fbpx
x

Законы о локализации данных: обзор по странам

Законы о локализации данных: обзор по странам

Глобальная ситуация с законами и постановлениями о защите данных

Рост цифровой трансформации организаций, обусловленный быстрым внедрением таких технологий, как облачные вычисления и аналитика данных, резко повысил важность внимание к этой области. Эта тенденция влияет как на традиционные отрасли экономики, так и на SaaS и электронную коммерцию.

Данные по праву считаются источником жизненной силы современной глобальной экономики, в то время как передача защищенных данных между странами становится все более сложной. Все больше и больше стран создают барьеры, которые делают этот процесс трудоемким и дорогостоящим из-за недавно принятых правил хранения данных.

Что такое локализация данных и как она меняет глобальный ландшафт в сфере данных

По мере того, как информационная эпоха прогрессирует, важность географического положения для конфиденциальности данных становится все более важной. В то время как международные правила конфиденциальности, такие как GDPR, или основные законы, такие как CCPA, становятся главными, существует бесчисленное множество мелких региональных законов, которые часто получают меньше внимания. Эти законы часто являются краеугольным камнем в планах глобального расширения многонациональных компаний.

Что такое резидентность данных? Это локализация регулируемых данных, таких как личная информация, в определенном регионе или стране. Это может быть как хранение данных, так и их обработка, где эти данные обрабатываются в соответствии с законодательством этого конкретного региона. В этом отношении InCountry является первым поставщиком услуг локализации данных, который позволяет вам внедрять свои сервисы во всем мире, поскольку мы надежно управляем вашими регулируемыми данными в более чем 90 странах.

Несмотря на значительные преимущества для компаний, потребителей и национальных экономик, которые возникают в результате цифровой трансформации, а также способность организаций легко обмениваться данными через границы, десятки стран воздвигли барьеры для трансграничных потоков данных. Среди них — требования к резидентности данных, которые ограничивают данные в пределах границ страны, или концепция, также известная как «локализация данных».

Локализация данных может быть явно обязательной по закону или быть результатом других ограничительных политик, которые делают невозможным передачу данных. Они требуют от компаний хранить копию данных локально, обрабатывать данные локально и требовать согласия отдельных лиц или правительства на передачу данных.

Давайте подробнее рассмотрим некоторые примеры требований к резидентности данных в различных странах.

Политика локализации данных в различгных странах мира

В приведенной ниже карте отражено большинство мировых политик локализации данных. Локализация данных принимает разные формы: в то время как некоторые страны вводят полный запрет на передачу данных, многие из них относятся к конкретным секторам, включая личные, медицинские, бухгалтерские, налоговые, финансовые, картографические, правительственные, телекоммуникационные, электронные коммерции и публикации в Интернете данных. .

InCountry поддерживает глобальные компании, которые сталкиваются с ограничениями региональных законов о конфиденциальности. Партнерство с InCountry — самый быстрый способ соблюдать правила размещения данных и открывать новые территории.

Страны с локализацией данных

Кликните на карту, чтобы получить информацию по странам

 

Требования к резидентности данных в ЕС

В Европейском союзе действует единый закон о защите данных, который называется GDPR (General Data Protection Regulation). Этот закон регулирует обработку персональных данных в ЕС и является важным компонентом законодательства ЕС о конфиденциальности и правах человека. Хотя в настоящее время в ЕС нет особых требований к локализации данных, недавнее признание недействительности Privacy Shield может означать, что они необходимы. Многие компании уже предприняли шаги для обеспечения того, чтобы их стратегии обработки данных обеспечивали локализацию регулируемых данных до того, как они покинут страны их происхождения.

Регулируемые типы данных

Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.

Организации, которые получают и хранят любые регулируемые типы данных в соответствии с требованиями GDPR. Согласно GDPR, компании должны обеспечивать безопасность данных внутри ЕС, и если данные должны быть переданы за пределы UE, они могут быть переданы только в страны или организации, которые подписались на эквивалентную защиту конфиденциальности.

Как это работает с технической точки зрения? Трансфер данных означает, что исходные данные были перемещены на компьютер за пределами ЕС. Но это также может произойти, когда сотрудник за пределами ЕС получает доступ к данным — например, разработчик в Индии проверяет логи или инженер службы поддержки в Сингапуре помогает клиенту и просматривает его данные.

Эти манипуляции также считаются передачей данных (поскольку данные перемещаются в другую страну), поэтому в идеальном мире вы должны убедиться, что с данными взаимодействуют только граждане ЕС и машины из ЕС. И хранение, и обработка, и доступ из-за пределов ЕС будут считаться передачей. Это имеет серьезные последствия для вашей архитектуры обработки. Например, если у вас есть клиентская база в США и за рубежом, вам нужно будет хранить и обрабатывать данные отдельно и в нескольких странах.

Тем не менее, такая передача возможна, если вы соглашаетесь применять принципы защиты данных GDPR или использовать специального поставщика услуг резидентства данных, который помогает защитить данные во время передачи. (насколько правильно это высказывание?)

Полезные ссылки

Руководство GDPR по внедрению на национальном уровне

Закон о локализации данных в России

Правила защиты данных для России содержатся в конкретном законодательстве, в частности в Законе о защите данных № 152-ФЗ от 27 июля 2006 г. (DPA), а также в различных нормативных актах, принятых для реализации DPA. Некоторые другие законы о хранении данных для России — это Закон об информации, информационных технологиях и защите информации № 149-ФЗ от 27 июля 2006 года, который устанавливает основные правила в отношении информации в целом и ее защиты.

Информация считается персональными данными, если она идентифицирует конкретного человека. Правила локализации применяются к компаниям только в том случае, если они намеренно выполняют определенные действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление и изменение) и извлечение персональных данных.

Тем не менее, российский закон о локализации данных не запрещает дальнейшую обработку персональных данных россиян за рубежом, если эти данные ранее были включены в российскую базу данных и обновляются там по мере необходимости.

Таким образом, использование, передача (распространение, предоставление) персональных данных, обезличивание, блокировка, удаление или уничтожение могут осуществляться с использованием баз данных за пределами России.

Регулируемые типы данных

Персональные данные, данные о сотрудниках, данные о здоровье  (зеркальные копии разрешено хранить за пределами РФ).

Особенности платежных данных: все кредитные карты, в том числе международные, внутригосударственные транзакции проходят через Национальную платежную систему России. Внутренние транзакционные записи должны обрабатываться и храниться на территории Российской Федерации.

Закон о локализации данных в России — как это работает

Технически закон о локализации данных применяется ко всем российским компаниям, филиалам и представительствам иностранных корпораций, а также к другим юридическим лицам, зарегистрированным за пределами России, которые не имеют официального присутствия в России, но ведут бизнес на местном рынке.

Этот закон также применяется, если международная компания использует доменные имена «.ru, .рф», имеет русскоязычный веб-сайт, получает оплату в российских рублях или доставляет товары в Российскую Федерацию. Таким образом, любая компания, ведущая бизнес в России или с россиянами, может подпадать под действие закона, даже если она не зарегистрирована в России.

Если что-либо из вышеперечисленного относится к вашей компании, она будет считаться оператором персональных данных и должна локализовать свои базы данных в Российской Федерации. Эти правовые требования применяются исключительно к положениям, принятым с 1 сентября 2015 года, поэтому персональные данные, собранные до этой даты, не нужно передавать в Россию.

Russia_CountrySheet

Полезные ссылки

Регулирующие органы и правила

Роскомнадзор (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций)

Закон №152-ФЗ «О ПЕРСОНАЛЬНЫХ ДАННЫХ»

Роскомнадзор — официальный государственный орган, контролирующий выполнение компаниями своих обязанностей по локализации в России. Среди его функций — возможность запускать аудит вне офиса или на месте. Во время аудита госдепартамент обычно изучает уведомления, отправленные оператором, и может потребовать любую необходимую информацию — например, подтверждение места хранения баз данных.

Заключение

Соблюдение Закона о защите данных № 152 требует привлечения юристов, а также ИТ-специалистов для создания систем и политик работы с личными данными. Компаниям, которые уже ведут деятельность в России, необходимо пересмотреть содержание своих баз данных и системы работы с персональными данными. Очевидно, что некоторые базы данных необходимо перенести в Россию, и перенос их в облако не решит проблему, исходя из местной практики.

Законы о локализации данных в ОАЭ

В ОАЭ есть определенные подходы к управлению законами о локализации данных. Прежде всего, в ОАЭ нет всеобъемлющего закона о защите данных на федеральном уровне, однако существует ряд законов, регулирующих конфиденциальность и безопасность данных в этой стране.

Кроме того, в некоторых законах предусмотрены отраслевые положения о защите данных. Кроме того, в ОАЭ есть ряд особых экономических или отраслевых свободных зон, в трех из которых действуют особые законы о защите данных. Это Дубайский международный финансовый центр, Глобальный рынок Абу-Даби (ADGM) и Dubai Health Care City.

Регулирующие органы и правила в ОАЭ

Глобальный рынок Абу-Даби (ADGM) — это свободная зона и международный финансовый центр, основанный в столице ОАЭ. С 2015 года в нем действует положение о защите данных. Чтобы привести его определения в соответствие с международными стандартами и внести ясность по ряду пунктов, в этот закон были внесены определенные поправки в Правила о защите данных (поправки) 2018 года. ADGM также учредил Управление по защите данных (ODP) в декабре 2017 года, которому было поручено обеспечить соблюдение и контроль нормативных требований.

Еще одна свободная зона в ОАЭ — Дубайский международный финансовый центр (DIFC). С 2007 года в нем действует Закон о локализации данных, который в январе 2018 года был приведен в соответствие с международными стандартами. Управление уполномоченного по защите данных отвечает за защиту всей личной информации в DIFC.

Законы ОАЭ о локализации данных

Защита данных в ОАЭ регулируется федеральными законами и постановлениями Центрального банка ОАЭ и регулирующего органа по телекоммуникациям (TRA). Эти федеральные законы и постановления ОАЭ содержат различные положения, касающиеся конфиденциальности и защиты личных данных.

Некоторые из них:

  • Закон о киберпреступности — Федеральный декрет-закон № (5) 2012 г. Закон о киберпреступности криминализирует получение, владение, изменение, уничтожение или раскрытие (без разрешения) электронных документов или электронной информации, относящейся к медицинским картам (статья 7).
  • Уголовный кодекс (Федеральный закон № 3 1987 г. с поправками)
    Нормативно-правовая база Центрального банка ОАЭ для хранимых ценностей и электронных платежных систем («Регулирование цифровых платежей») 1 января 2017 г.
  • Регулирующий орган электросвязи (TRA) — Регламент защиты потребителей, версия 1.3, 10 января 2017 г.
  • Постановление DHCC о защите данных здравоохранения № 7 от 2013 г.
    В 2007 году DIFC ввел в действие Закон DIFC № 1 Закона о защите данных 2007 года, в который впоследствии были внесены поправки Законом DIFC № 5 от 2012 года о поправках к Закону о защите данных («DPL»).
  • Закон Дубая о данных, 27 декабря 2015 г.

Регулируемые типы данных

Персональные данные, финансовые данные, данные о здоровье, интернет вещей.

Ограничения на локализацию или передачу данных

Могут ли личные данные быть переданы третьим лицам внутри и / или за пределами ОАЭ? Согласно Уголовному кодексу (статья 379), это возможно, если заинтересованное лицо дало письменное согласие на такую ​​передачу. Главное условие — получить согласие заинтересованного лица.

Однако для финансового типа данных ситуация иная — «Нормативно-правовая база для хранимых значений и электронных платежных систем» Центрального банка ОАЭ обязывает всех операторов платежных систем (PSP) хранить и хранить все данные пользователей и транзакций исключительно в пределах границ ОАЭ.

Ограничения существуют и в телекоммуникационной отрасли. Регулирующий орган электросвязи (TRA) посредством «Правил защиты потребителей, версия 1.3, выпущен 10 января 2017 года» требует, чтобы лицензиаты получали предварительное согласие подписчика, прежде чем делиться какой-либо «информацией подписчика» со своими аффилированными лицами и / или другими третьими сторонами, не имеющими прямого отношения оказание услуг связи, заказанных Абонентом.

Кроме того, лицензиаты должны гарантировать, что третьи стороны принимают все разумные и надлежащие меры для защиты конфиденциальности и безопасности Информации о подписчике, а обязательства третьей стороны должны выполняться в соответствии с договором, и они должны нести ответственность за защиту конфиденциальности и безопасности подписчика. Лицензиат обязан обеспечить принятие всех разумных мер для защиты конфиденциальности Информации о подписчике, которую он хранит в своих файлах в электронной или бумажной форме.

Заключение

Важно обеспечить, чтобы применяемые передовые методы и средства контроля за соответствием данных обеспечивали адекватный уровень регулируемой защиты данных. Организации должны теперь взглянуть на то, как они собирают, хранят и используют отредактированные данные в ОАЭ, и спросить себя, как они могут соблюдать местные законы. Это может включать использование специальных платформ локализации данных — таких как InCountry.

Законы о локализации данных во Вьетнаме

Законы о локализации данных во Вьетнаме имеют определенную специфику. В отличие от других стран, в этой стране нет единого всеобъемлющего закона о защите данных.

Вместо этого правила защиты данных в настоящее время распространены на различные законы и руководящие правовые документы. Среди них следующие: Гражданский кодекс (2015 г.), Закон об электронных транзакциях (2005 г.), Закон об информационных технологиях (2006 г.), Закон о защите прав потребителей (2010 г.), Закон о кибер-информационной безопасности (2015 г.), Закон о кибербезопасности. Закон (2018). В таких обстоятельствах компаниям иногда бывает сложно определить, применимы ли законы о защите данных к каждой конкретной ситуации.

Регулируемые типы данных

Личные данные, данные о здоровье, данные о сторудниках.

Законы Вьетнама о локализации данных

Ключевые принципы сбора, хранения, использования, обработки, раскрытия или передачи личной информации указаны в следующих основных законах и руководящих документах:

  • Закон № 24/2018 / QH14 о кибербезопасности, принятый Национальным собранием 12 июня 2018 года («Закон о кибербезопасности»);
  • Закон № 86/2015 / QH13 о киберинформационной безопасности, принятый Национальным собранием 19 ноября 2015 года; с изменениями, внесенными Законом № 35/2018 / QH14 от 20 ноября 2018 г. о внесении изменений в некоторые статьи 37 законов о планировании («Закон о кибер-информационной безопасности»);
  • Постановление № 85/2016 / ND-CP от 1 июля 2016 г. «О безопасности информационных систем путем классификации»;
  • Циркуляр № 20/2017 / TT-BTTTT от 12 сентября 2017 года Министерства информации и коммуникаций, предусматривающий Положение о координации и реагировании на инциденты информационной безопасности по всей стране.

Стоит отметить, что каждый аспект и каждая отрасль во Вьетнаме могут иметь свои собственные соответствующие регулирующие документы. Другими словами, применимость юридических документов будет зависеть от фактического контекста каждого бизнес-кейса, например, профиль, здоровье, финансы или данные о сотрудниках могут подпадать под действие специальных правил защиты данных в зависимости от отрасли. В Трудовом кодексе 2012 года также существует специальное положение о личной информации сотрудников.

Какой самый важный вьетнамский правовой документ, регулирующий защиту данных? Это закон Вьетнама о кибербезопасности. В отличие от других законов о кибербезопасности, которые были вдохновлены GDPR ЕС, этот закон имеет сходство с Законом Китая о кибербезопасности, принятым в 2017 году. Он направлен на предоставление правительству возможности контролировать поток информации, а не на обеспечение прав на конфиденциальность данных для частных лиц. субъекты данных.

К другим законам, которые в настоящее время готовятся, относятся проект указа с подробным описанием ряда статей Закона о кибербезопасности, проект указа с подробным описанием порядка и процедур применения ряда мер обеспечения кибербезопасности и проект постановления премьер-министра об опубликовании перечня. информационных систем, важных для национальной безопасности.

Персональные данные и определения субъектов данных

На основании многих существующих юридических документов определения личных данных и субъектов данных обозначаются разными терминами, такими как «личная жизнь», «личная тайна», «личная информация», «информация о клиенте». Однако обычно их понимают следующим образом:

  • «Личные данные» — это информация об идентифицируемом лице, которая может включать его / ее имя, адрес, расу, этническую принадлежность, образование, финансовые обстоятельства, историю занятости и другую информацию; и
  • «Субъект данных» — это лицо, которое можно идентифицировать по таким личным данным.

Каково определение организаций, которые должны соответствовать правилам локализации данных? Они также относительно широки и по-разному определяются в различных применимых законах. Как правило, это физические лица и организации, занимающиеся (т. Е. Сбор, хранение и обработка) персональных данных во Вьетнаме, в том числе иностранные организации.

Компании, которые работают с регулируемыми данными во Вьетнаме, должны соблюдать следующие обязательства:

Согласие субъекта данных должно быть получено перед сбором, совместным использованием, раскрытием или передачей личных данных третьему лицу. Если личные данные передаются и обрабатываются третьей стороной, то в договоре с третьей стороной должны быть положения, четко определяющие ответственность каждой стороны за соблюдение соответствующих положений о защите данных;

Подготовка уведомления о конфиденциальности и обеспечение легкого доступа к нему для субъектов данных (например, на веб-сайте);

Персональные данные должны быть удалены по запросу субъекта данных или по истечении срока использования;

Регулируемые данные должны храниться надежно и в соответствии с техническими стандартами, которые совместимы с международными стандартами (например, ISO / IEC), и правилами по обеспечению киберинформационной безопасности;

При необходимости по запросу компетентных местных властей может быть проведена проверка с целью контроля и обеспечения информационной безопасности.

Проблемы и полезные ссылки

При рассмотрении вопроса о принятии законов о локализации данных во Вьетнаме имеет смысл учитывать следующие факторы:

  • В настоящее время нет возможности официально проверить статистику или записи по вопросам нормативно-правового соответствия;
  • Чтобы получить дополнительную информацию по вопросу о регулировании защиты данных во Вьетнаме, вы можете посетить Вьетнамскую ассоциацию информационной безопасности — VNISA
  • Несоблюдение требований по защите данных может повлечь за собой санкции (даже уголовные) в зависимости от степени строгости. Хотя правила защиты данных предусматривают множество обязательств, правила обработки несоответствий еще не обновлены.

Законы Саудовской Аравии о резидентстве данных

Основной источник права в Королевстве Саудовская Аравия (КСА) в соответствии с принципами шариата. это исламские принципы, заимствованные из Священного Корана и Сунны. Помимо принципов шариата, закон в КСА состоит из светских постановлений, принятых правительством.

Регулируемые типы данных

Личные данные, данные о здоровье, данные о сотрудниках, финансовые данные.

Платформа облачных вычислений

Нормативно-правовая база облачных вычислений (CCF) KSA основана на передовом международном опыте и регулирует права и обязанности поставщиков облачных услуг (CSP), индивидуальных клиентов, государственных организаций и предприятий. CCF — это один из немногих примеров нормативной базы, относящейся к облачным технологиям, по всему миру и включает принципы защиты данных. Некоторые положения, такие как уведомление о нарушении безопасности, соответствуют подходу, принятому в ЕС, в то время как другие, такие как требование регистрации в классификации контента Комиссии по связи и информационным технологиям (CITC), относятся к KSA.

Некоторые из наиболее важных функций CCF с точки зрения защиты данных — это требования к безопасности облака, которых должны придерживаться поставщики облачных услуг. Информация о клиенте в облаке может быть подвержена различным уровням информационной безопасности в зависимости от требуемого уровня сохранения конфиденциальности, целостности и доступности информации. CSP также должны информировать любого клиента облачного сервиса по запросу о функциях информационной безопасности, предлагаемых CSP или применяемых к информации клиента облачного сервиса.

Полезные ссылки

Правительство принимает определенные светские правила, которые, хотя и не посвящены в целом конфиденциальности / защите данных, содержат конкретные положения, регулирующие право на неприкосновенность частной жизни и защиту данных в определенных контекстах.

Среди них:

Нормативная база облачных вычислений версии 2

Основные средства контроля кибербезопасности (ECC — 1: 2018)

Положение об аутсорсинге для страховых и перестраховочных компаний и поставщиков страховых услуг

Также могут существовать особые правила, применимые к определенным отраслям, например, к банковскому делу, которое регулируется Валютным управлением Саудовской Аравии (SAMA).

Более конкретные примеры правовых положений, касающихся конфиденциальности, можно найти в Законе о борьбе с киберпреступностью 2007 года (Королевский указ № M / 17) и новом Законе об электронной торговле 2019 года. Кроме того, отраслевые нормативные акты содержат обязательства по защите данных в отношении организаций. работает в сфере телекоммуникаций, ИТ / облачных услуг, здравоохранения и финансовых услуг.

Как работает услуга резидентства данных InCountry

Поскольку наш мир становится немного больше с каждым днем, возникают региональные различия: то, что может рассматриваться как приемлемое использование личной информации в Египте, может вызвать споры в Китае. Такой сервис, как InCountry, поддерживающий резидентность данных, позволяет адаптировать обработку к региональным ожиданиям с помощью внутренних решений по обработке.

InCountry может стать вашим окончательным решением в глобальной схеме соответствия. В настоящее время наши услуги доступны в более чем 90 странах. Наш сервис надежно управляет вашими регулируемыми данными — давайте посмотрим, как это происходит.

Типы данных, которые можно собирать и обрабатывать с помощью InCountry:

Персональные данные, данные о сотрудниках, финансовые данные, данные о здоровье, платежные данные.

Поскольку вы хотите масштабироваться в глобальном масштабе с минимальными усилиями и максимальной скоростью, наши решения специально созданы таким образом, чтобы их можно было внедрять быстро и с минимальными затратами, адаптируясь к необходимому количеству настроек и контроля.

В настоящее время InCountry предлагает 3 типа продуктов: InCountry REST API и SDK, InCountry Border, InCountry Single-Tenant.

Подробнее о наших услугах здесь

Заключение

  • Хотя определение конфиденциальности различается в зависимости от региона, все согласны с одним — конфиденциальность важна. Всегда сложно заглядывать в будущее, но если судить по последним пяти годам, региональные различия в законах о конфиденциальности, вероятно, увеличатся.
  • Поддержка локализации данных посылает клиентам два сигнала. Во-первых, бизнес, поддерживающий локализацию данных, уважает конфиденциальность. Во-вторых, он соответствует региональным требованиям к защите данных и конфиденциальности.

Мы в InCountry, что локализация данных как услуга является оптимальным решением для тех компаний, которые стремятся к глобальному масштабированию и должны соблюдать законы о хранении данных в разных странах. Работа с поставщиками услуг, такими как InCountry, помогает гарантировать, что информация будет собираться, обрабатываться и храниться в соответствии с различными треьованиями.

Готовы сделать следующий шаг по локализации данных?

Техническая спецификация
Безопасно храните данные Salesforce в более чем 90 странах с помощью InCountry Data Residency-as-a-Service