Сохранение данных: почему не нужно хранить данные за пределами ЕС

08 мая 2021

Многие компании игнорируют проблему места (юрисдикции) хранение персональных данных, которыми они оперируют в процессе своей деятельности. Этого не стоит делать, ведь перемещая персональные данные на серверы, находящиеся за пределами Европейского Союза, фактически происходит перемещение данных в третьи страны, в свою очередь, єто влечет за собой возникновение рисков для компании.

Сохранение данных в странах, которые имеют надлежащий уровень защиты данных

Если пересмотреть практику хранения данных, существовавшей еще несколько лет назад, мы можем убедиться, что персональные данные хранились хаотично и в различных юрисдикциях. При этом, у компаний — контроллеров персональных данных, не возникало никаких опасений относительно того, хранятся ли персональные данные  в странах с должным уровнем защиты или нет.

Все изменилось в 2018 году с вступлением в законную силу General Data Protection Regulation (GDPR). В нормах этого документа было определено, что в рамках внедрения и имплементации новых европейских норм обработки персональных данных, существует несколько зон хранения и обработки персональных данных, которые по своей безопасности делятся на следующие:

  • территория Европейской Экономической Зоны (ЕЭЗ)
  • территория стран, которые имеют надлежащий уровень защиты персональных данных, что подтверждается решением Европейской Комиссии (adequacy decision)
  • а также третьи страны, не имеющие должного уровня защиты персональных данных.

Говоря о странах, в которых уровень защиты персональных данных признан надлежащим, то размещение в них серверов для хранения баз персональных данных является допустимым, ведь их статус позволяет констатировать, что эти страны приняли меры не меньше, по своей значимости, нежели те, что были приняты странами — членами ЕС.

В соответствии с последним решения Европейской Комиссии, уровень надлежащей защиты имеют следующие страны: Андорра, Аргентина, Канада (коммерческие организации), Фарерские острова, Гернси, Израиль, остров Мэн, Япония, Джерси, Новая Зеландия, Швейцария и Уругвай.

Вопрос о США остается неопределенным, ведь в соответствии с решением Европейского Суда Справедливости, документ, который регулировал безопасную передачу персональных данных с ЕС в США (EU-US Privacy Shield) был признан недостаточным и как следствие незаконным.

Страны, которые не имеют надлежащего уровня защиты

В страны, не имеющие должного уровня защиты, относятся все те, которые не попали перечень, утвержденный решением Европейской Комиссии, а также те, которые не являются странами — членами ЕС.

Перемещение персональных данных в эти страны требует большого внимания, а также принятия со стороны компаний — контроллеров, дополнительных мер безопасности данных. Непринятие таких мер может стать причиной для привлечения компании, которая передает персональные данные в страны без надлежащего уровня защиты, к ответственности в виде штрафа, который варьируется от десяти до двадцати миллионов евро или 2 — 4 процентов от годового валового оборота компании.

Учитывая такие нюансы, компания Microsoft, например, объявила о введении новой стратегии сохранения персональных данных в рамках Европейского Союза. Если раньше серверы, где хранились персональные данные физических лиц, находящихся в ЕС, могли размещаться вне Европейского Союза, например США, то заявленная Microsoft стратегия такого не предусматривает. Все клиенты коммерческого или государственного сектора в ЕС, получат возможность обрабатывать и хранить все персональные данные в ЕС. Иными словами, компании Microsoft не нужно будет перемещать персональные данные за пределы ЕС. Это обязательство будет распространяться на все основные облачные службы Microsoft — Azure, Microsoft 365 и Dynamics 365. Стратегия называется «EU Data Boundary for the Microsoft Cloud». Тем самым, компания минимизирует свои риски, возникающие при перемещении данных из ЕС в США.

К станам, которые не имеют надлежащего уровня защиты, относится и Украина, поэтому компании, зарегистрированные в Украине и обрабатывают персональные данные, собранные на территории Европейского Союза, должны дважды подумать, прежде чем хранить эти данные в Украине или в иных, каких-либо третьих странах.

Почему стоит хранить персональные данные в ЕС

Имея компании, зарегистрированной за пределами ЕС или имея компанию, которая зарегистрирована в ЕС, стоит задуматься о возможности размещения серверов, на которых хранятся персональные данные, в Европейском Союзе. Возможно это и более затратно, однако, с точки зрения соответствия требованиям законодательства о защите персональных данных, в частности GDPR, намного безопаснее. Как минимум, ваша компания сможет лишить себя бремени по внежрению дополнительных мер безопасности при передаче данных за пределы ЕЭЗ, и сосредоточиться на безопасности непосредственно серверов.

Вместе с тем, размышляя над вопросом размещения серверов, не стоит забывать и о том, что возможность гарантировать GDPR compliance для компании, может появиться только тогда, когда будут реализованы мероприятия, направленные не только на определение места хранения персональных данных, но и на реализацию Privacy Program в целом.