W Rosji wprowadzono poprawki do ustawy “О персональных данных” и “Об информации, информационных технологиях и о защите информации Подробности”. Usługodawcy kierujący swoje e-usługi do obywateli Rosji będą zobowiązani do przechowywania ich danych na terenie Rosji.
Prawo, Internet, Rosja
Dokładniej nowe przepisy zakładają nie tylko obowiązek retencji danych osobowych o obywatelach Rosji, ale idą o krok dalej. Jaki? Dostawcy usług globalnych czy też dedykowanych do obywateli Rosji będą zobowiązani do przechowywania danych osobowych na temat swoich rosyjskich klientów na serwerach, które muszą być zlokalizowane na terytorium Federacji Rosyjskiej.
W praktyce oznacza to zatem potrzebę co najmniej dzierżawy infrastruktury IT na terenie tego kraju albo zbudowanie własnego data center (dotyczy rzecz jasna większych dostawców).
Jest to bardzo poważny i niepokojący sygnał. Jeżeli dostawca nie dostosuje się do nowych przepisów, które zaczną obowiązywać, trafi na czarną listę Roskomnadzora (rządowej agencji nadzoru nad technikami informacyjnymi i komunikacją). Agencja ta będzie miała możliwość zablokować dostęp do e-usługi (na wzór notice and take down) i prowadzić rejestr zagranicznych dostawców.
Jest to bardzo restrykcyjne prawo, które być może zacznie obowiązywać w 2016r. Wszystko zależy od tego czy zostanie przyjęte przez wyższą Radę Federacji (wyższą Izbę Parlamentu Rosji), a następnie zaakceptowane przez Prezydenta. Choć mało prawdopodobne by Duma robiła cokolwiek bez wiedzy i zgody tych organów.
Jeżeli nowe przepisy zaczną obowiązywać to dotkną m.in. dostawców usług poczty elektronicznej, hostingu, serwisów społecznościowych, e-sklepów i wszelkiego typu dostawców usług chmurowych, którzy kierują swoje usługi globalnie – w tym rzecz jasna do obywateli Rosji.
Czyli być może Ciebie.
Kompletnie nie przemawiają do mnie argumenty, że nowe prawo ma pomóc w walce z terroryzmem, chronić obywateli przed kradzieżą tożsamości czy też ograniczyć sięganie po dane służbom specjalnym.
Wręcz przeciwnie jest to klasyczny przykład:
Nie napisałabym tak gdyby ograniczanie do przetwarzania danych na serwerach zlokalizowanych na terenie Federacji Rosyjskiej dotyczyło np. przetwarzania danych o charakterze informacji niejawnych czy też danych objętych szczególnego rodzaju tajemnicami czy też strategicznymi z punktu widzenia ochrony państwa. Powiedziałabym wtedy, że jest to uzasadnione i racjonalne działanie.
Jednak tutaj mówimy o danych osobowych zwykłych! Czyli np. danych osoby, która kupiła zegarek w e-sklepie albo korzysta z aplikacji społecznościowej nie wpisując przy tym żadnych wrażliwych danych.
A co z serwisami transakcyjnymi? One spełniają wyjątkowo restrykcyjne wymagania jeżeli chodzi o ochronę danych + mają certyfikację PCI DSS. Nowe przepisy nie przewidują jednak jakichkolwiek wyłączeń w zakresie dopuszczalności przetwarzania danych osobowych obywateli Rosji poza Rosją przy spełnieniu określonych warunków (np. związanych z bezpieczeństwem przechowywania i kontrolą dostępu do danych, certyfikacją etc.).
Jakby tego było mało dostawcy, którym zależy na utrzymaniu zgodności będą musieli (o ile przepisy zaczną obowiązywać) poinformować Roskomnadzora o adresie fizycznej lokalizacji serwerów!
Osobiście liczę na to, że te przepisy nie zaczną obowiązywać. Gdyby jednak tak się stało to będzie oznaczało duże wydatki pod stronie dostawców albo duże straty z tytułu upływu klientów. Nie wspominając już o prawach wolnościowych.
“Złośliwcy” żartują, że nie będzie można oglądać rosyjskich kierowców na YouToube. Jednak raczej tak się nie stanie. Nowe prawo rosyjskie dotknie najbardziej pojedynczych developerów i startupy. Chyba, że zdecydują się oni na dzierżawę serwerów.
Autor grafiki promującej wpis: Virgil Pana