Локализация баз данных что это

Локализация персональных данных

Интернет предпринимателей особенно взбудоражила история с локализацией. И до сих пор не совсем понятно, как и к кому этот 242 ФЗ применяется. Поэтому мы с коллегами из Б152 решили на примерах все разобрать и предложить варианты хранения данных, подходящие совершенно разным компаниям.
Напомним, что он вступил в силу 1 сентября 2015 года, хотя принят был еще летом 2014-го. О нем много разговоров, но судебной практики пока нет. Поэтому мы обратимся к опыту иностранных коллег.

Суть закона заключается в том, что отныне юридическим лицам, которые работают с персональными данными граждан РФ, запрещено собирать и хранить эти данные за рубежом – они обязаны локализовать базы данных на территории России. Закон этот вносит важные изменения в ФЗ № 152 «О персональных данных», вступивший в силу еще в 2007 году.

По части жестких требований к локализации ПДн мы далеко не одиноки. На территории других стран подобные законы действуют уже не один год.

Вьетнам
В 2013 году во Вьетнаме владельцев нескольких конкретных видов ресурсов (новостных, социальных сетей и онлайн-игр) обязали локализовать копии данных. Для чего это было сделано, нетрудно догадаться. Конечно же, для предоставления их компетентным органам и облегчения рассмотрения претензий пользователей. Запрета на параллельную обработку персональных данных за рубежом власти Вьетнама не ввели.

Китай
Китайцы подошли более сурово к вопросу трансграничной передачи данных, правда, в отношении только одного вида персональной информации. На два года опередив вьетнамцев, Китайский народный банк опубликовал Уведомление банковским институтам о защите персональной финансовой информации. Этот документ запретил кредитным организациям хранить, обрабатывать или анализировать за границей личную финансовую информацию, полученную внутри страны.

Индия
В том же 2011 году Министерство коммуникаций и информационных технологий Индии утвердило Правила по процедурам и практикам. Такое размытое название документа подразумевает под собой вполне конкретные цели, а именно – обеспечение безопасности специальных категорий персональных данных. В Правилах определены эти самые специальные категории, в список включили пароли, финансовую информацию (включая данные о банковском счете или кредитной карте), сведения о здоровье, сексуальной ориентации и биометрические данные.

Для этих категорий ПДн установили требование, согласно которому передача их любой другой компании или физическому лицу, находящемуся в Индии или в другом государстве, возможна только при условии обеспечения последними должного уровня защиты. И возможно все это только в рамках выполнения договора, заключенного с субъектом данных, или в случае получения от него согласия на передачу.

Малайзия
Финальной на сегодня глубиной нашего погружения в историю будет 2010 год, когда закон о защите персональных данных Малайзии ввел запрет на передачу ПДн за пределы страны. Осуществлять трансграничную передачу персональных данных можно лишь при соблюдении определенных условий и в ряде исключительных случаев. Например: согласие субъекта ПДн, необходимость исполнения договора между субъектом и оператором, необходимость исполнения контракта между оператором и третьим лицом, который был заключен по запросу или в интересах субъекта ПДн.

Однако подобные нововведения касаются не только азиатских стран. Запрет на передачу персональных данных за рубеж был введен в Австралии, правда, только в отношении данных о здоровье.

Вот только на фоне ФЗ-242 все вышеупомянутые законы и указания – детские сказки. Наш закон более суров и специфичен.
Больше всего споров возникает вокруг того, что этот закон запрещает хранение ПДн российских граждан за рубежом, но параллельное хранение, на первый взгляд, невозможно отследить. К тому же закон не содержит правовых инструментов, решающих эту проблему.

Минкомсвязи внес ясность в вопрос трансграничной передачи. Согласно их разъяснениям, ПДн граждан, изначально внесенные в базы данных на территории России, могут быть переданы за рубеж в соответствии с положением о трансграничной передаче данных. Также ведомство подтвердило возможность предоставления удаленного доступа к российским БД с территории других государств.

Перейдем к практике.

Судебных решений пока нет, слишком мало времени прошло. Пока мы можем лишь сказать, что изменения коснулись всех компаний, которые работают на территории РФ. Как им быть и что делать? Как строить теперь свою работу?

В первую очередь не надо паниковать. А что делать дальше – советуют наши коллеги из Б-152.

Итак, что делать если:

1. Вы иностранная компания, которая работает на территории РФ, в том числе через отдельное юридическое лицо или филиал.

Вариант 1. Передать данные за рубеж в обезличенном виде.

Это значит, что персональные данные будут находиться на серверах в России, но каждому физическому лицу будет присвоен ID, который и передается за рубеж. Таким образом персональные данные отделяются от субъекта, и их невозможно будет соотнести с конкретным человеком. Такой подход предлагает Microsoft для работы со своими сервисами и Microsoft Azure.

Вариант 2. Трансграничная передача данных с хранением первичной актуальной базы на территории России.

Как мы уже сказали, закон не запрещает обрабатывать данные за границей, но только в том случае, если база данных в РФ является наиболее полной и актуальной. То есть если сбор и хранение первоначально происходит в БД на территории России, то персональные данные можно передавать за рубеж и использовать там. На данный момент это один из самых востребованных способов локализации персональных данных.
И самый простой вариант его реализации – использование буферного сервера в России. В этом случае данные сначала попадают на этот сервер, и только потом – за рубеж. Позиция регуляторов позволяет это сделать, ведь соблюдено главное требование – первичная база данных находится в России.
Напомним, что базой данных, с точки зрения Минкомсвязи и Роскомнадзора, считаются в том числе бумажные базы. Например, это может быть шкаф с личными делами сотрудников в виде картотеки или таблица в excel.

2. Вы российская компания

Самый очевидный способ – перенести базы персональных данных, их обработку, сбор и хранение на территорию РФ, используя российские дата-центры.
Однако варианты с трансграничной передачей и обезличиванием вам тоже подойдут.

За нарушение норм локализации отдельной ответственности не предусмотрено. А значит, действует ст. 13.11 КоАП РФ, устанавливающая санкции за нарушение установленного порядка сбора, хранения, использования или распространения персональных данных. Штраф за это совсем небольшой, для юридических лиц он составляет не более 10 тыс. руб.

Но это не единственная мера воздействия. Альтернативой является возможность внесения доменных имен и сетевых адресов в реестр нарушителей прав субъектов персональных данных. Что, пожалуй, более существенно, нежели штраф.

• Провести инвентаризацию всех своих информационных систем / баз данных.
• Определить место нахождения каждой из имеющихся у вас информационных систем / баз данных.
• Использовать вышеперечисленные методы по локализации баз с персональными данными граждан РФ.

Особенности применения закона о локализации персональных данных на практике: рекомендации для бизнеса

Вот уже более девяти месяцев действует так называемый закон о локализации персональных данных (Федеральный закон от 21 июля 2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»; далее – Закон № 242-ФЗ). Он обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных россиян с использованием баз данных, находящихся на территории России. Первоначально требования закона были недостаточно точно конкретизированы, в результате чего у представителей бизнеса возникло множество вопросов. Однако большую их часть удалось разрешить еще до вступления Закона № 242-ФЗ в силу. Оставалось ждать, как принятый закон будет реализовываться на практике. И теперь, чуть меньше года спустя, можно выделить ряд наиболее распространенных проблем, с которыми столкнулся бизнес в процессе его применения.

Идентификация баз данных

До 1 сентября 2015 года компании уведомляли Роскомнадзор о категории персональных данных, перечне действий с ними, целях их обработки, обеспечении безопасности и др. С указанной даты у них появилась еще одна обязанность – сообщать о месте нахождения базы данных информации, содержащей персональные данные россиян (п. 10.1 ч. 3 ст. 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – закон о персональных данных). Все эти сведения должны быть отражены в уведомлении, подаваемом в Роскомнадзор.

Таким образом, теперь любой оператор персональных данных должен знать, какие именно информационные системы, содержащие базы данных, он использует и где они расположены.

Наталья Иващенко, к.ю.н., руководитель межотраслевой группы юридической компании «Пепеляев Групп» :

«До вступления в силу законодательного требования о локализации персональных данных Роскомнадзор на практике ограничивался документальной проверкой соблюдения требований Закона № 242-ФЗ. Поскольку требований к месту расположения персональных данных не предъявлялось, то компании сообщали о тех персональных данных, которые содержались во внутренних информационных системах, которые для них были очевидны (например, база данных сотрудников компании). После ужесточения регулирования компании начали задумываться о том, какие в принципе базы данных они используют, и в каком месте они расположены. Законодательные изменения послужили драйвером для инвентаризации используемых баз данных».

Чтобы идентифицировать базу данных для ее переноса на российские серверы, следует провести аудит ее содержимого. Если обнаружено наличие персональных данных россиян: ФИО, дата рождения, паспортные данные и т. д., эту информацию необходимо локализовать. При этом, как отмечает руководитель группы разработки IT-компании «AT Consulting» Михаил Алексеев, перенести базу данных можно как полностью, так и частично (когда речь идет о переносе не всей информации, а только находящихся в этой базе персональных данных). «Первый вариант наиболее прост и удобен в реализации, а также более экономически оправдан. Со вторым могут возникнуть технические проблемы, поскольку приложениям в этом случае придется работать сразу с двумя базами данных, – добавляет он. – В документах локализуемая база данных должна быть однозначно определена своим IP, портом и именем».

Требуется ли согласие клиента на обработку его персональных данных, если on-line форма обращения на сайте содержит поля для указания его персональных данных (фамилия, имя и отчество, номер телефона, адрес электронной почты)? Ответ на этот и другие практические вопросы в «Базе знаний службы Правового консалтинга» интернет-версии системы ГАРАНТ.
Получите бесплатный доступ на 3 дня!
Получить доступ

Если оператор не уведомит Роскомнадзор о тех базах данных, которые он использует при обработке персональных данных россиян, это может стать основанием для проверки со стороны регулятора. При этом, уточняет Наталья Иващенко, Роскомнадзор может не ограничиться лишь документальной проверкой, а провести опрос сотрудников, а на его основе осуществить проверку с использованием технических средств и выявить «незаявленные» базы данных. Это может повлечь за собой административную ответственность юридического лица в виде штрафа в размере до 10 тыс. руб. (ст. 13.11 КоАП РФ). При этом компания не освобождается от обязанности устранить выявленное нарушение.

Для соблюдения требований закона Наталья Иващенко рекомендует предпринять следующие шаги:

• Провести инвентаризацию всех информационных систем/баз данных и составить их список.
• Определить место нахождения каждой информационной системы/базы данных. При этом стоит отметить, что далеко не все базы данных должны быть расположены в России. Обязательное требование о локализации персональных данных означает, что в России должен осуществляться именно первичный сбор таких данных. Обработка и хранение данных могут производится за рубежом.
• Описать информационную систему/базу данных, содержащую сведения о конкретных видах персональных данных, которыми она оперирует. Каких-либо требований к подобному описанию законодательством и подзаконными нормативными актами не предусмотрено. На практике достаточно определить название информационной системы/базы данных, место ее расположения и сведения о видах (категориях) персональных данных.

Использование персональных данных материнской компанией за рубежом

Многие иностранные холдинги сталкиваются с проблемой локализации, когда встает вопрос об использовании персональных данных россиян головной организацией, находящейся за пределами России. В данном случае важно понимать, какие именно действия осуществляются с персональными данными за рубежом. Как уточняет руководитель группы правовой защиты информации компании «Пепеляев Групп» Дмитрий Зыков, лишь «первоначальный» сбор персональных российских граждан за границей является нарушением закона (ч. 5 ст. 18 закона о персональных данных). Таким образом, соответствующая информация при этом обязательно должна быть локализована.

А вот персональные данные россиян, собранные представительством или филиалом этой организации в России, а потом переданные зарубежной материнской компании, вполне могут использоваться для дальнейшей обработки, хранения и т. д.

Передача персональных данных аутсорсинговой компании

В последнее время услуги аутсорсинга становятся все более востребованными. Однако передавая провайдеру определенные функции, ему нередко дают и доступ к персональным данным. Переходит ли при этом к аутсорсеру обязанность по их локализации? Ведь, по общему правилу, ответственным лицом за соблюдение требований о защите персональных данных он не является. В этом случае также важно определить, каким образом будет использоваться полученная информация.

Так, если компания-оператор персональных данных предоставляет аутсорсинговой организации только доступ к своим базам данных для выполнения определенных функций по договору (например, для осуществления рекламных рассылок), то в этом случае, подчеркивает Дмитрий Зыков, ответственность по защите персональных данных остается на самом заказчике. При этом он должен получить согласие субъекта персональных данных на использование сведений о нем третьими лицами по поручению.

Если же компания передает свою базу данных организации-аутсорсеру (например, в целях оказания бухгалтерских услуг, ведения кадрового делопроизводства и др.), в договоре необходимо отдельно прописать, что провайдер аутсорсинговых услуг принимает на себя обязательство по применению мер защиты полученных персональных данных и обеспечению конфиденциальности информации. В таком случае аутсорсинговая организация становится оператором персональных данных, который обязан, в том числе, соблюдать требования закона о локализации соответствующих данных.

Законы о локализации данных: обзор по странам

Глобальная ситуация с законами и постановлениями о защите данных

Рост цифровой трансформации организаций, обусловленный быстрым внедрением таких технологий, как облачные вычисления и аналитика данных, резко повысил важность внимание к этой области. Эта тенденция влияет как на традиционные отрасли экономики, так и на SaaS и электронную коммерцию.

Данные по праву считаются источником жизненной силы современной глобальной экономики, в то время как передача защищенных данных между странами становится все более сложной. Все больше и больше стран создают барьеры, которые делают этот процесс трудоемким и дорогостоящим из-за недавно принятых правил хранения данных.

Что такое локализация данных и как она меняет глобальный ландшафт в сфере данных

По мере того, как информационная эпоха прогрессирует, важность географического положения для конфиденциальности данных становится все более важной. В то время как международные правила конфиденциальности, такие как GDPR, или основные законы, такие как CCPA, становятся главными, существует бесчисленное множество мелких региональных законов, которые часто получают меньше внимания. Эти законы часто являются краеугольным камнем в планах глобального расширения многонациональных компаний.

Что такое резидентность данных? Это локализация регулируемых данных, таких как личная информация, в определенном регионе или стране. Это может быть как хранение данных, так и их обработка, где эти данные обрабатываются в соответствии с законодательством этого конкретного региона. В этом отношении InCountry является первым поставщиком услуг локализации данных, который позволяет вам внедрять свои сервисы во всем мире, поскольку мы надежно управляем вашими регулируемыми данными в более чем 90 странах.

Несмотря на значительные преимущества для компаний, потребителей и национальных экономик, которые возникают в результате цифровой трансформации, а также способность организаций легко обмениваться данными через границы, десятки стран воздвигли барьеры для трансграничных потоков данных. Среди них — требования к резидентности данных, которые ограничивают данные в пределах границ страны, или концепция, также известная как «локализация данных».

Локализация данных может быть явно обязательной по закону или быть результатом других ограничительных политик, которые делают невозможным передачу данных. Они требуют от компаний хранить копию данных локально, обрабатывать данные локально и требовать согласия отдельных лиц или правительства на передачу данных.

Давайте подробнее рассмотрим некоторые примеры требований к резидентности данных в различных странах.

Политика локализации данных в различгных странах мира

В приведенной ниже карте отражено большинство мировых политик локализации данных. Локализация данных принимает разные формы: в то время как некоторые страны вводят полный запрет на передачу данных, многие из них относятся к конкретным секторам, включая личные, медицинские, бухгалтерские, налоговые, финансовые, картографические, правительственные, телекоммуникационные, электронные коммерции и публикации в Интернете данных. .

InCountry поддерживает глобальные компании, которые сталкиваются с ограничениями региональных законов о конфиденциальности. Партнерство с InCountry — самый быстрый способ соблюдать правила размещения данных и открывать новые территории.

Кликните на карту, чтобы получить информацию по странам

Требования к резидентности данных в ЕС

В Европейском союзе действует единый закон о защите данных, который называется GDPR (General Data Protection Regulation). Этот закон регулирует обработку персональных данных в ЕС и является важным компонентом законодательства ЕС о конфиденциальности и правах человека. Хотя в настоящее время в ЕС нет особых требований к локализации данных, недавнее признание недействительности Privacy Shield может означать, что они необходимы. Многие компании уже предприняли шаги для обеспечения того, чтобы их стратегии обработки данных обеспечивали локализацию регулируемых данных до того, как они покинут страны их происхождения.

Регулируемые типы данных

Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.

Организации, которые получают и хранят любые регулируемые типы данных в соответствии с требованиями GDPR. Согласно GDPR, компании должны обеспечивать безопасность данных внутри ЕС, и если данные должны быть переданы за пределы UE, они могут быть переданы только в страны или организации, которые подписались на эквивалентную защиту конфиденциальности.

Как это работает с технической точки зрения? Трансфер данных означает, что исходные данные были перемещены на компьютер за пределами ЕС. Но это также может произойти, когда сотрудник за пределами ЕС получает доступ к данным — например, разработчик в Индии проверяет логи или инженер службы поддержки в Сингапуре помогает клиенту и просматривает его данные.

Эти манипуляции также считаются передачей данных (поскольку данные перемещаются в другую страну), поэтому в идеальном мире вы должны убедиться, что с данными взаимодействуют только граждане ЕС и машины из ЕС. И хранение, и обработка, и доступ из-за пределов ЕС будут считаться передачей. Это имеет серьезные последствия для вашей архитектуры обработки. Например, если у вас есть клиентская база в США и за рубежом, вам нужно будет хранить и обрабатывать данные отдельно и в нескольких странах.

Тем не менее, такая передача возможна, если вы соглашаетесь применять принципы защиты данных GDPR или использовать специального поставщика услуг резидентства данных, который помогает защитить данные во время передачи. (насколько правильно это высказывание?)

Полезные ссылки

Закон о локализации данных в России

Правила защиты данных для России содержатся в конкретном законодательстве, в частности в Законе о защите данных № 152-ФЗ от 27 июля 2006 г. (DPA), а также в различных нормативных актах, принятых для реализации DPA. Некоторые другие законы о хранении данных для России — это Закон об информации, информационных технологиях и защите информации № 149-ФЗ от 27 июля 2006 года, который устанавливает основные правила в отношении информации в целом и ее защиты.

Информация считается персональными данными, если она идентифицирует конкретного человека. Правила локализации применяются к компаниям только в том случае, если они намеренно выполняют определенные действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение) и извлечение персональных данных.

Тем не менее, российский закон о локализации данных не запрещает дальнейшую обработку персональных данных россиян за рубежом, если эти данные ранее были включены в российскую базу данных и обновляются там по мере необходимости.

Таким образом, использование, передача (распространение, предоставление) персональных данных, обезличивание, блокировка, удаление или уничтожение могут осуществляться с использованием баз данных за пределами России.

Регулируемые типы данных

Персональные данные, данные о сотрудниках, данные о здоровье (зеркальные копии разрешено хранить за пределами РФ).

Особенности платежных данных: все кредитные карты, в том числе международные, внутригосударственные транзакции проходят через Национальную платежную систему России. Внутренние транзакционные записи должны обрабатываться и храниться на территории Российской Федерации.

Закон о локализации данных в России — как это работает

Технически закон о локализации данных применяется ко всем российским компаниям, филиалам и представительствам иностранных корпораций, а также к другим юридическим лицам, зарегистрированным за пределами России, которые не имеют официального присутствия в России, но ведут бизнес на местном рынке.

Этот закон также применяется, если международная компания использует доменные имена «.ru, .рф», имеет русскоязычный веб-сайт, получает оплату в российских рублях или доставляет товары в Российскую Федерацию. Таким образом, любая компания, ведущая бизнес в России или с россиянами, может подпадать под действие закона, даже если она не зарегистрирована в России.

Если что-либо из вышеперечисленного относится к вашей компании, она будет считаться оператором персональных данных и должна локализовать свои базы данных в Российской Федерации. Эти правовые требования применяются исключительно к положениям, принятым с 1 сентября 2015 года, поэтому персональные данные, собранные до этой даты, не нужно передавать в Россию.

Полезные ссылки

Регулирующие органы и правила

Роскомнадзор — официальный государственный орган, контролирующий выполнение компаниями своих обязанностей по локализации в России. Среди его функций — возможность запускать аудит вне офиса или на месте. Во время аудита госдепартамент обычно изучает уведомления, отправленные оператором, и может потребовать любую необходимую информацию — например, подтверждение места хранения баз данных.

Заключение

Соблюдение Закона о защите данных № 152 требует привлечения юристов, а также ИТ-специалистов для создания систем и политик работы с личными данными. Компаниям, которые уже ведут деятельность в России, необходимо пересмотреть содержание своих баз данных и системы работы с персональными данными. Очевидно, что некоторые базы данных необходимо перенести в Россию, и перенос их в облако не решит проблему, исходя из местной практики.

Законы о локализации данных в ОАЭ

В ОАЭ есть определенные подходы к управлению законами о локализации данных. Прежде всего, в ОАЭ нет всеобъемлющего закона о защите данных на федеральном уровне, однако существует ряд законов, регулирующих конфиденциальность и безопасность данных в этой стране.

Кроме того, в некоторых законах предусмотрены отраслевые положения о защите данных. Кроме того, в ОАЭ есть ряд особых экономических или отраслевых свободных зон, в трех из которых действуют особые законы о защите данных. Это Дубайский международный финансовый центр, Глобальный рынок Абу-Даби (ADGM) и Dubai Health Care City.

Регулирующие органы и правила в ОАЭ

Глобальный рынок Абу-Даби (ADGM) — это свободная зона и международный финансовый центр, основанный в столице ОАЭ. С 2015 года в нем действует положение о защите данных. Чтобы привести его определения в соответствие с международными стандартами и внести ясность по ряду пунктов, в этот закон были внесены определенные поправки в Правила о защите данных (поправки) 2018 года. ADGM также учредил Управление по защите данных (ODP) в декабре 2017 года, которому было поручено обеспечить соблюдение и контроль нормативных требований.

Еще одна свободная зона в ОАЭ — Дубайский международный финансовый центр (DIFC). С 2007 года в нем действует Закон о локализации данных, который в январе 2018 года был приведен в соответствие с международными стандартами. Управление уполномоченного по защите данных отвечает за защиту всей личной информации в DIFC.

Законы ОАЭ о локализации данных

Защита данных в ОАЭ регулируется федеральными законами и постановлениями Центрального банка ОАЭ и регулирующего органа по телекоммуникациям (TRA). Эти федеральные законы и постановления ОАЭ содержат различные положения, касающиеся конфиденциальности и защиты личных данных.

Некоторые из них:

• Закон о киберпреступности — Федеральный декрет-закон № (5) 2012 г. Закон о киберпреступности криминализирует получение, владение, изменение, уничтожение или раскрытие (без разрешения) электронных документов или электронной информации, относящейся к медицинским картам (статья 7).
• Уголовный кодекс (Федеральный закон № 3 1987 г. с поправками)
  Нормативно-правовая база Центрального банка ОАЭ для хранимых ценностей и электронных платежных систем («Регулирование цифровых платежей») 1 января 2017 г.
• Регулирующий орган электросвязи (TRA) — Регламент защиты потребителей, версия 1.3, 10 января 2017 г.
• Постановление DHCC о защите данных здравоохранения № 7 от 2013 г.
  В 2007 году DIFC ввел в действие Закон DIFC № 1 Закона о защите данных 2007 года, в который впоследствии были внесены поправки Законом DIFC № 5 от 2012 года о поправках к Закону о защите данных («DPL»).
• Закон Дубая о данных, 27 декабря 2015 г.

Регулируемые типы данных

Персональные данные, финансовые данные, данные о здоровье, интернет вещей.

Ограничения на локализацию или передачу данных

Могут ли личные данные быть переданы третьим лицам внутри и / или за пределами ОАЭ? Согласно Уголовному кодексу (статья 379), это возможно, если заинтересованное лицо дало письменное согласие на такую ​​передачу. Главное условие — получить согласие заинтересованного лица.

Однако для финансового типа данных ситуация иная — «Нормативно-правовая база для хранимых значений и электронных платежных систем» Центрального банка ОАЭ обязывает всех операторов платежных систем (PSP) хранить и хранить все данные пользователей и транзакций исключительно в пределах границ ОАЭ.

Ограничения существуют и в телекоммуникационной отрасли. Регулирующий орган электросвязи (TRA) посредством «Правил защиты потребителей, версия 1.3, выпущен 10 января 2017 года» требует, чтобы лицензиаты получали предварительное согласие подписчика, прежде чем делиться какой-либо «информацией подписчика» со своими аффилированными лицами и / или другими третьими сторонами, не имеющими прямого отношения оказание услуг связи, заказанных Абонентом.

Кроме того, лицензиаты должны гарантировать, что третьи стороны принимают все разумные и надлежащие меры для защиты конфиденциальности и безопасности Информации о подписчике, а обязательства третьей стороны должны выполняться в соответствии с договором, и они должны нести ответственность за защиту конфиденциальности и безопасности подписчика. Лицензиат обязан обеспечить принятие всех разумных мер для защиты конфиденциальности Информации о подписчике, которую он хранит в своих файлах в электронной или бумажной форме.

Заключение

Важно обеспечить, чтобы применяемые передовые методы и средства контроля за соответствием данных обеспечивали адекватный уровень регулируемой защиты данных. Организации должны теперь взглянуть на то, как они собирают, хранят и используют отредактированные данные в ОАЭ, и спросить себя, как они могут соблюдать местные законы. Это может включать использование специальных платформ локализации данных — таких как InCountry.

Законы о локализации данных во Вьетнаме

Законы о локализации данных во Вьетнаме имеют определенную специфику. В отличие от других стран, в этой стране нет единого всеобъемлющего закона о защите данных.

Вместо этого правила защиты данных в настоящее время распространены на различные законы и руководящие правовые документы. Среди них следующие: Гражданский кодекс (2015 г.), Закон об электронных транзакциях (2005 г.), Закон об информационных технологиях (2006 г.), Закон о защите прав потребителей (2010 г.), Закон о кибер-информационной безопасности (2015 г.), Закон о кибербезопасности. Закон (2018). В таких обстоятельствах компаниям иногда бывает сложно определить, применимы ли законы о защите данных к каждой конкретной ситуации.

Регулируемые типы данных

Личные данные, данные о здоровье, данные о сторудниках.

Законы Вьетнама о локализации данных

Ключевые принципы сбора, хранения, использования, обработки, раскрытия или передачи личной информации указаны в следующих основных законах и руководящих документах:

• Закон № 24/2018 / QH14 о кибербезопасности, принятый Национальным собранием 12 июня 2018 года («Закон о кибербезопасности»);
• Закон № 86/2015 / QH13 о киберинформационной безопасности, принятый Национальным собранием 19 ноября 2015 года; с изменениями, внесенными Законом № 35/2018 / QH14 от 20 ноября 2018 г. о внесении изменений в некоторые статьи 37 законов о планировании («Закон о кибер-информационной безопасности»);
• Постановление № 85/2016 / ND-CP от 1 июля 2016 г. «О безопасности информационных систем путем классификации»;
• Циркуляр № 20/2017 / TT-BTTTT от 12 сентября 2017 года Министерства информации и коммуникаций, предусматривающий Положение о координации и реагировании на инциденты информационной безопасности по всей стране.

Стоит отметить, что каждый аспект и каждая отрасль во Вьетнаме могут иметь свои собственные соответствующие регулирующие документы. Другими словами, применимость юридических документов будет зависеть от фактического контекста каждого бизнес-кейса, например, профиль, здоровье, финансы или данные о сотрудниках могут подпадать под действие специальных правил защиты данных в зависимости от отрасли. В Трудовом кодексе 2012 года также существует специальное положение о личной информации сотрудников.

Какой самый важный вьетнамский правовой документ, регулирующий защиту данных? Это закон Вьетнама о кибербезопасности. В отличие от других законов о кибербезопасности, которые были вдохновлены GDPR ЕС, этот закон имеет сходство с Законом Китая о кибербезопасности, принятым в 2017 году. Он направлен на предоставление правительству возможности контролировать поток информации, а не на обеспечение прав на конфиденциальность данных для частных лиц. субъекты данных.

К другим законам, которые в настоящее время готовятся, относятся проект указа с подробным описанием ряда статей Закона о кибербезопасности, проект указа с подробным описанием порядка и процедур применения ряда мер обеспечения кибербезопасности и проект постановления премьер-министра об опубликовании перечня. информационных систем, важных для национальной безопасности.

Персональные данные и определения субъектов данных

На основании многих существующих юридических документов определения личных данных и субъектов данных обозначаются разными терминами, такими как «личная жизнь», «личная тайна», «личная информация», «информация о клиенте». Однако обычно их понимают следующим образом:

• «Личные данные» — это информация об идентифицируемом лице, которая может включать его / ее имя, адрес, расу, этническую принадлежность, образование, финансовые обстоятельства, историю занятости и другую информацию; и
• «Субъект данных» — это лицо, которое можно идентифицировать по таким личным данным.

Каково определение организаций, которые должны соответствовать правилам локализации данных? Они также относительно широки и по-разному определяются в различных применимых законах. Как правило, это физические лица и организации, занимающиеся (т. Е. Сбор, хранение и обработка) персональных данных во Вьетнаме, в том числе иностранные организации.

Компании, которые работают с регулируемыми данными во Вьетнаме, должны соблюдать следующие обязательства:

Согласие субъекта данных должно быть получено перед сбором, совместным использованием, раскрытием или передачей личных данных третьему лицу. Если личные данные передаются и обрабатываются третьей стороной, то в договоре с третьей стороной должны быть положения, четко определяющие ответственность каждой стороны за соблюдение соответствующих положений о защите данных;

Подготовка уведомления о конфиденциальности и обеспечение легкого доступа к нему для субъектов данных (например, на веб-сайте);

Персональные данные должны быть удалены по запросу субъекта данных или по истечении срока использования;

Регулируемые данные должны храниться надежно и в соответствии с техническими стандартами, которые совместимы с международными стандартами (например, ISO / IEC), и правилами по обеспечению киберинформационной безопасности;

При необходимости по запросу компетентных местных властей может быть проведена проверка с целью контроля и обеспечения информационной безопасности.

Проблемы и полезные ссылки

При рассмотрении вопроса о принятии законов о локализации данных во Вьетнаме имеет смысл учитывать следующие факторы:

• В настоящее время нет возможности официально проверить статистику или записи по вопросам нормативно-правового соответствия;
• Чтобы получить дополнительную информацию по вопросу о регулировании защиты данных во Вьетнаме, вы можете посетить Вьетнамскую ассоциацию информационной безопасности — VNISA
• Несоблюдение требований по защите данных может повлечь за собой санкции (даже уголовные) в зависимости от степени строгости. Хотя правила защиты данных предусматривают множество обязательств, правила обработки несоответствий еще не обновлены.

Законы Саудовской Аравии о резидентстве данных

Основной источник права в Королевстве Саудовская Аравия (КСА) в соответствии с принципами шариата. это исламские принципы, заимствованные из Священного Корана и Сунны. Помимо принципов шариата, закон в КСА состоит из светских постановлений, принятых правительством.

Регулируемые типы данных

Личные данные, данные о здоровье, данные о сотрудниках, финансовые данные.

Платформа облачных вычислений

Нормативно-правовая база облачных вычислений (CCF) KSA основана на передовом международном опыте и регулирует права и обязанности поставщиков облачных услуг (CSP), индивидуальных клиентов, государственных организаций и предприятий. CCF — это один из немногих примеров нормативной базы, относящейся к облачным технологиям, по всему миру и включает принципы защиты данных. Некоторые положения, такие как уведомление о нарушении безопасности, соответствуют подходу, принятому в ЕС, в то время как другие, такие как требование регистрации в классификации контента Комиссии по связи и информационным технологиям (CITC), относятся к KSA.

Некоторые из наиболее важных функций CCF с точки зрения защиты данных — это требования к безопасности облака, которых должны придерживаться поставщики облачных услуг. Информация о клиенте в облаке может быть подвержена различным уровням информационной безопасности в зависимости от требуемого уровня сохранения конфиденциальности, целостности и доступности информации. CSP также должны информировать любого клиента облачного сервиса по запросу о функциях информационной безопасности, предлагаемых CSP или применяемых к информации клиента облачного сервиса.

Полезные ссылки

Правительство принимает определенные светские правила, которые, хотя и не посвящены в целом конфиденциальности / защите данных, содержат конкретные положения, регулирующие право на неприкосновенность частной жизни и защиту данных в определенных контекстах.

Нормативная база облачных вычислений версии 2

Также могут существовать особые правила, применимые к определенным отраслям, например, к банковскому делу, которое регулируется Валютным управлением Саудовской Аравии (SAMA).

Более конкретные примеры правовых положений, касающихся конфиденциальности, можно найти в Законе о борьбе с киберпреступностью 2007 года (Королевский указ № M / 17) и новом Законе об электронной торговле 2019 года. Кроме того, отраслевые нормативные акты содержат обязательства по защите данных в отношении организаций. работает в сфере телекоммуникаций, ИТ / облачных услуг, здравоохранения и финансовых услуг.

Как работает услуга резидентства данных InCountry

Поскольку наш мир становится немного больше с каждым днем, возникают региональные различия: то, что может рассматриваться как приемлемое использование личной информации в Египте, может вызвать споры в Китае. Такой сервис, как InCountry, поддерживающий резидентность данных, позволяет адаптировать обработку к региональным ожиданиям с помощью внутренних решений по обработке.

InCountry может стать вашим окончательным решением в глобальной схеме соответствия. В настоящее время наши услуги доступны в более чем 90 странах. Наш сервис надежно управляет вашими регулируемыми данными — давайте посмотрим, как это происходит.

Типы данных, которые можно собирать и обрабатывать с помощью InCountry:

Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.

Поскольку вы хотите масштабироваться в глобальном масштабе с минимальными усилиями и максимальной скоростью, наши решения специально созданы таким образом, чтобы их можно было внедрять быстро и с минимальными затратами, адаптируясь к необходимому количеству настроек и контроля.

В настоящее время InCountry предлагает 3 типа продуктов: InCountry REST API и SDK, InCountry Border, InCountry Single-Tenant.

Заключение

• Хотя определение конфиденциальности различается в зависимости от региона, все согласны с одним — конфиденциальность важна. Всегда сложно заглядывать в будущее, но если судить по последним пяти годам, региональные различия в законах о конфиденциальности, вероятно, увеличатся.
• Поддержка локализации данных посылает клиентам два сигнала. Во-первых, бизнес, поддерживающий локализацию данных, уважает конфиденциальность. Во-вторых, он соответствует региональным требованиям к защите данных и конфиденциальности.

Мы в InCountry, что локализация данных как услуга является оптимальным решением для тех компаний, которые стремятся к глобальному масштабированию и должны соблюдать законы о хранении данных в разных странах. Работа с поставщиками услуг, такими как InCountry, помогает гарантировать, что информация будет собираться, обрабатываться и храниться в соответствии с различными треьованиями.

Готовы сделать следующий шаг по локализации данных?

Что такое локализация хранения данных как услуга

Предисловие: глобальная ситуация с защитой персональных данных

В последнее время многие международные компании столкнулись с проблемой требований хранения персональных данных и трансграничной передачи персональных данных, которые возникли в связи с ростом цифровизации и глобализацией бизнес-процессов.

Предприятия, оперирующие регулируемыми данными, сталкиваются с законами, требующими распределенного или локального хранения и обработки разных типов данных — в том числе персональных данных граждан.

Ведутся споры о том, что такое разобщение данных на основе границ мешает корпорациям и правительствам реализовать весь потенциал, который могут предложить облачные данные и способствует цифровому фракционизму и «сплинтернету».

Этот тренд имеет глубокие международные корни и в данной статье мы рассмотрим с какими вызовами сталкиваются операторы персональных данных по всему миру.

Миссия InCountry: предоставлять локализацию хранения данных как услугу и позволять клиентам использовать глобальные SaaS решения локально, соблюдая при этом требования локальных законодательств.

Что такое локализация хранения данных?

Локализация данных требует, чтобы данные, созданные в определенных юридических и территориальных границах, оставались внутри них.

В большинстве случаях законы о локализации данных требуют, чтобы копия регулируемых данных хранилась в границах страны — как правило, чтобы гарантировать, что соответствующее правительство может проверять данные о своих собственных гражданах (при наличии уважительной причины) без необходимости вступать в конфликт с другим правительством.

Например, в 2012 году правительство Индонезии потребовало, чтобы государственные учреждения, организации, участвующие в предоставлении государственных услуг, обеспечили создание центров обработки данных на территории Индонезии.

Однако есть страны, где закон настолько строг, что вообще не допускает пересечения данными границы .

Например, в 2012 году в Австралии был принят закон, регулирующий вопросы предоставления доступа к электронным медицинским записям для соответствующих целей (Personally Controlled Electronic Health Records Act 2012 № 63)ю Он обязывает обеспечить хранение информации, содержащейся в электронных медицинских записях граждан, на территории Австралии.

Согласно этого закона, не допускается:

• хранение записей за пределами Австралии;
• Обработка информации, относящейся к записям за пределами Австралии;
• Хранение или использование записей за пределами Австралии, обработка информации, относящейся к записям, за пределами Австралии.

За нарушение данных запретов предусматривается штраф в размере 120 штрафных единиц.

Как провести оценку вашей IT инфраструктуры на соответствие требованиям локализации данных?

Тщательный анализ инфраструктуры позволит вам определить точные требования к хранению и обработке различных типов данных, которыми оперирует ваш бизнес, а также более тщательно изучить требования к вашим поставщикам для хранения данных в облаке.

В качестве отправной точки анализа, попробуйте применить эти ключевые вопросы к вашей IT инфраструктуре:

1. Где создается или обрабатывается каждая из категорий данных в вашем бизнесе (персональные данные, финансовые данные, данные о здоровье и т. д.)? Какие локальные обязательства это может повлечь?
2. Где находится и кому принадлежит ваш дата-центр(ы)? Ваши данные могут находиться в центре обработки данных в Великобритании, но если этот центр обработки данных принадлежит компании со штаб-квартирой в США, то правительство США может иметь права на доступ к вашим данным в соответствии с Законом об облаке.
3. Каковы ваши процедуры обработки и хранения регулируемых данных? Куда сохраняются резервные копии данных? В зависимости от типа данных, какие местные положения существуют для обеспечения безопасности или шифрования этих данных?
4. Насколько вы уверены в том, что ваш партнер(-ы) по облачным технологиям понимает текущие и будущие правила конфиденциальности данных? Чем подтверждается, что их центры обработки данных соответствуют местным и глобальным потребностям вашего бизнеса?

InCountry: регулируемое размещение облачных данных

Если вам необходимо работать с различными и рынками, и при этом вы сталкиваетесь с вопросами локализации данных, вам на помощь приходит InCountry. Наше решение по локализации хранения данных позволяет компаниям безопасно хранить и обрабатывать регулируемые данные в стране происхождения либо за ее пределами.

InCountry дает глобальным компаниям больше возможностей контролировать, где хранятся их данные, и помогает им соблюдать местные правила хранения данных, следя за тем, чтобы соответствующие данные оставались в пределах страны происхождения.

Проблемы регулирования данных продолжают оставаться одним из препятствий, мешающих компаниям внедрять лучшие в своем классе решения SaaS, и InCountry устраняет это препятствие, облегчая переход клиентов в облако и использование преимуществ SaaS подходов.

В настоящее время InCountry предоставляет услугу локализации данных в более чем 90 странах, и это число постоянно растет. Мы даем возможность многонациональным компаниям хранить регулируемые данные безопасно и в соответствии с нормативными требованиями.

Локализация хранения данных как услуга — как это работает

1. InCountry надежно хранит записи данных в двух центрах обработки данных высшего уровня для каждой страны.
2. Наш SDK направляет данные в наши внутренние хранилища данных и из них и позволяет вашему приложению безопасно обмениваться данными.
3. InCountry SDK использует два разных типа шифрования мирового класса для хранения ваших данных.
4. Наш SDK извлекает записи с помощью хешированных ключей, и использует шифрование, а не токенизацию.
5. InCountry Border хранит данные в границах страны без изменения кодировки.
6. InCountry MSP предлагает выделенные и изолированные базы данных.

Более того, мы следуем самым высоким стандартам в отрасли. Вот почему InCountry постоянно совершенствует свои решения, опережая последние тенденции и адаптируясь к последним стандартам соответствия.

InCountry как услуга поддерживает 5 типов данных: профиль, финансы, здоровье, данные о сотрудниках и платежах. В нашем исследовании регулярно проводится оценка текущего состояния требований к резидентности данных в ключевых странах по всем этим пяти категориям. Мы не храним данные, связанные с личным общением людей, фотографиями, текстовыми сообщениями или социальными сетями.