HomeGlobe Magazine artikelRussische privacywetgeving

Russische privacywetgeving

19 april 2016 - Araltan Mandzhiev - Lodewijk Schlingemann

Download artikel | Download uitgave (globe magazine, april 2016)

Recente wetswijzigingen in Rusland kunnen invloed hebben op de activiteiten van Nederlandse bedrijven of zij in Rusland gevestigd zijn of niet. Het betreft de op 1 september 2015 in werking getreden wijzigingen in twee Russische wetten: de wet "Op persoonlijke gegevens" (No. 152-FZ) en de wet "Op informatie, informatietechnologie en bescherming van informatie" (No. 149-FZ).

De eerstgenoemde wijziging introduceerde het nieuwe vereiste dat "bij het vergaren van persoonlijke gegevens, ook via internet, de operator ervoor moet zorgen dat het opnemen, systematiseren, accumuleren, opslaan, rectificeren (updaten, wijzigen) en het inzage geven in persoonlijke gegevens betreffende personen met de Russische nationaliteit wordt uitgevoerd met gebruik van databases welke zich bevinden op het grondgebied van Rusland". Dit wordt ook wel aangeduid als het ‘lokaliteitsvereiste'. Deze wet gaf het overheidsorgaan belast met het toezicht op persoonlijke gegevens bovendien de nieuwe bevoegdheid om "de toegang tot informatie die is totstandgekomen met overtreding van de Russische wetgeving op het gebied van persoonlijke gegevens te beperken". Aan de als tweede genoemde wet werd een artikel toegevoegd dat de procedure beschrijft tot het beperken van de toegang tot informatie die is totstandgekomen met overtreding van de Russische wetgeving op het gebied van persoonlijke gegevens. Het gaat hier dus om de ‘straf' voor het niet voldoen aan het lokaliteitsvereiste.

Compliance vragen

Hoewel deze kleine wijzigingen versneld en zonder enige uitleg of discussie werden ingevoerd, leidden zij in de zakengemeenschap tot vele vragen over de implementatie en de toepassing ervan. Het Russische ministerie van telecommunicatie (hierna ‘ministerie') geeft op zijn officiele website zijn eigen interpretatie van de nieuwe bepalingen en beantwoordt er vragen van bedrijven, wetenschappelijke organisaties en overheidsagentschappen. Wij zullen hier de belangrijkste en meest interessante daarvan weergeven. Op dit moment is de genoemde website de beste bron van informatie. Ten eerste omdat zij afkomstig is van het orgaan dat belast is met de uitvoering van deze wet en ten tweede omdat de wetgeving nog zo nieuw is dat er nog geen jurisprudentie over bestaat.

  • Volgens de interpretatie van het ministerie is het nieuwe vereiste ook van toepassing op buitenlandse organisaties die geen fysieke aanwezigheid hebben in Rusland, als hun activiteiten gericht zijn op Rusland. De vraag of een website gericht is op Rusland kan aan de hand van de volgende omstandigheden worden beantwoord: 1) het gebruik van een domeinnaam, die verband houdt met Rusland of een deel van Rusland (.ru, рф., .su, .moscow, .москва., en dergelijke) en/of 2) aanwezigheid van een Russische taalversie op de site in combinatie met a) de mogelijkheid om betalingen te doen in Russische roebels of ii) andere omstandigheden die duidelijk wijzen op de intentie om de Russische markt in de business strategie op te nemen.

  • Persoonlijke gegevens die per ongeluk ontvangen (niet opgevraagd) zijn door een operator, bij voorbeeld door de ontvangst van een email met persoonlijke gegevens van de afzender, vallen niet onder het lokaliteitsvereiste. Hetzelfde geldt voor bedrijven die tijdens het uitvoeren van hun normale activiteiten persoonlijke informatie ontvangen in de vorm van contactinformatie van werknemers of van vertegenwoordigers van andere bedrijven.

  • De vraag hoe de nationaliteit moet worden vastgesteld van iemand wiens persoonlijke gegevens het betreft wordt niet beantwoord in de wet. Het ministerie is van mening dat de wetgever de operators de mogelijkheid heeft gelaten om deze vraag onafhankelijk te beantwoorden met inachtneming van de specifieke aspecten van hun activiteiten. Het ministerie adviseert om in het geval dat de operator de nationaliteitskwestie niet onafhankelijk kan beslissen het nieuwe vereiste toe te passen op alle persoonlijke gegevens welke de operator heeft verzameld op het grondgebied van Rusland.

  • Volgens het ministerie is het lokaliteitsvereiste niet van toepassing op de activiteiten van Russische en buitenlandse luchtvaartmaatschappijen indien deze de persoonlijke gegevens van Russische burgers (passagiers) verzamelen en verwerken in het kader van boekingen voor de uitgifte van vliegtickets, baggage checks en andere vergelijkbare documenten.

  • Naar onze mening was de meest interessante vraag die aan het ministerie werd gesteld of het is toegestaan om persoonlijke gegevens van Russische burgers in het buitenland op te slaan indien er een kopie van de database wordt bijgehouden op het grondgebied van Rusland (of omgekeerd, als de persoonlijke database in het buitenland een kopie is van een database in Rusland) of dat het verwerken en opslaan van persoonlijke gegevens op het grondgebied van een andere staat principieel verboden is. Het ministerie verklaarde dat de wet geen onderscheid maakt tussen een ‘hoofd database' en een ‘kopie' daarvan, en dat de wet ook geen algemeen verbod bevat om persoonlijke gegevens van Russische staatsburgers te verwerken op databases buiten Rusland. Het ministerie concludeert dan ook dat de opslag en verwerking van persoonlijke gegevens van Russische staatsburgers gedaan kan worden met behulp van een database welke zich bevindt buiten Russisch grondgebied mits er tegelijk een database is in Rusland welke gebruikt wordt voor de opslag en verwerking van persoonlijke gegevens en de zich in Rusland bevindende database niet minder gegevens bevat dan de database buiten Rusland.

En in geval van non-compliance...

De procedure voor het limiteren van de toegang tot informatie die is totstandgekomen met overtreding van de Russische wetgeving op het gebied van persoonlijke gegevens bestaat uit verschillende stappen. Het uiteindelijke resultaat van de procedure is blokkering van de toegang van internetgebruikers tot de domeinnaam of de internetsite van de overtreder, zijn netwerkadres en site index paginas. Het goede nieuws is dat het overheidsagentschap alleen tot die actie kan overgaan op basis van een onherroepelijk gerechtelijk besluit waarbij de overtreding van deze wet is vastgesteld. Deze procedure is natuurlijk vooral erg belangrijk voor bedrijven die hun geld verdienen door middel van internetsites, zoals internetshops of sociale netwerken. Maar let op! Bedrijven die andere business strategieen hebben en die niet afhankelijk zijn van het internet moeten ook oppassen. Er staan allerlei boetes op overtreding van wetgeving op persoonlijke data die al bestond voordat de recente wijzingen ingingen. Deze reeds bestaande boetes zouden ook best van toepassing kunnen worden verklaard op overtreding van het nieuwe lokaliteitsvereiste.

Met vragen over de toepasselijkheid van het beschreven lokaliteitsvereiste of de reikwijdte van mogelijke aansprakelijkheid in dit verband kunt u altijd bij ons terecht.

Over de auteurs

Araltan Mandzhiev, Senior Lawyer en Lodewijk Schlingemann, Partner bij Juralink

www.juralink.nl

Terug naar het overzicht
  • NL Exporteert: Download de app nu

    app screenshot 
     
    Download on the App Store Badge US-UK 135x40
     
    en app rgb wo 45