Nieuwe Russische datawet heeft grote gevolgen voor westerse bedrijven

Onlangs deed een uitspraak van het Europese Hof van Justitie nogal wat stof opwaaien. Bedrijven die zaken doen in de EU mogen geen persoonlijke gegevens van EU-burgers buiten de Europese Economische Ruimte brengen, tenzij ze garanderen dat die data goed zijn beschermd. Daarmee is in één klap de zogenoemde ‘safe harbor’-regeling ongeldig die vijftien jaar geleden tussen de EU en de Verenigde Staten van kracht werd. Amerikaanse bedrijven die aan bepaalde voorwaarden voldoen, kunnen conform die regeling op grote schaal persoonlijke data van EU-ingezetenen wegsluizen naar servers in de VS. Maar hoe zit dat dan met bijvoorbeeld Rusland?

Wat echter in de media nauwelijks bekend werd, is dat vorige maand in Rusland een wet op de opslag van persoonlijke data van kracht is geworden die veel verstrekkender gevolgen heeft dan de uitspraak van het Europese Hof van Justitie. Een uitspraak waarbij we maar helemaal moeten afwachten of er echt iets gaat veranderen. De nieuwe Russische wetgeving is echter een voldongen feit, en heeft direct gevolgen voor westerse bedrijven die zaken doen in Rusland en te maken hebben met verwerking en opslag van persoonlijke data.

December 2014 paste de Russische overheid Informatiewet nr.242-FZ op essentiële punten aan. Verwachting was dat de gewijzigde wet in de loop van 2016 van kracht zou worden, maar tot ieders verbazing is dat per 1 september 2015 het geval.

In Rusland zijn enkele duizenden westerse bedrijven actief. Ze hebben er ofwel een vestiging of bewerken de snel groeiende Russische markt vanuit eigen land. Als ze persoonlijke data van Russische burgers verzamelen en vastleggen worden ze getroffen door de gewijzigde wet.

Belangrijkste wijziging in Informatiewet nr.242-FZ is namelijk dat zij met ingang van 1 september 2015 verplicht zijn om die data op te slaan bij een datacenter dat zich fysiek binnen de grenzen van de Russische Federatie bevindt. Nu is dat zelden het geval.

De gewijzigde wet bevat ook een aantal heel redelijke voorwaarden waar bedrijven die klantdata opslaan aan moeten voldoen. Denk aan de persoonlijke toestemming van de burger voor verzameling en opslag van gegevens. Of het verkrijgen van toestemming als data wordt overgedragen.

Prima allemaal. De angel van deze wet zit in de eis dat verzameling, verwerking en opslag van persoonlijke data van Russische ingezetenen in Rusland zelf moet plaatsvinden. Het is daarbij niet toegestaan de data buiten het land op te slaan en in Rusland een kopie van de data te hebben.

De nieuwe datawet heeft gelukkig geen terugwerkende kracht: alleen persoonlijke gegevens die verzameld worden ná 1 september 2015 moeten in Rusland worden opgeslagen. Uitzonderingen op de wet zijn er ook. Zo blijven luchtvaartmaatschappijen en boekingssystemen voor vliegtickets buiten schot. Dat zijn echter de uitzonderingen die de regel bevestigen: de meeste bedrijven die klantdata verzamelen en vastleggen moeten in beweging komen.

Het verdient aanbeveling om Roskomnadzor, het Russische overheidsorgaan in kwestie, op de hoogte te stellen van het feit dat persoonlijke data van Russische staatsburgers wordt vergaard. Op de website van deze organisatie is hiervoor een template te vinden.

Bij de controle op de handhaving van de aangepaste wet zijn maar liefst zeven verschillende overheidsorganisaties betrokken. Wie de wet overtreedt riskeert civiele, strafrechtelijke en/of administratieve vervolging.

Om die te voorkomen is het zaak alle ins en outs van de wet te kennen om te weten waar je aan moet voldoen. Maar dat is helemaal niet zo eenvoudig. Het ministerie van telecommunicatie doet weliswaar op haar website aanbevelingen, maar daar kunt u geen rechten aan ontlenen.

Het is dan ook zaak om een partner in het land zelf te hebben die de specifieke gevolgen van de wet kan duiden en helpt bij het vinden van een betrouwbaar data center. Dat is in Rusland echter een stuk makkelijker gezegd dan gedaan, maar zeker niet onmogelijk.