Ny russisk lov om opbevaring af data om russiske statsborgere i Rusland

Danske virksomheder med datterselskaber i Rusland skal være opmærksomme på nye, skærpede krav, der indebærer at data om russiske statsborgere skal opbevares i Rusland. Det er konsekvensen af en ny russisk lov om dataopbevaring, som trådte i kraft den 1. september 2015.

Danske virksomheder med datterselskaber i Rusland skal opbevare alle oplysninger om russiske statsborgere, som virksomheden registrerer, indsamler, modtager, opbevarer og behandler, på servere i Rusland.

Efter at den omtvistede og kontroversielle lov blev vedtaget, opstod der usikkerhed om de nærmere konsekvenser af loven. Det skyldtes, at loven er uklar på en række punkter, herunder om loven gælder både for russiske og ikke-russiske virksomheder, og om det vil være tilladt at opbevare oplysninger på mere end én server, så oplysninger om russiske statsborgere også kunne opbevares på servere i andre lande.

Selvom loven trådte i kraft i sidste uge, er det sparsomt med fortolkningsbidrag fra det russiske datatilsyn (Roskomnadzor). Tilsynsmyndigheden har dog fastslået, at loven gælder for alle virk-somheder (både russiske og ikke-russiske), der er etableret i Rusland (dvs. eksempelvis dattersel-skaber). Derudover skal alle oplysninger om russiske statsborgere opbevares på en primær server i Rusland. Oplysningerne kan efterfølgende spejles til sekundære servere placeret uden for Rusland.

Uofficielle retningslinjer fra myndighederne
Én måned inden loven trådte i kraft, offentliggjorde det russiske Kommunikationsministerium (overordnet myndighed til det russiske datatilsyn) nogle uofficielle guidelines på sin hjemmeside.

Heraf fremgår det blandt andet, at kravet om opbevaring af oplysninger i Rusland kun gælder for virksomheder, som er etableret i Rusland, og at reglerne ikke får tilbagevirkende kraft.

Dermed kan oplysninger om russiske statsborgere, der er indsamlet før, at loven trådte i kraft, fortsat opbevares på servere i andre lande, så længe dataene ikke opdateres eller ændres. Hvis dataene opdateres eller ændres, vil disse blive omfattet af kravet om opbevaring på russisk territorium.

Konsekvenser for virksomhederne
Den praktiske konsekvens af de nye russiske regler om dataopbevaring er, at ”danske” koncerner med russiske datterselskaber, som eksempelvis lagrer oplysninger om ansatte og kunder på centrale servere eller i cloudløsninger, er forpligtede til at udskille oplysninger om russiske statsborgere bosat i Rusland. Disse oplysninger skal lagres på en primær server i Rusland, inden de efterfølgende spejles til den centrale server i koncernen eller i koncernens cloud-løsning.

Loven gælder derimod som udgangspunkt ikke for selskaber, som ikke er etableret i Rusland. Visse internetaktiviteter vil dog være omfattet af loven. Det kan eksempelvis være hjemmesider, som ejes og administreres af et ikke-russisk selskab, men som er rettet mod russiske forbrugere (eksempelvis hvis sproget på hjemmesiden er russisk), eller hjemmesider med et russisk top level-domæne (.ru, .su, .moscow eller lignende).

Derudover omfatter reglerne ikke behandling af personoplysninger i form af gennemsyn, fx på en computerskærm, eller overførsel af personoplysninger i e-mails. Denne undtagelse har den kon-sekvens, at oplysninger om russiske statsborgere bosat i Rusland ikke skal lagres på primære servere i Rusland, men godt kan lagres på fx en central mailserver i en koncern.

Konsekvens af manglende overholdelse
Den væsentligste konsekvens, hvis selskaber etableret i Rusland ikke overholder de nye russiske regler, er, at de russiske myndigheder kan blokere for adgangen til selskabets hjemmeside i Rusland.

Bødeniveauet er beskedent (op til cirka 2.000 kroner), dog uden at det er afklaret, om der udstedes samlet bøde for overtrædelse af reglerne, eller om der udstedes én bøde pr. overtrædelse.

Det russiske datatilsyn har meddelt, at det planlægger godt 300 inspektioner hos virksomheder i løbet af 2015.

 

---