Закон № 152-ФЗ «О персональных данных» защищает сведения о человеке, по которым его можно идентифицировать: от имени и фамилии до номера телефона.
По закону, получать, хранить, обрабатывать и передавать такую информацию можно только с прямого согласия владельца этих данных. Если проигнорировать это требование, придется заплатить штраф до 1,5 млн рублей.
Если базу данных взломают, и информация попадет в руки хакеров, штрафы еще выше — до 500 млн рублей.
Читайте также: Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска.
Причем тут гугл-формы
С 2015 года действуют поправки к закону о персональных данных, по которым работать с персональными данными можно только через базы данных, находящиеся в России (ФЗ № 242).
Если вы передаете персональные данные за границу или храните их на иностранной платформе — это называется трансграничной передачей данных, и для нее действуют свои правила.
По закону, перед отправкой данных нужно:
Собрать все необходимые данные в России.
Отправить уведомление в Роскомнадзор с указанием страны, в которую передадите данные.
Запросить у владельца данных отдельное разрешение отправить информацию за границу.
При этом Роскомнадзор может запретить или ограничить передачу данных, если сочтет, что для этого есть основания.
Читайте также: Ошибки работодателя по работе с персональными данными при найме, которые приведут к штрафу 700 000 ₽.
Серверы Google расположены в разных регионах по всему миру, и информация о его пользователях обрабатывается в разных странах.
При этом данные точно не будут храниться в России, поскольку компания ушла из РФ.
Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?
Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора
Оставьте заявку, мы перезвоним
Штрафы за нарушение закона
За нарушение правил трансграничной передачи данных грозят штрафы по ч. 1 ст. 13.11 КоАП:
должностным лицам ― от 10 000 до 20 000 рублей;
юрлицам ― от 60 000 до 100 000 рублей.
Штрафы за повторное нарушение:
для должностных лиц ― от 20 000 до 50 000 ₽;
для ИП — от 50 000 до 100 000 рублей;
для юрлиц ― от 100 000 до 300 000 рублей.
Кроме того, согласно п. 1 ст. 1 ФЗ № 242, нарушителей включают в особый реестр, который находится на сайте Роскомнадзора.
Как собирать данные клиентов и хранить их
Собирать персональные данные клиентов, сотрудников и кандидатов на работу необходимо только с их согласия, а хранить — либо на собственных серверах, либо у российского подрядчика.
Для онлайн-анкет можно либо разработать свои формы сбора данных, либо использовать российские облачные сервисы — например, Яндекс.Формы.
Организуйте хранение и обработку персональных данных правильно:
Назначьте одного или нескольких сотрудников, ответственных за организацию обработки персональных данных. Подпишите приказ о его назначении и составьте для него инструкцию о работе с данными. Доступ к данным должен быть только у них.
Составьте необходимые документы: Положение о работе с персональными данными, Положение о неразглашении, Соглашение на обработку персональных данных.
Проверьте расположение серверов своего провайдера: они должны входить в реестр зарегистрированных в России.
Подготовьте ИТ-инфраструктуру для хранения данных, в том числе DLP-систему, которая отслеживает все информационные потоки и блокирует подозрительные действия.
Подайте уведомление в Роскомнадзор о сборе и обработке персональных данных.
Чтобы передать данные за границу, например, для бронирования отеля для сотрудника, сначала определите, присоединилась ли страна, в которую вы передадите данные, к Конвенции «О защите физических лиц при автоматизированной обработке персональных данных». Список таких стран перечислен в приказе Роскомнадзора № 128 от 05.08.2022 года.
Если страна присоединилась к Конвенции (например, это Грузия, Германия, Турция), подайте уведомление в Роскомнадзор о передаче данных, запросите согласие у пользователя и передавайте данные. Чтобы получить согласие, достаточно, чтобы сотрудник поставил «галочку» в соответствующем поле анкеты.
Если страна к Конвенции не присоединилась (например, США):
получите у представителя зарубежной базы данных информацию о правовом регулировании в области персональных данных, о мерах защиты данных и условиях их уничтожения;
отправьте уведомление в Роскомнадзор и дождитесь ответа в течение 10 рабочих дней. Весь этот период передавать данные за рубеж нельзя;
запросите у пользователя отдельное согласие с указанием страны, в которую вы отправьте данные и цели передачи.
При уничтожении персональных данных, например, по требованию клиента или сотрудника, обязательно подтверждайте это актом об уничтожении или выгрузкой из журнала регистрации событий.
Настроим работу с персональными данными с нуля
Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор
Реклама: ООО «ПЭБ», ИНН 5904400185, erid: LjN8JyxPo
Начать дискуссию