Do niedawna Federacja Rosyjska posiadała system ochrony danych pod wieloma względami zbliżony do prawa obowiązującego w Unii Europejskiej. Definicje danych osobowych, danych wrażliwych, przetwarzania oraz administratora danych (w Rosji znanego pod pojęciem „operator”), zasady przetwarzania danych, wymagania dotyczące bezpieczeństwa danych czy też obostrzenia dotyczące transferów – wszystkie te, doskonale nam znane, elementy europejskiego systemu ochrony danych są obecne na gruncie rosyjskiej ustawy z 2006 o ochronie danych osobowych.
Przełomowym był rok 2014, kiedy prezydent Wladimir Putin podpisał kontrowersyjną poprawkę do tejże ustawy, wprowadzającą tzw. prawo lokalizacji danych. Wymaga ono, aby wszelkie dane osobowe zbierane od obywateli Federacji Rosyjskiej były przetwarzane w bazach danych znajdujących się na jej terytorium. Prawo to ma ekstraterytorialny zasięg zastosowania i nakłada takie same obowiązki na wszystkich operatorów, bez względu na to, czy posiadają oni siedzibę na terenie Federacji Rosyjskiej, czy też nie. Jednocześnie, rosyjski organ nadzorczy (Roskomnadzor) otrzymał uprawnienia pozwalające egzekwować nowe przepisy, takie jak np. możliwość blokady stron internetowych. Odkąd zaczęła obowiązywać poprawka, a więc od 1 września 2015, Roskomnadzor skrupulatnie przygląda się działalności zarówno lokalnych jak i zagranicznych firm pod kątem zgodności z wymaganiami dotyczącymi lokalizacji danych. Jednym z najbardziej znamiennych przykładów jest zablokowanie (na podstawie wyroku moskiewskiego sądu) rosyjskim użytkownikom dostępu do portalu Linkedln (listopad 2016) po tym, jak należąca do grupy Microsoft firma nie uznała ekstraterytorialności przepisów i odmówiła przeniesienia swoich serwerów na teren Federacji, argumentując, że nie posiada na jej terenie żadnego przedstawicielstwa, a użytkownicy korzystają z portalu zupełnie dobrowolnie. Jednocześnie regulator zapowiedział, że będzie bezwzględnie egzekwował nowe przepisy.
Wobec powyższego, interesujące wydaje się stanowisko Rosji wobec ekstraterytorialności RODO. Szef Roskomnadzor, Alexander Zharov, skomentował je na organizowanej 9 listopada 2017 konferencji w Moskwie. Według niego, unijne rozporządzenie nie powinno mieć zastosowania wobec operatorów z siedzibą w Rosji, o ile samo przetwarzanie danych osobowych nie ma miejsca na terytorium UE. Dokładną odpowiedź dotyczącą praktyki egzekwowalności wymagań RODO w Rosji poznamy po jego wejściu w życie, ale według Zharov’a należy tę kwestię uregulować umową międzynarodową.
Co ciekawe, jednocześnie widoczna jest w Rosji dalsza tendencja do wprowadzania pewnych rozwiązań na wzór europejski, takich jak na przykład prawa do bycia zapomnianym (w mocy od 1 stycznia 2016) oraz rozszerzenie kompetencji Roskomnadzor o możliwość nakładania kar finansowych (obowiązuje od 1 lipca 2017).
