Казахстан: закон о хранении cloud данных внутри страны с 2025 года
Помогаю бизнесу достигать большего в условиях высокой конкуренции. Трансформирую корпоративные цели в прибыль через кросс-функциональную работу, инновационные программы продаж и управление динамичными командами. Отличное знание ИТ-индустрии и бизнес-решений. 15 лет успешного опыта продаж в IT.
Kazakhstan mandates all personal data generated by its users for cloud SaaS platforms to be stored physically within the country.
Казахстан: новый закон обяжет хранить облачные данные внутри страны к 2025 году
Казахстан вводит строгие требования к локализации персональных данных для облачных SaaS-сервисов: с января 2025 года все компании обязаны хранить данные граждан на серверах внутри страны. Это правило затрагивает платформы вроде Salesforce и Slack и распространяется как на международный, так и на местный бизнес. За несоблюдение предусмотрены крупные штрафы.
Какие новые требования по локализации персональных данных для облачного SaaS в Казахстане?
С января 2025 года все персональные данные граждан Казахстана, обрабатываемые облачными SaaS-платформами, должны храниться на серверах, физически расположенных на территории страны. Требование распространяется на все компании, использующие сервисы уровня Salesforce или Slack. Нарушителям грозят значительные штрафы или полная блокировка деятельности в стране.
Что изменилось 8 января 2025 года
С начала 2025 года поправка к закону «Об информатизации» требует размещать все электронные ресурсы с персональными данными на серверах, физически расположенных в Казахстане. Это правило не предусматривает переходного периода или исключений, обязывая компании незамедлительно перенести данные или использовать их локальные копии.
Основой для изменений послужила поправка к закону «Об информатизации», которая гласит: «Электронные информационные ресурсы, содержащие персональные данные, следует размещать только на технических средствах, которые находятся в Республике Казахстан». Контролеры данных обязаны в течение 15 рабочих дней удалить или перенести зарубежные данные, если заранее не была создана их локальная копия («зеркало»).
«Под хранением понимают действия, которые обеспечивают целостность, конфиденциальность и доступность персональных данных. Поэтому материальные носители должны физически находиться в Казахстане.»
- пояснение регулятора в изложении Chambers & Partners
Кого это затронет
| Категория | Пример | Обязанность |
|---|---|---|
| Местное ТОО | HR-система компании Air Astana | Хранение данных сотрудников в Казахстане |
| Казахстанский филиал иностранной фирмы | CRM-система L'Oréal Kazakhstan | Аналогично местной компании |
| Иностранный SaaS-провайдер | Иностранный SaaS (например, Slack), используемый сотрудниками в Казахстане | Открыть локальный инстанс или привлечь местного обработчика данных |
Штрафы за несоблюдение требований начинаются от 500 МРП (месячных расчетных показателей), что составляет около 4000 долларов США, за каждую базу данных, не соответствующую закону. В качестве крайней меры возможно полное прекращение обработки данных.
Как поставщики реагируют
- Salesforce заблаговременно внедрил опцию «Казахстанская локаль». Она перенаправляет клиентские данные на серверы, арендуемые у гиперскейлера на базе Astana Hub.
- Slack предлагает решение Enterprise Key Management. Оно позволяет передавать зашифрованные фрагменты данных за границу, при этом мастер-ключи для их расшифровки остаются в Казахстане.
- Небольшие SaaS-провайдеры заключают партнерства с местными дата-центрами, такими как QazCloud и KazTelecom. Эти центры предлагают white-label хостинг по премиальной цене - около $0.08 за ГБ в месяц, что почти вдвое дороже, чем в европейских хабах, например, во Франкфурте.
Переносимость данных столкнулась с локализацией
Закон усложняет реализацию права на переносимость данных. Теперь сбор и передача данных по запросу пользователя должны происходить исключительно на территории Казахстана. Типичный процесс выглядит так:
- Ведение полной, локализованной копии данных пользователя.
- Экспорт для внешней обработки только псевдонимизированного набора данных.
- Восстановление полного набора данных по запросу пользователя непосредственно перед передачей, но строго в защищенной среде на территории Казахстана.
«Контролеры должны рассмотреть возражения против автоматизированной обработки в течение 3 рабочих дней. Но даже если пользователь хочет передать данные в другое место, локальная копия не может покинуть территорию Казахстана.»
- DLA Piper, Data Protection Laws of the World, издание 2025 года
Обходные пути, которые пока проходят проверку
| Подход | Риск | Практичность |
|---|---|---|
| Геоблокировка по IP-адресам Казахстана | Высокий: геоблокировка не является надежным методом. | Низкая |
| Экспорт данных на основании согласия пользователя | Средний: регулятор может оспорить «общее» согласие. | Средняя |
| Локальное шифрование и токенизация для аналитики за рубежом | Низкий: при условии, что ключи шифрования остаются в РК. | Высокая: используется телеком-операторами. |
Считаем затраты
Для средней FMCG-компании с 250 торговыми представителями, использующими Salesforce Sales Cloud, ежегодные затраты на соблюдение закона оцениваются примерно в $18 000. Основные статьи расходов включают:
- Локальное хранение данных (4 ТБ): $3900
- Ежегодный пентест и сертификация безопасности: $6000
- Выделенная круглосуточная техподдержка в Казахстане: $8000
Несмотря на расходы, бизнес считает их оправданными. Эти затраты позволяют избежать потенциальных убытков в $1.2 млн с продаж, которые могли бы возникнуть из-за запрета на обработку данных.
Что будет дальше
Новый закон уже трансформирует технологический сектор Казахстана: в первом квартале 2025 года число резидентов Astana Hub выросло на 32%, в основном за счет SaaS-компаний, привлеченных налоговыми льготами «Преференциальной зоны дата-центров». Соседние страны, включая Узбекистан, изучают возможность введения аналогичных мер. Компании, успешно адаптировавшиеся к требованиям Казахстана, получат конкурентное преимущество и готовые решения для всего центральноазиатского рынка.