Защита персональных данных

Штрафы до 300 000 рублей за сбор данных через гугл-формы и другие нюансы ФЗ №152

Разбираемся, в каких случаях можно вести гугл-таблицы с базами данных клиентов и собирать сведения о них через гугл-формы, а в каких — нет, и какие последствия грозят тем, кто нарушает закон. 
Штрафы до 300 000 рублей за сбор данных через гугл-формы и другие нюансы ФЗ №152
Иллюстрация: Вера Ревина/Клерк.ру

Закон № 152-ФЗ «О персональных данных» защищает сведения о человеке, по которым его можно идентифицировать: от имени и фамилии до номера телефона. 

По закону, получать, хранить, обрабатывать и передавать такую информацию можно только с прямого согласия владельца этих данных. Если проигнорировать это требование, придется заплатить штраф до 1,5 млн рублей.

Если базу данных взломают, и информация попадет в руки хакеров, штрафы еще выше — до 500 млн рублей.

Читайте также: Рост штрафов до 500 млн ₽ за утечки персональных данных: кто в зоне риска.

Причем тут гугл-формы

С 2015 года действуют поправки к закону о персональных данных, по которым работать с персональными данными можно только через базы данных, находящиеся в России (ФЗ № 242).

Если вы передаете персональные данные за границу или храните их на иностранной платформе  — это называется трансграничной передачей данных, и для нее действуют свои правила. 

По закону, перед отправкой данных нужно:

  1. Собрать все необходимые данные в России.

  2. Отправить уведомление в Роскомнадзор с указанием страны, в которую передадите данные.

  3. Запросить у владельца данных отдельное разрешение отправить информацию за границу. 

При этом Роскомнадзор может запретить или ограничить передачу данных, если сочтет, что для этого есть основания.

Читайте также: Ошибки работодателя по работе с персональными данными при найме, которые приведут к штрафу 700 000 ₽.

Серверы Google расположены в разных регионах по всему миру, и информация о его пользователях обрабатывается в разных странах. 

Скриншот фрагмента Положения о конфиденциальности Google Docs

При этом данные точно не будут храниться в России, поскольку компания ушла из РФ. 

Хотите защитить свой бизнес от штрафов на 1,5 млн от Роскомнадзора?

Возьмем на себя все заботы о персональных данных и защитим от претензий Роскомнадзора

Оставьте заявку, мы перезвоним

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Штрафы за нарушение закона

За нарушение правил трансграничной передачи данных грозят штрафы по ч. 1 ст. 13.11 КоАП:

  • должностным лицам ― от 10 000 до 20 000 рублей; 

  • юрлицам ― от 60 000 до 100 000 рублей.

Штрафы за повторное нарушение:

  • для должностных лиц ― от 20 000 до 50 000 ₽; 

  • для ИП — от 50 000 до 100 000 рублей;

  • для юрлиц ― от 100 000 до 300 000 рублей.

Кроме того, согласно п. 1 ст. 1 ФЗ № 242, нарушителей включают в особый реестр, который находится на сайте Роскомнадзора.

Как собирать данные клиентов и хранить их

Собирать персональные данные клиентов, сотрудников и кандидатов на работу необходимо только с их согласия, а хранить — либо на собственных серверах, либо у российского подрядчика. 

Для онлайн-анкет можно либо разработать свои формы сбора данных, либо использовать российские облачные сервисы — например, Яндекс.Формы.  

Организуйте хранение и обработку персональных данных правильно:

  1. Назначьте одного или нескольких сотрудников, ответственных за организацию обработки персональных данных. Подпишите приказ о его назначении и составьте для него инструкцию о работе с данными. Доступ к данным должен быть только у них.

  2. Составьте необходимые документы: Положение о работе с персональными данными, Положение о неразглашении, Соглашение на обработку персональных данных.

  3. Проверьте расположение серверов своего провайдера: они должны входить в реестр зарегистрированных в России.

  4. Подготовьте ИТ-инфраструктуру для хранения данных, в том числе DLP-систему, которая отслеживает все информационные потоки и блокирует подозрительные действия.

  5. Подайте уведомление в Роскомнадзор о сборе и обработке персональных данных.

Чтобы передать данные за границу, например, для бронирования отеля для сотрудника, сначала определите, присоединилась ли страна, в которую вы передадите данные, к Конвенции «О защите физических лиц при автоматизированной обработке персональных данных». Список таких стран перечислен в приказе Роскомнадзора № 128 от 05.08.2022 года.

Если страна присоединилась к Конвенции (например, это Грузия, Германия, Турция), подайте уведомление в Роскомнадзор о передаче данных, запросите согласие у пользователя и передавайте данные. Чтобы получить согласие, достаточно, чтобы сотрудник поставил «галочку» в соответствующем поле анкеты.

Если страна к Конвенции не присоединилась (например, США):

  • получите у представителя зарубежной базы данных информацию о правовом регулировании в области персональных данных, о мерах защиты данных и условиях их уничтожения;

  • отправьте уведомление в Роскомнадзор и дождитесь ответа в течение 10 рабочих дней. Весь этот период передавать данные за рубеж нельзя;

  • запросите у пользователя отдельное согласие с указанием страны, в которую вы отправьте данные и цели передачи. 

При уничтожении персональных данных, например, по требованию клиента или сотрудника, обязательно подтверждайте это актом об уничтожении или  выгрузкой из журнала регистрации событий.

Настроим работу с персональными данными с нуля

Проведем аудит, подготовим недостающие документы и подадим уведомления в Роскомнадзор

Реклама: ООО «ПЭБ», ИНН 5904400185, erid: LjN8JyxPo

Криптовалюта

С 1 ноября 2024 года в России введены новые нормы для майнинга криптовалют

Цифровая валюта будет рассматриваться как имущество для целей налогообложения.

Начать дискуссию