Datalokalisaatio – A New Russian Standard

russian-standard-tisuTietosuojauutiset.fi:n vierailevien kirjoittajien sarjassa jatkaa Ville Vainio, joka on seurannut Venäjän tietosuojalainsäädännön kehitystä suurella mielenkiinnolla jo pidempään. Ville kirjoittaa tällä kertaa Venäjän datalokalisaatiolainsäädännöstä.

Datalokalisaatio – A New Russian Standard

Euroopan Union ja Yhdysvaltain välisen Privacy Shield –tiedonsiirtojärjestelmän muovauduttua kesän 2016 aikana kollega Tuomas Latola suuntasi kattavissa Tietosuojauutiset.fi -artikkeleissaan katseen kohti Kiinaa ja pohti itäisen suurvallan asemaa osana Internetin ja sähköisen kaupankäynnin tulevaisuutta. Meidän ja kiinalaisen tulevaisuuden väliin mahtuu kuitenkin yli 3 700 kilometriä venäläistä nykyisyyttä, ja monen monta palvelinsalia.

Vuoden 2013 Edward Snowdenin NSA-massavalvontapaljastusten myötä valtiot ympäri maailman alkoivat kiinnittää suuresti huomiota siihen, missä heidän kansalaistensa henkilötietoja käsitellään ja kenen toimesta. Yhtäältä valtioilla on halu suojata oikeutta yksityisyyteen ja EU:n tasolla tunnustettua perusoikeutta henkilötietojen suojaan. Tästä syystä esimerkiksi Euroopan unionin tuomioistuin katsoi lokakuussa 2015 EU:n ja USA:n välisen Safe Harbor –tiedonsiirtojärjestelmän pätemättömäksi. Syy tähän oli yksinkertaistaen se, että Yhdysvaltain tiedusteluviranomaisilla oli kansallisen turvallisuuden nojalla pääsy EU:n kansalaisten siirrettyihin henkilötietoihin, mikä loukkasi EU-kansalaisten oikeuksia. Toisaalta henkilötietojen siirtorajoitusten taustalla on nähtävissä valtioiden halu turvata tiedollinen suvereniteettinsa kontrolloimalla tarkemmin kansalaistensa henkilötietoja

What happens in Russia, is stored in Russia

Tätä jälkimmäistä tavoitetta tiukentaa otetta henkilötiedoista ilmentää vahvasti Venäjän syyskuussa 2015 voimaan astunut datalokalisaationa tunnettu lakimuutos. Sen myötä Venäjän kansalaisten henkilötietoja käsittelevien, myös ulkomaisten rekisterinpitäjien on täytynyt kerätä ja käsitellä kyseisiä tietoja Venäjällä sijaitsevissa tietokannoissa. Mikäli yritys suuntaa toimintaansa venäläisille asiakkaille – esimerkiksi tarjoamalla tuotteita verkkokaupassa – on sen noudatettava lainsäädäntöä. Tiedoista saa kuitenkin pitää kopioita Venäjän rajojen ulkopuolellakin, mikäli rekisteröidyltä on tähän pyydetty suostumus.

Vaatimus datan lokalisoinnista Venäjälle on ymmärrettävästi hämmentänyt Venäjällä toimivia länsiyhtiöitä – Boreniuksen Pietarin toimiston IT-praktiikan juristi Pavel Savitskykertoi Kauppalehdelle (KL 1.4.2016) epätietoisten yhteydenottojen runsaasta määrästä asian tiimoilta. Tietoviikko uutisoi datalokalisaatiolain voimanastumispäivänä 1.9.2015 lain vaikutuksista suomalaisten suuryritysten kanta-asiakastietojärjestelmiin, joiden tietojen säilöminen Venäjällä sijaitseville palvelimille luonnollisesti vaatii hallintobyrokratiaa ja lisää kustannuksia.

Rikkomus ja rangaistus

Laki on kuitenkin tehokas vain, mikäli sen noudattamista valvotaan. Monitulkintaisesti kirjoitetut datalokalisaatiopykälät saivat monet arvuuttelemaan, millaisiin toimenpiteisiin Venäjän tietosuojaviranomainen Roskomnadzor ryhtyy lain noudattamisen varmistamiseksi. Lainsäädäntö sinänsä mahdollistaa 5,000-10,000 ruplan (noin 140€) hallinnollisten sakkojen antamiseen jokaisesta todennetusta rikkomuksesta – hurjimmat arviot esittivät, että todennettu rikkomus laskettaisiin jokaisen henkilörekisterissä olevan rekisteröidyn määrällä. Summasta kertyisikin huomattava, jos kanta-asiakkaiden rekisterissä on esimerkiksi satoja tuhansia uskollisesti suomalaisia maitotuotteita nauttivia venäläisiä.

Vastoin ennakkoluuloja Roskomnadzorin suhtautuminen uuden lainsäädännön yhtiöille tuomiin haasteisiin on kuitenkin ollut ensi tietojen mukaan ymmärtäväistä. Kesäkuuhun 2016 mennessä 645 yritystä oli tarkastettu, joista vain neljän oli todettu rikkoneen datalokalisaatiovaatimuksia. Näillekin yrityksille annettiin kuusi kuukautta aikaa korjata rikkomuksensa, joten ainakaan vielä kovin ankarasta valvontalinjasta ei voida puhua.  Näitä lukuja tarkastellessa on kuitenkin syytä huomata, että tarkastuksen kohteena ovat alkuvaiheessa pääosin venäläiset pk-yritykset.

Roskomnadzor on ilmoittanut suorittavansa vuoden 2016 aikana kaikkiaan 1500 tarkastusta yhtiöihin datalokalisaatiovaatimusten noudattamisen varmistamiseksi. Facebookin ja Twitterin kaltaisten sosiaalisten median jättien vuoro joutua auditoiduksi on myöhemmin. Yhdysvaltalaisista suuryrityksistä Apple ilmoitti jo pian lain voimaantulon jälkeen, että se pystyttää palvelimia Moskovassa sijaitsevaan datakeskukseen. Tulevaisuus näyttää, millaisia valvontatoimenpiteitä viranomaiset kohdistavat jatkossa henkilötietoja käsitteleviin yhtiöihin lain noudattamisen varmistamiseksi.

Lokaalin datan kaksijakoiset kustannukset

Halu suojella kansalaisten henkilötietoja ja yksityisyyden suojaa muulta maailmalta datalokalisaation muodossa ei kuitenkaan koidu koko kansakunnan yhteiseksi hyväksi, sillä vaatimukset rajoittavat myös venäläisten yhtiöiden mahdollisuuksia käyttää tehokkaita ulkomaisia tietojenkäsittelypalveluita. Tämä johtaa muun ohella tuottavuuden heikkenemiseen ja viime kädessä vaikuttaa negatiivisesti kansantalouteen. Arvioiden mukaan datalokalisaation hintalappu Venäjän kansantaloudelle olisi jopa 286 miljardia ruplaa (5 miljardia euroa). Muista valtioista esimerkiksi Brasilia on jo hylännyt aikeet datalokalisaatiolainsäädännöstä juuri sen negatiivisten taloudellisten vaikutusten takia.

Lisäksi venäläisten henkilötietojen ja yksityisyyden suojan turvaamista datalokalisaation tavoitteena on pidetty kyseenalaisena. Tänä vuonna Venäjällä voimaan astunut Jarojava-lainsäädäntö nimittäin velvoittaa tele- ja verkko-operaattorit säilömään valtavat tietomassat tiedusteluviranomaisten käyttöön. Lainsäädännön perusteella Venäjän turvallisuuspalvelu FSB:lla on pääsy sähköiseen viestintään tapauksissa, joissa epäillään valtiopetosta. Esimerkiksi sosiaalisten median palveluntarjoajien on täytynyt tämän nojalla luovuttaa salattujen tietojen salausavaimet tiedusteluviranomaisille, ja muitakin tallennettuja tietoja tiedusteluviranomaisten pyynnöstä.

Datalokalisaatiovaatimukset käyvät kalliiksi yhtäältä informaatioteknologiasektorille sekä viime kädessä koko kansantaloudelle. Lisäksi tuore Venäjän tiedustelulainsäädäntö, joka yhdessä datalokalisaatiovaatimusten kanssa mahdollistaa henkilötietojen tehokkaan tarkkailemisen kansalaisten yksityisyyden suojan kustannuksella on osa globaalia jatkumoa yksityishenkilöiden tietosuojan ja kansallisten turvallisuusintressien kädenväännössä.