Ads 468x60px

torstai 6. syyskuuta 2018

Venäjän kansalaisten henkilötietoja koskeva lainsäädäntö - datalokalisaatiolaki


Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä alettiin valmistella vuonna 2006 (152-FZ). Vuonna 2015 (242-FZ) voimaan astunut lakimuutos tarkoittaa käytännössä sitä, että Venäjän kansalaisen henkilötiedot tulee ensisijaisesti tallentaa Venäjän rajojen sisäpuolella sijaitseville palvelimille. Muutos vaatii toimenpiteitä kaikilta Venäjän kansalaisten henkilötietoja käsitteleviltä yrityksiltä.
Henkilötiedoilla tarkoitetaan kaikkia tietoja, jotka ovat yhdistettävissä suoraan tai epäsuorasti yksilöön. Henkilötietoja ovat esimerkiksi nimi, yhteystiedot, terveystiedot, uskonnolliset, poliittiset tai aatteelliset näkemykset tai sitoumukset sekä etninen alkuperä. Henkilötiedoiksi katsotaan myös informaatio tai informaatioyhdistelmät, jonka avulla henkilö voi mahdollisesti olla tunnistettavissa.
Yritysten tulee varmistaa, että henkilötietojen keräys ja säilytys noudattaa voimassa olevia Venäjän lainsäädännön periaatteita. Henkilötietoihin kohdistuvat päivitykset ja poistot tulee tehdä ensin Venäjällä sijaitseville palvelimille. Venäjän kansalaisten henkilötiedot saa kuitenkin siirtää Venäjän rajojen ulkopuolelle kansainvälisiä tiedonsiirtoja koskevan lainsäädännön periaatteiden mukaisesti.
Heinäkuussa 2017 lainsäädäntöä tehostettiin uusilla tuntuvilla sakoilla, koskien niitä yrityksiä, jotka eivät noudata Venäjän henkilötietojen säilyttämistä koskevaa lainsäädäntöä. Venäjän telehallintoviranomainen voi myös tilanteen vaatiessa estää pääsyn palveluihin Venäjän maaperältä, joka voi aiheuttaa yritykselle tuntuvia liiketoiminnallisia haittoja.
Venäjän datalokalisaatiolaki kohdistuu yrityksiin, joilla on liiketoimintaa Venäjällä. Tämä koskettaa myös yritysten tytäryhtiöitä, edustustoa, toimistoja sekä tehtaita, mukaan lukien myös Venäjällä toimivat verkkokaupat. Lainsäädännön piiriin lukeutuvat ne verkkokaupat, jotka ovat suunnattuja venäläiselle asiakaskunnalle. Näinollen esimerkiksi, mikäli verkkosivut ovat venäjänkieliset, verkkosivun domain on venäläinen (esim .ru, РФ), mainonta suunnattu venäläisille asiakkaille tai maksuliikenne on mahdollista käydä venäläisellä valuutalla verkkokaupan tulee noudattaa Venäjän lainsäädäntöä.

Miten yritys voi varmistaa noudattavansa Venäjän kansalaisten henkilötietoja koskevaa lainsäädäntöä?
  1. Henkilötietojen keräys ja tallennus tulee tapahtua Venäjän maan rajojen sisäpuolella. Näinollen tietokantojen, jonne tallennetaan Venäjän kansalaisen henkilötietoja, tulee sijaita fyysisesti Venäjällä. Tiedot on kuitenkin mahdollista replikoida tiettyjen periaatteiden mukaisesti Venäjän ulkopuolelle
  2. Kaikki muutokset, päivitykset ja poistot koskien Venäjän kansalaisten henkilötietoja tulee tapahtua ensin Venäjän maan rajojen sisäpuolella sijaitsevaan tietokantaan.
  3. Lainsäädäntö koskee vain tietokantoja, jonne tallennetaan henkilötietoja. Tietojärjestelmissä, jotka sijaitsevat Venäjän ulkopuolella, voidaan siirtää Venäjän kansalaisten henkilötietoja, jos varmistutaan siitä, että ensisijainen tietokanta on Venäjän maaperällä. 
Konkreettisia toimenpiteitä:
  1. Selvitä, mitä henkilödataa Venäjällä toimiva yritys käsittelee ja laadi henkilötietoinventaari, jossa eritellään henkilötiedot tietokannoittain. Identifioi, henkilötietojen käyttötarkoitus sekä elinkaari.
  2. Selvitä, mitkä jo käytössä olevat käytännöt noudattavat Venäjän datalokalisaatio lain periaatteita
  3. Laadi puuttuva dokumentaatio sekä prosessit
  4. Identifioi mahdollinen tekninen ratkaisu esimerkiksi paikalliselta palveluntarjoajalta
  5. Ilmoita Venäjän televalvontaviranomaiselle Roskomnadzorille henkilödataa prosessoivan tietokannan tarkka sijainti 
Kahden tietokannan ylläpitäminen, johon on pääsy niin Venäjältä kuin Venäjän rajojen ulkopuolelta ei ole sallittua. Tietokantakopiota saa kuitenkin säilyttää Venäjän rajojen ulkopuolella sovellettaessa erityisehtoja. Tässä tapauksessa ensisijainen tietokanta, jonne voi tehdä muutoksia, säilyy Venäjällä. Venäjän maaperällä sijaitsevaa tietokantaa on myös mahdollista hallinnoida etäyhteydellä Venäjän rajojen ulkopuolelta.
Viime vuosien aikana yritykset, jotka käsittelevät Venäjän kansalaisten henkilötietoja ovat varautuneet tuleviin muutoksiin eri tavoilla. Suuryritykset kuten Microsoft, Samsung, Booking.com ja eBay ovat siirtäneet Venäjän kansalaisten henkilötietoja keräävät tietokannat Venäjälle. Moni yritys ylläpitää kahta tietokantaa niin Venäjän maaperällä kuin Venäjän rajojen ulkopuolella. Tässä tapauksessa on muistettava, että kaikki muutokset tulee kohdistaa ensiksi Venäjällä sijaitsevaan tietokantaan, jonka jälkeen muutokset voidaan tehdä Venäjän rajojen ulkopuolella sijaitsevaan kopio-versioon. On myös mahdollista ylläpitää ensisijaista tietokantaa Venäjän maaperällä ja tämän jälkeen siirtää anonymisoitua tietoa muihin tietokantoihin, jotka sijaitsevat Venäjän rajojen ulkopuolella. Tässä tapauksessa on kiinnitettävä huomiota siihen, ettei henkilö ole siirron jälkeen millään tavalla tunnistettavissa.
Venäjän datalokalisaatiolailla on yhteisiä piirteitä EU:n alueella toukokuussa 2018 voimaan tulleen EU:n yleisen tietosuojalainsäädännön (GDPR). Niin Venäjän datalokalisaatiolain sekä GDPR:n tarkoituksena on turvata yksilön henkilötiedot, yhtenäistää henkilötietojen käsittelyn sääntely, selkeyttää toimivaltakysymyksiä, tehostaa viranomaisyhteistyötä ja velvoittaa rekisterinpitäjät toimimaan suunnitelmallisesti sekä osoittaa tällä tavoin toimiensa vaatimustenmukaisuus.

-Wanda Wallgren