Збереження даних: чому не потрібно зберігати дані за межами ЄС

08 Травня 2021

Багато компаній ігнорують проблему місця (юрисдикції) збереження персональних даних, якими вони оперують в процесі своєї діяльності. Цього не варто робити, адже переміщуючи персональні дані на сервери, які знаходяться за межі Європейського Союзу, фактично відбувається переміщення даних в треті країни, що в свою чергу, тягне за собою виникнення ризиків для компанії.

Збереження даних в країнах, які мають належний рівень захисту даних

Якщо переглянути практику збереження даних, що існувала ще декілька років назад, ми можемо пересвідчитися, що персональні дані зберігалися хаотично та в різних юрисдикціях. При цьому, у компаній – контролерів персональних даних, не виникало жодних пересторог щодо того, чи персональні дані зберігаються в країнах з належним рівнем захисту чи ні.

Все змінилося в 2018 році з набранням законної сили General Data Protection Regulation (GDPR). В нормах цього документу було визначено, що в рамках впровадження та імплементації нових європейських норм обробки персональних даних, існує декілька зон збереження та обробки персональних даних, які за своєю безпечністю поділяються  на наступні:

  • територія Європейської Економічної Зони (ЄЕЗ);
  • територія країн, які мають належний рівень захисту персональних даних, що підтверджується рішенням Європейської Комісії (adequacy decision);
  • а також треті країни, які не мають належного рівня захисту персональних даних.

Говорячи про країни, в яких рівень захисту персональних даних визнаний належним, то розміщення в них серверів для збереження баз персональних даних є допустимим, адже їхній статус дозволяє констатувати, що ці країни вжили заходів не менших за своєю значущістю, а ніж ті, що були вжиті країнами – членами ЄС.

У відповідності до останнього рішення Європейської Комісії, рівень належного захисту мають наступні країни: Андорра, Аргентина, Канада (комерційні організації), Фарерські острови, Гернсі, Ізраїль, острів Мен, Японія, Джерсі, Нова Зеландія, Швейцарія та Уругвай.

Питання щодо США залишається невизначеним, адже у відповідності до рішення Європейського Суду Справедливості, документ, який регулював безпечну передачу персональних даних з ЄС до США (EU-US Privacy Shield) був визнаний недостатнім і як наслідок незаконним.

Країни, які не мають належного рівня захисту

До країн, що не мають належного рівня захисту, відносяться всі ті, які не потрапили перелік, затверджений рішенням Європейської Комісії, а також ті, які не є країнами – членами ЄС.

Переміщення персональних даних в ці країни потребує великої уваги, а також вжиття, з боку компаній – контролерів, додаткових заходів безпеки даних. Невжиття таких заходів може стати причиною до притягнення компанії, яка передає персональні дані в країни без належного рівня захисту, до відповідальності у вигляді штрафу, який варіюється від десяти до двадцяти мільйонів євро або 2 – 4 відсотків від річного валового обороту компанії.

Враховуючи такі нюанси, компанія Microsoft, наприклад, оголосила про запровадження нової стратегії збереження персональних даних в рамках Європейського Союзу. Якщо раніше сервери, де зберігалися персональні дані фізичних осіб, що знаходяться в ЄС, могли знаходитися за межами Європейського Союзу, наприклад США, то заявлена Microsoft стратегія такого не передбачає.  Всі клієнти комерційного або державного сектору в ЄС, отримають змогу обробляти та зберігати всі персональні дані в ЄС. Іншими словами, компанії Microsoft не потрібно буде переміщувати персональні дані за межі ЄС. Це зобов’язання поширюватиметься на всі основні хмарні служби Microsoft – Azure, Microsoft 365 та Dynamics 365. Стратегія має назву: «EU Data Boundary for the Microsoft Cloud». Цим самим, компанія мінімізує свої ризики, які виникали при переміщенні даних з ЄС до США.

До країн, які не мають належного рівня захисту, відноситься і Україна, тому компанії, що зареєстровані в Україні та обробляють персональні дані, зібрані на території Європейського Союзу, повинні двічі подумати, перш ніж зберігати ці дані в Україні або в інших ніж третіх країнах.

Чому варто зберігати персональні дані в ЄС

Маючи компанію, що зареєстрована по за межами ЄС або ж маючи компанію, яка зареєстрована в ЄС, варто задуматися про можливість розміщення серверів, на яких зберігаються персональні дані, в Європейському Союзі. Можливо це і більш витратніше, однак, з точки зору відповідності вимогам законодавства про захист персональних даних, зокрема GDPR, є набагато безпечнішим. Як мінімум, ваша компанія зможе позбавити себе тягаря щодо розрахунку додаткових заходів безпеки при передачі даних за межі ЄЕЗ, та зосередитися на безпеці безпосередньо серверів.

Разом з тим, розмірковуючи над питанням розміщення серверів, не варто забувати і про те, що можливість гарантувати GDPR compliance для компанії, може з’явитися тільки тоді, коли будуть реалізовані заходи, спрямовані не лише на визначення місця збереження персональних даних, а й на реалізацію Privacy Program в цілому.