Itu Konferensi MT bagian ini tidak melibatkan pelaporan atau editorial The Moscow Times.
Dmitry Zykov
Kepala Grup Perlindungan Data
Grup Pepeliaev
Mengingat persyaratan baru untuk melokalisasi data pribadi di Rusia, yang mulai berlaku pada tanggal 1 September 2015, hampir semua perusahaan yang memproses data pribadi memusatkan perhatian dan sumber daya mereka (baik teknis maupun ekonomi) untuk memastikan bahwa mereka mematuhi pemenuhan ini. kewajiban. Salah satu kekhawatiran terbesar bagi perusahaan adalah apakah mereka akan dapat menggunakan database asing untuk memproses data pribadi warga negara Rusia di masa depan.
Amandemen yang mulai berlaku telah menimbulkan banyak pertanyaan dan menjadi perdebatan hangat oleh perusahaan bisnis dan perwakilan otoritas negara selama lebih dari setahun. Memang masih dibahas. Hanya sebulan lebih sedikit sebelum persyaratan baru ini berlaku, Kementerian Telekomunikasi dan Komunikasi Massa Rusia mulai mempublikasikan klarifikasinya mengenai masalah-masalah tertentu mengenai persyaratan pelokalisasian data pribadi.
Salah satu penjelasannya membuat perusahaan bernapas lega. Menurut Kementerian, saat memproses data pribadi warga negara Rusia, database cadangan asing dapat digunakan selain database di Rusia. Volume data yang berlokasi di luar negeri tidak boleh melebihi volume data yang berlokasi di Rusia. Dengan kata lain, data mungkin tidak berlokasi di luar negeri jika pada saat yang sama tidak berlokasi di Rusia.
Perusahaan yang berusaha mengoperasikan basis data luar negerinya sering kali mengabaikan persyaratan kepatuhan untuk transfer data pribadi lintas negara. Namun, transfer tersebut tidak dapat dihindari jika ada database asing yang digunakan untuk pemrosesan data pribadi.
Kami mengingatkan pembaca bahwa transfer data pribadi lintas batas berarti transfer data pribadi ke negara asing, ke otoritas pemerintah negara asing, atau ke individu atau badan hukum asing. Undang-undang tidak mengubah persyaratannya mengenai syarat dan ketentuan transfer data pribadi lintas batas setelah 1 September 2015: bentuk transfer data ini sendiri tidak dilarang.
Syarat dan ketentuan untuk transfer data pribadi lintas batas bervariasi tergantung pada negara bagian yang menerima data tersebut. Jika data ditransfer ke negara-negara yang menjadi pihak dalam Konvensi Dewan Eropa untuk Perlindungan Individu sehubungan dengan pemrosesan otomatis data pribadi, serta ke negara-negara lain yang menjamin perlindungan yang memadai terhadap hak-hak pemilik data pribadi, maka secara umum alasan mungkin berlaku untuk pemrosesan data pribadi. Namun, undang-undang tersebut memberikan daftar lengkap alasan untuk mentransfer data pribadi ke negara-negara yang tidak menjamin perlindungan yang memadai terhadap hak-hak pemilik data pribadi. Setiap operator yang bekerja dengan data pribadi harus, sebelum mulai mentransfer data pribadi melintasi perbatasan, memastikan bahwa negara asing tujuan transfer data tersebut menjamin perlindungan yang memadai terhadap hak-hak pemilik data pribadi. Selain itu, perusahaan harus memastikan bahwa volume data pribadi yang ditransfer sejalan dengan tujuan pemrosesan data tersebut.
Apakah semua persyaratan di atas telah dipenuhi dalam hal klasifikasi tindakan operator terkait dengan transfer data pribadi lintas batas dan memastikan kepatuhan terhadap undang-undang diperiksa oleh otoritas federal yang berwenang, Layanan Federal untuk Pengawasan Komunikasi, Teknologi Informasi dan Media Massa (Roskomnadzor) selama pemeriksaan yang dilakukannya. Kegagalan untuk mematuhi persyaratan di atas dapat mengakibatkan risiko hukum yang sama bagi perusahaan yang tidak mematuhi peraturan lokalisasi yang baru.
Namun, jika Roskomnadzor sebelumnya mengalami masalah dalam mengidentifikasi transfer data pribadi lintas batas dan lebih mudah bagi perusahaan untuk menghindari tanggung jawab, layanan federal kini memiliki alat kontrol tambahan.
Sesuai dengan persyaratan legislatif baru, operator data pribadi harus memberi tahu Roskomnadzor tentang lokasi database mereka, yang berisi data pribadi warga negara Rusia (kecuali untuk situasi yang secara langsung diatur dalam undang-undang). Pada saat yang sama, berdasarkan kata-kata dalam undang-undang tersebut, operator harus memberi tahu Roskomnadzor tentang lokasi tidak hanya database Rusia, tetapi juga database asing, meskipun mereka hanya membuat cadangan database Rusia. Pada gilirannya, jika operator memberi tahu Roskomnadzor tentang database asing mereka, jelaslah bahwa transfer data pribadi lintas batas sedang terjadi.
Perlu diketahui juga bahwa, meskipun Roskomnadzor menyatakan bahwa pihaknya hanya bermaksud memeriksa sekitar 300 perusahaan besar dan terkenal pada akhir tahun 2015, hal ini tidak berarti bahwa tidak boleh ada pemeriksaan terjadwal terhadap perusahaan lain yang tidak berdasarkan pengaduan. pemilik data pribadi. Hal ini mungkin, misalnya, berkaitan dengan konten data pribadi dan metode yang digunakan untuk memprosesnya yang tidak sejalan dengan tujuan pemrosesannya.
Untuk mempersiapkan terlebih dahulu inspeksi yang dilakukan oleh Roskomnadzor, dan untuk mengelola risiko dimintai pertanggungjawaban atau tindakan penegakan hukum lainnya yang diterapkan berdasarkan inspeksi tersebut, perusahaan tidak hanya harus memperhatikan di mana database mereka sebenarnya berada, namun juga kepatuhan terhadap semua hal lainnya. persyaratan undang-undang tentang pemrosesan data pribadi.
Itu Konferensi MT bagian ini tidak melibatkan pelaporan atau editorial The Moscow Times.