Расширенный поиск
Светлое будущее, которое сулит использование облачных сервисов для хранения и передачи информации, может быть отсрочено из-за несостыковок в казахстанском законодательстве.

Об этом шла речь на круглом столе для юристов и специалистов по информационной безопасности, в рамках ИТ-конференции Profit Cloud Day, которая состоялась в Алматы 16 марта. Главной темой на повестке мероприятия стал вопрос о законности использования облачных хранилищ, расположенных за пределами Казахстана.

По словам старшего юриста Norton Rose Fulbright Жибек Айдымбековой, законодательство часто отстает от уровня развития технологий — и не только в Казахстане, где вопросы стали возникать после вступления в силу в начале текущего года поправок в Закон «О персональных данных». Новая редакция двух его статей — 12 и 16 — привела в замешательство некоторых игроков рынка.

В ней, в частности, говорится, что «… хранение персональных данных осуществляется собственником и (или) оператором, а также третьим лицом в базе, которая хранится на территории Республики Казахстан». Тем самым, государство в императивном порядке установило место хранения персональных данных – Республика Казахстан. После этого многие компании задались вопросом, законно ли теперь хранить данные на серверах расположенных за пределами Казахстана, какие из этих данных являются персональными, а какие нет, и касается ли вообще данная поправка хранения информации в «облаке», ведь, по сути, законодательство Казахстана не содержит термина «облачные технологии».

Многих представителей индустрии тревожит использование зарубежных публичных «облаков» . А именно, при размещении в облачных сервисах базы данных, часть которой состоит из конфиденциальной информации, по сути, происходит нарушение закона РК — к примеру, если в базе данных клиентов присутствуют их контактные данные, это уже считается персональной и конфиденциальной информацией.

По словам эксперта, теперь, при использовании облачных технологий, особое внимание следует уделять таким понятиям, как передача персональных данных и трансграничная передача данных. По закону, место хранения персональных данных должно физически располагаться в пределах Казахстана. В то же время, закон позволяет трансграничную передачу персональных данных, если страна, куда они передаются, предоставляет их защиту.

«Исходя из принципа нашего законодательства – «что не запрещено, то разрешено» – можно смело говорить, что, в целом, закон не ставит жестких ограничений на использование «облаков» для передачи и хранения данных», – говорит Айдымбекова. Исключение составляют данные с ограниченным доступом, которые находятся под защитой государства – госсекреты и персональные данные.

По словам юриста, теперь, прежде чем отправлять ту или иную информацию в облачное хранилище, центр обработки данных (ЦОД) которого расположен в другой стране, следует отталкиваться от прописанных в законе терминов. Очевидно, лучше всего при выборе облачного хранилища, предварительно выяснить его юрисдикцию, и предоставляет ли государство, законами которого руководствуется данный сервис, защиту персональных данных.

При этом, закон также оставляет возможность трансграничной передачи персональных данных на территорию государств, не обеспечивающих защиту персональных данных, но только при наличии соответствующего согласия субъекта (или законного представителя), а также в случаях, предусмотренных международными договорами, ратифицированными Казахстаном, предусмотренных законами, «если это необходимо в целях защиты конституционного строя, охраны общественного порядка, прав и свобод человека и гражданина, здоровья и нравственности населения» или для «защиты конституционных прав и свобод человека и гражданина, если получение согласия субъекта или его законного представителя невозможно».

Однако, при всем этом, в законе содержится бланкетно-отсылочная норма, которая может поставить в тупик всех, к кому он относится. В статье, посвященной трансграничной передаче персональных данных, последним пунктом стоит следующая формулировка: «Трансграничная передача персональных данных на территорию иностранных государств может быть запрещена или ограничена законами Республики Казахстан». Какими именно законами и на каком основании могут быть введены такие ограничения, остается неясным.

Аналогичный закон в России, принятый больше года назад, содержит более жесткие требования. Ограничения коснулись не только хранения информации, но и сбора, записи, систематизации, аккумулирования, исправления и выборки данных, которые должны производиться только в базах данных, расположенных на территории РФ.

Директор по юридическим вопросам Microsoft в Центральной и Восточной Европе Ребекка Радлофф говорит, что ни в одной стране мира нет ясных и четких законов по сфере облачных вычислений — и ситуация правовой неопределенности в Казахстане неуникальна. По ее словам, перед Microsoft, являющейся провайдером облачных услуг, стоит задача формировать восприятие того, что будет обозначать законодательство для сектора.

Также в законе говорится о недопустимости нахождения персональных данных за пределами страны, если они одновременно не хранятся в базе данных в Казахстане. Таким образом, заметила старший юрист Norton Rose Fulbright, ограничений на параллельное хранение персональных данных в резервной копии, размещенной в облачном хранилище другой страны, нет.

Резюмируя встречу, участники выразили надежду на то, что регулятор в ближайшее время разъяснит вопросы использования персональных данных в облачных сервисах. «Законы принимаются, а инструкций о том, как ими пользоваться, порой приходится ждать годами — в таких условиях нам приходится попросту “импровизировать”», – посетовала Жибек Айдымбекова.

Напомним также, что согласно новым Правилам регистрации, пользования и распределения доменных имен в пространстве казахстанского сегмента интернета, введенным с 21 марта текущего года, пользование доменным именем в пространстве .kz может быть приостановлено в случае «нахождения аппаратно-программного комплекса, на котором размещается интернет-ресурс, за пределами территории Республики Казахстан».

В прежней редакции Правил говорилось о недопустимости размещения только серверного оборудования за пределами страны. Новый документ налагает ограничения не только на «железо», но и на «софт», отмечают специалисты — впрочем, затрудняясь однозначно сказать, что именно это означает для собственников и администраторов интернет-ресурсов.

Автор: Татьяна Киселёва (Алматы)

Об авторе

Digital Report

Digital Report рассказывает о цифровой реальности, стремительно меняющей облик стран Евразии: от электронных государственных услуг и международных информационных войн до законодательных нововведений и тенденций рынка информационных технологий.

Написать ответ

Send this to a friend

Перейти к верхней панели