Em 1º de setembro de 2015, a provisão para localização de armazenamento e certos processos para o processamento de dados pessoais, definida na Lei Federal nº 242, de 21 de julho de 2014, “Alterando Certos Atos Legislativos da Federação Russa com relação ao esclarecimento do processamento de dados pessoais em redes de informação e telecomunicações ".
Em 1 de setembro de 2017, a Roskomnadzor publicou seu relatório sobre o trabalho realizado em conformidade com a lei. Escrevemos mais sobre isso em nosso
artigo .
Bem, isso é nosso. E em outros países? Os especialistas de Roskomnadzor conduziram sua análise, com base na qual publicaram na rede sua “Revisão analítica da experiência internacional na localização de bancos de dados contendo dados pessoais de cidadãos”, quem quiser ler o texto completo do documento o encontrará
aqui .
O documento é bastante extenso e contém tanto a prática de países estrangeiros quanto uma revisão da aplicação da prática russa. Examinaremos brevemente as práticas estrangeiras.
Então, participando da revisão do país:
- Austrália
- Vietnã
- Indonésia
- Índia
- Cazaquistão
- Canadá
- China
- Malásia
- Nigéria
Austrália
Em 2012, a Austrália aprovou uma lei que regula o fornecimento de acesso a registros médicos eletrônicos para fins relevantes (Lei de Registros de Saúde Eletrônicos Controlados Pessoalmente 2012 nº 63), que, entre outros, determinava a obrigação de as pessoas terem acesso às informações contidas em documentos eletrônicos. registros médicos dos cidadãos para garantir o armazenamento de tais informações na Austrália.
Então, de acordo com a Parte 1 do art. 77 da Lei, um operador de sistema, um operador de repositório registrado, um operador de portal registrado ou um provedor de serviços contratados registrado que armazena registros para os fins do sistema PCEHR, independentemente de os registros serem armazenados para outros fins) ou que tenham acesso a informações sobre esses registros, não devem :
- manter registros ou anotações fora da Austrália;
- processar ou processar informações relacionadas a registros fora da Austrália;
- Permita que outras pessoas mantenham registros ou usem registros fora da Austrália, para processar ou processar informações relacionadas a registros fora da Austrália.
Por violar essas proibições, é fornecida uma multa de 120 unidades finas.
Ao mesmo tempo, parte 2 do artigo 77 da Lei estabelece que, para fins de operação ou administração do sistema PCEHR, o Operador do Sistema tem o direito de:
- armazenar e aceitar esses documentos fora da Austrália, desde que esses registros não incluam informações pessoais sobre um consumidor ou membro do sistema PCEHR ou informações que identifiquem uma pessoa física ou jurídica;
- processar essas informações fora da Austrália, desde que não sejam informações pessoais de um consumidor ou membro do sistema PCEHR e / ou informações que identifiquem uma pessoa física ou jurídica.
As organizações que processam informações relacionadas à saúde devem configurar data centers na Austrália ou confiar o processamento a empresas australianas com esses centros na Austrália. O processamento de informações sobre o status de cidadãos externos é permitido apenas de forma anônima.Vietnã
Em setembro de 2013, entrou em vigor no Vietnã um decreto sobre gerenciamento, fornecimento e uso de serviços e conteúdo de informações da Internet na Internet. Portanto, todas as empresas que fornecem serviços de Internet devem ter pelo menos um servidor com bancos de dados no Vietnã.
Em outubro de 2013, o Ministério da Informação e Comunicações circulou um projeto de circular que forneceu dados adicionais sobre a implementação do Decreto, incluindo o requisito de que, se houver requisitos para um sistema de servidores localizado no Vietnã, todo o sistema de servidores localizado fora do Vietnã, deve atender a esses requisitos.
Indonésia
Em 2012, o governo indonésio exigiu que agências governamentais, organizações envolvidas na prestação de serviços públicos, garantissem o estabelecimento de data centers na Indonésia.
O disposto na cláusula 82 da Operação do sistema eletrônico e operações estipula que, para esse fim, o operador do sistema eletrônico também deve estabelecer um centro de recuperação de desastres no território indonésio.
Em 2014, o Ministério das Comunicações ampliou o requisito de encontrar data centers para recuperação de desastres para uma ampla gama de instituições - quaisquer instituições e organizações que prestam serviços usando a tecnologia da informação.
Além disso, o operador do sistema eletrônico deve garantir o armazenamento dos dados da transação na Indonésia. O requisito para armazenar dados decorrentes de transações eletrônicas entre fornecedores de sistemas eletrônicos e seus clientes na Indonésia se aplica a fornecedores de sistemas eletrônicos privados e públicos sob GR 82.
Índia
De acordo com a Política Nacional de Intercâmbio e Acessibilidade de Dados da Índia, todos os dados coletados usando recursos públicos devem ser armazenados na Índia.
Em fevereiro de 2014, o Conselho de Segurança Nacional da Índia propôs garantir a localização de todos os dados pessoais de cidadãos indianos na Índia.
Supunha-se que todos os provedores de serviços de email pudessem ser instruídos a hospedar seus servidores coletando dados indianos na Índia. Além disso, a iniciativa do Conselho de Segurança Nacional proíbe a criação de espelhos para esses servidores se o servidor principal estiver armazenado no exterior.
Atualmente, a Lei de Telecomunicações da Índia estabelece que todas as informações do cliente e do usuário (exceto informações de roaming) devem ser armazenadas na Índia, e o acesso remoto a essas informações de fora da Índia é proibido.
Cazaquistão
No Cazaquistão, a Lei de Dados Pessoais da República do Cazaquistão foi adotada em 2013 e, em 2015, foram feitas alterações. As mudanças em 2015 foram associadas à introdução do requisito de armazenar (localizar) dados pessoais no Cazaquistão. O requisito para armazenar dados pessoais no Cazaquistão entrou em vigor em 1 de janeiro de 2016.
O requisito de localizar dados pessoais requer apenas o armazenamento de bancos de dados com dados pessoais no território da República do Cazaquistão.
Não há exigência legal de armazenar dados pessoais primeiro no Cazaquistão e depois transferi-los para outros países. Consequentemente, a coleta, o processamento, o uso e a modificação do banco de dados podem ser realizados primeiro no exterior, seguido pelo salvamento do banco de dados com dados pessoais no território da República do Cazaquistão. Nesse caso, as empresas devem estar preparadas para fornecer evidências de que o banco de dados com dados pessoais foi posteriormente armazenado no Cazaquistão.
No caso de armazenamento inicial de dados no exterior, é importante garantir a sincronização dos bancos de dados no exterior e no Cazaquistão. A frequência da sincronização não está definida na Lei de Dados Pessoais.
Os dados pessoais no Cazaquistão devem ser armazenados por proprietários e operadores de banco de dados.
Canadá
No Canadá, a legislação federal não exige a localização de bancos de dados pessoais de cidadãos no Canadá. No entanto, esse requisito existe no nível de duas províncias - Nova Escócia e Colúmbia Britânica.
Até dezembro de 2017, a British Columbia tinha uma Lei de Liberdade de Informação e Privacidade. De acordo com o art. 30.1 Por lei, a autoridade pública deve garantir que o armazenamento de informações pessoais mantidas por tal autoridade, bem como o acesso a elas, seja realizado apenas no Canadá. Ao mesmo tempo, o titular dos dados pode consentir no armazenamento ou uso de informações pessoais em outra jurisdição.
Na Nova Escócia, o armazenamento de bancos de dados contendo dados pessoais é regulado pelas disposições da Lei de Proteção de Informações Pessoais. As leis de localização na Nova Escócia são idênticas às da Colúmbia Britânica (art. 5 (1)).
China
Em 2011, o Banco Popular da China emitiu um aviso sobre a necessidade de aumentar os níveis de proteção das informações financeiras pessoais.
Informações financeiras pessoais na China significam informações pessoais (nome, sexo, nacionalidade, foto), informações de propriedade pessoal, informações de contas pessoais, informações de crédito pessoal, informações de transações e outras informações derivativas (informações obtidas pela análise de informações primárias), outras informações pessoais, conhecidas pelo Banco no decorrer da cooperação comercial, relações contratuais.
O Aviso proíbe os bancos de armazenar, processar ou analisar fora da China qualquer informação financeira pessoal que tenha sido coletada na China ou fornecer informações financeiras pessoais coletadas na China a uma empresa offshore.
A violação dos requisitos contidos na Notificação autoriza o Banco Popular da China a ordenar que o Banco relevante corrija sua não conformidade e exija que o Banco castigue os funcionários responsáveis.
Além disso, a partir de 1º de junho de 2017, entrou em vigor a Lei de Cibersegurança, que estabeleceu novas restrições para operadores de infraestrutura de informações importantes, operadores de rede e fornecedores de produtos e serviços de rede.
Assim, a Seção 37 da Lei de Segurança Cibernética estipula que os operadores de infraestrutura de informações críticas devem armazenar informações pessoais coletadas ou produzidas por eles na China continental e na China continental. No entanto, quando devido a requisitos de negócios é realmente necessário garantir o armazenamento de informações pessoais fora do continente, os operadores de infraestrutura de informações críticas devem seguir as medidas formuladas em conjunto pelos departamentos de informações da rede estadual e os departamentos relevantes do Conselho de Estado para realizar uma avaliação de segurança; mas nos casos em que leis e regras administrativas prevejam o contrário, essas disposições devem ser seguidas.
Se os operadores de infra-estrutura crítica de informações violarem a Seção 37 da Lei armazenando dados fora do continente ou fornecer dados de rede a indivíduos ou organizações fora do continente sem uma avaliação de segurança, o departamento competente relevante emite avisos, confisca benefícios obtidos ilegalmente, impõe multas de até 50 000 a 500.000 yuanes
(9,74 rublos por 1 yuan à taxa do Banco Central em 29 de maio de 2018) e pode emitir uma decisão sobre a suspensão temporária de operações, etc. e a suspensão de atividades para eliminar violações, encerrar a operação de sites e revogar as licenças correspondentes para atividades. Aqueles que exercem controle sobre o cumprimento dos requisitos da lei, as pessoas responsáveis, em caso de violação, podem ser multadas em 10.000 a 100.000 yuan.
Além disso, o requisito de localização se aplica aos bancos de dados que contêm informações médicas. Assim, as medidas para gerenciar as informações de saúde pública adotadas pelo Comitê Estadual de Saúde e Maternidade Planejada da RPC estipulam que instituições médicas, organizações de seguridade social (serviços sociais) e instituições de planejamento familiar não podem armazenar informações sobre saúde pública em servidores no exterior ou hospede ou alugue servidores estrangeiros.
Em relação às atividades de empresas estrangeiras na China, observamos que periodicamente é enviada uma notificação aos seus escritórios de representação na China com uma solicitação para localizar o armazenamento de dados pessoais na China. Em caso de recusa, os serviços de Internet dessas empresas são temporariamente bloqueados com base em uma decisão do órgão executivo autorizado.Malásia
Em 2010, a Lei de Proteção de Dados Pessoais da Malásia proibiu a transferência de dados pessoais para fora do país.
A transferência transfronteiriça de dados pessoais é possível apenas sob certas condições e em vários casos excepcionais. O consentimento do sujeito de dados pessoais deve ser obtido, se houver a necessidade de cumprir o contrato entre o sujeito e o operador, a necessidade de cumprir o contrato entre o operador e o terceiro, que foi concluído a pedido ou no interesse do sujeito de dados pessoais.
Nigéria
Na Nigéria, em 2013, a Agência Nacional para o Desenvolvimento da Tecnologia da Informação emitiu um Guia para o Desenvolvimento de Conteúdo da Nigéria em Tecnologia da Informação e Comunicação. De acordo com as disposições do Guia, as organizações envolvidas na identificação de dados e informações de um cidadão devem garantir a localização desses bancos de dados no país.
Em vez de um posfácio
Como podemos ver nos exemplos de leis de outros países, não somos os únicos envolvidos de uma maneira ou de outra localização. Mas, como sempre, temos nosso próprio caráter legislativo. Em contraste com os exemplos acima, nossa lei prevê que a lei estenda seu efeito mesmo para organizações que não possuem escritórios de representação na Federação Russa. Lembre-se aqui do comentário do Ministério das Comunicações:
"... as obrigações na localização de determinados processos de processamento de dados pessoais se aplicam a operadores estrangeiros, desde que eles realizem atividades direcionadas no território da Federação Russa e não haja exceções expressamente especificadas na parte 5 do artigo 18 da Lei Federal" Sobre dados pessoais "(por exemplo, um acordo internacional, para alcançar os objetivos de que o processamento é realizado). "
PS Aqui você pode baixar nosso Livro Branco sobre a Lei Federal nº 152 .Este é um livro publicado para ajudar a eliminar confusões com relação ao processamento de dados pessoais e descrever claramente o processo de obtenção de informações pessoais IP de acordo com a lei russa. O tópico se desdobra do zero. Isso ajuda a atender às necessidades de uma ampla gama de leitores.