Itu Konferensi MT bagian ini tidak melibatkan pelaporan atau editorial The Moscow Times.
Anastasia Zagorodnaya
Dari Dewan
Denton
Apa yang disebut Undang-Undang Lokalisasi Data (Amandemen Undang-Undang Federal Federasi Rusia tanggal 27 Juli 2006 No. 152-FZ “Tentang Data Pribadi”, diperkenalkan oleh Undang-Undang Federal Federasi Rusia tanggal 21 Juli 2014 No. 242 -FZ “Tentang Pemberlakuan amandemen terhadap tindakan legislatif tertentu dari Federasi Rusia dalam hal spesifikasi prosedur pemrosesan data pribadi dalam jaringan informasi dan telekomunikasi”.) yang mendorong banyak diskusi selama setahun terakhir, mulai berlaku pada 1 September 2015. Jika Anda belum sempat melihat masalah ini, berikut intisari beserta perkembangan terkininya.
Aturan Baru
Amandemen inti yang diterapkan oleh Undang-Undang Pelokalan Data adalah Klausul 5 baru yang ditambahkan ke Bagian 18 Undang-Undang Data Pribadi. Ditetapkan bahwa selama pengumpulan data pribadi, termasuk melalui Internet, operator harus memastikan bahwa pencatatan, sistematisasi, penyimpanan, penyimpanan, modifikasi, dan pengambilan data pribadi warga negara Rusia dilakukan dengan menggunakan basis data yang berlokasi di wilayah Rusia, kecuali untuk pengecualian tertentu.
Pengecualian yang disebutkan umumnya tidak berhubungan dengan bisnis. Selain itu, undang-undang lokalisasi data memperkenalkan pasal baru 15.5 undang-undang tentang informasi, teknologi informasi, dan perlindungan informasi, yang menetapkan prosedur untuk membatasi akses ke informasi yang diproses yang melanggar undang-undang Rusia tentang data pribadi (itu adalah dianggap konvensional karena utamanya menargetkan situs web yang mengumpulkan data pribadi secara tidak benar). Ini akan memungkinkan situs web yang menyinggung diblokir.
Panduan praktis
Vladislav Arkhipov
Dari Dewan
Dentons, Cand.Sc. Hukum, profesor madya di St. Universitas Negeri Petersburg
Mengingat singkatnya persyaratan lokalisasi, masih banyak yang belum jelas. Berbagai penafsiran dibahas di media dan dalam pertemuan industri tertutup serta konferensi khusus. Pada awal bulan Agustus, Kementerian Telekomunikasi dan Komunikasi Massa mengeluarkan komentar yang telah lama ditunggu-tunggu mengenai isu-isu utama, berdasarkan umpan balik dari komunitas bisnis dan akademis, serta otoritas yang kompeten (tersedia di http:minsvyaz.ru/ru/personaldata/#1438548328715).
Masalah kunci
Yurisdiksi – kepada siapa aturan baru ini berlaku?
Undang-undang ini berlaku di wilayah Rusia, sehingga mencakup perusahaan-perusahaan yang tinggal di Rusia, serta kantor perwakilan dan cabang perusahaan asing yang terlibat dalam pemrosesan data. Selain itu, situs web yang secara eksplisit menargetkan pengguna Rusia (penargetan tersebut diharapkan ditentukan oleh kombinasi berbagai faktor, seperti misalnya nama domain, bahasa, proses pembayaran, dll.) kemungkinan besar akan dianggap ‘ditargetkan’ di Rusia, dan sebagai seperti itu, dari sudut pandang Rusia, harus mematuhi aturan wajib hukum Rusia ini. Meskipun pengadilan Rusia mungkin akan menyempurnakan pendekatan ini, masuk akal jika pendekatan ini diharapkan dapat diterapkan dalam praktik.
Cakupan — peraturan baru ini berlaku untuk apa?
Aturan baru ini berlaku untuk operasi yang secara tegas tercantum dalam undang-undang lokalisasi data. Tindakan lain (misalnya penggunaan data, akses jarak jauh, penghapusan) tidak terpengaruh. Bertentangan dengan persepsi awal banyak perusahaan asing, undang-undang tersebut tidak melarang ekspor data. Data dapat ditransfer ke luar negeri selama basis data utama atau tingkat awal yang digunakan untuk pencatatan pada saat pengumpulan, penyimpanan, dan pemutakhiran lebih lanjut berada di Rusia. Konsep ‘database’ yang luas diterima oleh pihak berwenang: kompilasi data apa pun yang dicatat dalam sistem elektronik atau file bagan kertas.
Dalam konteks ketidakpastian yang disebabkan oleh kurangnya pedoman peraturan yang lebih mengikat, disarankan untuk sebisa mungkin mematuhi aturan transfer lintas negara, termasuk mendapatkan persetujuan individu, membuat perjanjian transfer data antara pengontrol data dan entitas penerima. Anda mungkin juga harus mematuhi prosedur pengumpulan dan pemrosesan data serta transfer data lintas batas yang tercantum dalam kebijakan internal.
Menurut penjelasan kementerian, aturan baru ini hanya mencakup pengumpulan data pribadi yang “sengaja” langsung dari subjek data atau melalui pihak ketiga yang secara khusus terlibat dalam pengumpulan tersebut. Artinya, data yang tidak diminta (misalnya email acak dari subjek data yang berisi data pribadi) atau data yang diterima dari pihak ketiga, yang telah mengumpulkannya secara independen dari subjek data, berada di luar cakupan.
Kementerian juga menjelaskan bahwa perusahaan harus membuat keputusan yang masuk akal mengenai data mana yang memengaruhi warga negara Rusia atau mempertimbangkan bahwa informasi apa pun yang dikumpulkan dari wilayah Rusia berkaitan dengan warga negara Rusia.
Waktu — tidak ada efek surut
Data pribadi yang dikumpulkan sebelum tanggal efektif (1 September 2015) tidak tercakup; namun, operasi yang tercantum dalam aturan baru terkait dengan data lama (misalnya pembaruan) akan memicu perlunya kepatuhan.
Ada kemungkinan (dan Roskomnadzor telah membuat pernyataan mengenai hal ini) bahwa inspeksi yang dilakukan pada akhir tahun 2015 akan dibatasi hanya pada perusahaan yang terdaftar dalam rencana inspeksi resmi (tersedia dalam bahasa Rusia di situs resmi Roskomnadzor: http:rkn.gov.ru/docs/plan_print_20151.docx). Namun, investigasi di luar rencana juga dapat dilakukan berdasarkan keluhan yang dibuat oleh subjek data.
Meskipun persyaratan untuk melokalisasi data merupakan topik hangat, perusahaan yang beroperasi di Rusia tidak boleh lupa bahwa persyaratan umum undang-undang Rusia mengenai data pribadi, termasuk persyaratan mengenai kebijakan internal dan langkah-langkah keamanan, harus dipenuhi.
Itu Konferensi MT bagian ini tidak melibatkan pelaporan atau editorial The Moscow Times.