pemberitahuan tersebut melarang bank menyimpan, memproses, atau menganalisis di luar China informasi keuangan pribadi apa pun yang telah dikumpulkan di Cina, atau memberikan informasi keuangan pribadi yang dikumpulkan di Cina kepada perusahaan luar negeri.
Pelanggaran terhadap persyaratan yang terkandung dalam Pemberitahuan memberi hak kepada People's Bank of China untuk memerintahkan Bank terkait untuk memperbaiki ketidakpatuhannya dan meminta Bank untuk menghukum pejabat yang bertanggung jawab.
Selain itu, mulai 1 Juni 2017, Undang-Undang Keamanan Dunia Maya mulai berlaku, yang menetapkan pembatasan baru bagi operator infrastruktur informasi utama, operator jaringan dan pemasok produk dan layanan jaringan.
Dengan demikian, Bagian 37 Undang-undang Keamanan Dunia Maya menetapkan bahwa operator infrastruktur informasi kritis harus menyimpan informasi pribadi yang dikumpulkan atau diproduksi oleh mereka di daratan Tiongkok di daratan Tiongkok. Namun, ketika karena persyaratan bisnis sangat penting untuk memastikan penyimpanan informasi pribadi di luar daratan, operator infrastruktur informasi kritis harus mengikuti langkah-langkah yang dirumuskan bersama oleh departemen informasi jaringan negara dan departemen terkait Dewan Negara untuk melakukan penilaian keamanan; tetapi dalam kasus-kasus di mana hukum dan peraturan administrasi memberikan sebaliknya, ketentuan ini harus dipatuhi.
Jika operator infrastruktur informasi kritis melanggar Bagian 37 UU dengan menyimpan data di luar daratan atau memberikan data jaringan kepada individu atau organisasi di luar daratan tanpa penilaian keselamatan, departemen kompeten yang relevan memberikan peringatan, menyita manfaat yang diperoleh secara ilegal, dan mengenakan denda hingga 50 000 hingga 500.000 yuan
(9,74 rubel per 1 yuan pada kurs Bank Sentral pada 29 Mei 2018) dan dapat mengeluarkan keputusan tentang penangguhan sementara operasi, dll. dan penangguhan kegiatan untuk menghilangkan pelanggaran, menghentikan pengoperasian situs web, dan mencabut izin kegiatan yang sesuai. Mereka yang melakukan kontrol atas kepatuhan terhadap persyaratan hukum, orang yang bertanggung jawab, dalam kasus pelanggaran, dapat didenda dari 10.000 hingga 100.000 yuan.
Juga, persyaratan pelokalan berlaku untuk database yang berisi informasi medis. Dengan demikian, langkah-langkah untuk mengelola informasi kesehatan masyarakat yang diadopsi oleh Komite Negara untuk Kesehatan dan Anak Berencana dari RRC menetapkan bahwa lembaga medis, organisasi jaminan sosial (layanan sosial), dan lembaga keluarga berencana tidak dapat menyimpan informasi tentang kesehatan masyarakat di server di luar negeri atau menjadi tuan rumah atau menyewa server asing.
Mengenai kegiatan perusahaan asing di Cina, kami mencatat bahwa pemberitahuan secara berkala dikirim ke kantor perwakilan mereka di China dengan permintaan untuk melokalkan penyimpanan data pribadi di Tiongkok. Dalam hal penolakan, layanan Internet dari perusahaan-perusahaan ini sementara diblokir berdasarkan keputusan badan eksekutif yang berwenang.Malaysia
Pada 2010, Undang-Undang Perlindungan Data Pribadi Malaysia memberlakukan larangan transfer data pribadi di luar negeri.
Transfer data pribadi lintas batas hanya dimungkinkan dengan persyaratan tertentu dan dalam sejumlah kasus luar biasa. Persetujuan subjek data pribadi harus diperoleh, jika ada kebutuhan untuk memenuhi kontrak antara subjek dan operator, kebutuhan untuk memenuhi kontrak antara operator dan pihak ketiga, yang disimpulkan atas permintaan atau untuk kepentingan subjek data pribadi.
Nigeria
Di Nigeria, pada tahun 2013, Badan Nasional untuk Pengembangan Teknologi Informasi mengeluarkan Panduan untuk Pengembangan Konten Nigeria dalam Teknologi Informasi dan Komunikasi. Menurut ketentuan Panduan ini, organisasi yang terlibat dalam identifikasi data dan informasi warga negara harus memastikan lokalisasi basis data tersebut di negara tersebut.
Alih-alih kata penutup
Seperti yang kita lihat dari contoh-contoh hukum negara lain, kita bukan satu-satunya yang terlibat dalam satu atau lain cara pelokalan. Tapi, seperti biasa, kita punya karakter kita sendiri tentang undang-undang. Berbeda dengan contoh-contoh di atas, undang-undang kami menyatakan bahwa undang-undang tersebut memperluas dampaknya bahkan kepada organisasi yang tidak memiliki kantor perwakilan di Federasi Rusia. Ingat di sini komentar dari Kementerian Komunikasi:
"... kewajiban pelokalan proses pemrosesan data pribadi tertentu berlaku untuk operator asing, asalkan mereka melakukan aktivitas terarah di wilayah Federasi Rusia dan tidak ada pengecualian yang secara tegas ditentukan dalam bagian 5 pasal 18 UU Federal" Tentang data pribadi "(misalnya, perjanjian internasional, untuk mencapai tujuan pemrosesan yang dilakukan). "
NB Di sini Anda dapat mengunduh Buku Putih kami tentang Undang-Undang Federal No. 152 .Ini adalah buku yang diterbitkan untuk membantu menghilangkan kebingungan mengenai pemrosesan data pribadi dan dengan jelas menggambarkan proses membawa IP informasi pribadi sesuai dengan hukum Rusia. Topik dibuka dari awal. Ini membantu memenuhi kebutuhan berbagai pembaca.