Многие компании и ИП не только собирают персональные данные, но и передают их за границу. Далеко не все об этом знают, хотя даже «безобидные» данные о посетителях сайта, собранные через Google Analytics — уже считаются трансграничной передачей данных. Чтобы передавать данные за границу законно, нужно заранее получить разрешение Роскомнадзора. Расскажем, как это сделать и какие нюансы учесть.
Что значит трансграничная передача персональных данных
К трансграничной передаче данных относятся все те случаи, когда вы направляете личные данные россиян иностранным физлицам, компаниям и госструктурам. Подробные условия такой передачи закреплены статьей 12 закона 152-ФЗ.
Для осуществления трансграничной передачи данных нужно разрешение Роскомнадзора. Например, оно понадобится, если вы заключаете договоры с контрагентами из других стран, направляете сотрудников в заграничные командировки или используете сервисы сбора метрик наподобие Google Analytics.
В случае с Google нужно быть особенно внимательными — сейчас закон запрещает хранить персональные данные российских граждан на серверах, которые находятся за границей. Но стоит ли полностью отказываться от сервиса сбора метрик? Давайте разберемся.
Сервис 152DOC поможет быстро проверить сайт на соответствие новым требованиям РКН. Просто добавьте ссылку на свой сайт и сразу получите конкретные рекомендации по доработке. Сервис подскажет, на каком хостинге находится сайт, собираются ли на нем файлы cookies и какие метрические системы подключены. Узнайте больше о возможностях 152DOC и оставьте заявку на подключение.
Нужно ли срочно отказываться от сервиса Google Analytics
Google Analytics — американский сервис для сбора данных о посетителях сайта: геолокация, поведение, устройства и другое. По мнению Роскомнадзора, его использование означает трансграничную передачу персональных данных, ведь сведения о россиянах попадают прямо за границу — на сервера Google, расположенные в США и других странах. Причем зачастую такая передача происходит без явного информирования посетителей сайта, что вызывает дополнительные вопросы у проверяющих.
Важно обозначить, что сейчас нет прямого запрета на применение Google Analytics. Многие крупные компании уже получили предписания, но не из-за самого сервиса, а потому что использовали его без уведомления о трансграничной передаче данных. Делаем вывод, что на данном этапе будет достаточно уведомления. Но всё может измениться уже с 1 июля, ведь начнут действовать новые положения, которые вносят запрет на передачу данных за рубеж в момент их сбора. Многие зарубежные сервисы работают именно по такому принципу, в том числе сервисы Google.
Многие компании уже «на всякий случай» отказались от всех зарубежных сервисов и перешли на российские аналоги.
Как правильно работать с персональными данными клиентов, сотрудников, посетителей сайта. Какие требования предъявляет Роскомнадзор, как подать уведомление и какие документы выложить на сайте компании. Читайте больше полезных статей и инструкций в нашем блоге.
Как подать уведомление о трансграничной передаче данных
При намерении передавать персданные за рубеж вам необходимо получить разрешение от Роскомнадзора — для этого вы подаете специальное уведомление о намерении осуществлять трансграничную передачу ПДн. Направить его можно электронно на сайте Роскомнадзора, также разрешается распечатать форму и отправить почтой. Если подаете электронно, понадобится подтвержденный профиль на Госуслугах.
Далее вам нужно ждать 10 рабочих дней — за это время ведомство примет решение. РКН может отказать. Например, если возникнут сомнения в способности вас или иностранной компании обеспечить должную защиту данных россиян либо при наличии угрозы государственной безопасности.
Актуальный статус заявки нужно узнавать самому, РКН не присылает отдельного уведомления. Узнать, разрешили ли вам трансграничную передачу можно по этой ссылке. Понадобится номер и ключ заявки.
Важно помнить. Уведомление о трансграничной передаче данных — не то же самое, что обычная регистрация в РКН. Вы отдельно сообщаете о том, что планируете собирать персональные данные, и отдельно — что будете передавать их за границу. Это два разных уведомления со своими особенностями и принципом заполнения. Например, в уведомлении о трансграничной передаче вы заполняете цели передачи данных за границу — такого нет в «стандартном» уведомлении.
Какие штрафы за нарушения при трансграничной передаче данных
Отдельно штрафов за нарушения при трансграничной передаче нет, но наказать могут по отдельным статьям 13.11 КоАП РФ.
💰 Обрабатывали персональные данные без законных оснований
— от 50 000 до 100 000 рублей для должностных лиц;
— от 150 000 до 300 000 рублей для компаний.
📄 Часть 1 статьи 13.11 КоАП РФ.
Повторное нарушение
— от 100 000 до 200 000 рублей для должностных лиц;
— от 300 000 до 500 000 рублей для компаний.
📄 Часть 2 статьи 13.11 КоАП РФ.
💰 Не обеспечили запись и хранение персональных данных на российских серверах
— от 100 000 до 200 000 рублей для должностных лиц;
— от 1 до 6 млн рублей для компаний.
📄 Часть 8 статьи 13.11 КоАП РФ.
Повторное нарушение
— от 500 000 до 800 000 рублей для должностных лиц;
— от 6 до 18 млн рублей для компаний.
📄 Часть 9 статьи 13.11 КоАП РФ.
Если вовсе проигнорировать требования РКН, сайт могут заблокировать.
✔️ Чек-лист: что сделать перед началом трансграничной передачи
- Перенесите сервера на территорию России
Личные данные россиян не могут храниться на иностранных серверах — так гласит закон. Стоит проверить этот нюанс и при необходимости оперативно перенести всю информацию в базы данных на территории России.
- Проверьте, в какие страны планируете отправлять данные
Роскомнадзор утвердил список стран, которые способны обеспечить «адекватную защиту прав субъектов персональных данных». Если страна, в которую вы отправляете ПДн, не входит в утвержденный перечень, значит передача туда данных стоит под вопросом — такие случаи РКН рассматривает отдельно. Например, США в общий перечень не входит.
- Получите информацию от иностранной компании/физлица
Нужно получить ряд сведений от зарубежных компаний или физлиц, которым вы планируете передавать персданные. Необходимо узнать о мерах защиты и условиях прекращения обработки данных, знать название компании/ФИО физлица и контактные данные. Если страна не входит в список РКН как «адекватная», то также нужно запросить информацию о том, как регулируется законодательно сфера персональных данных в той стране, где находится компания или физлицо.
- Получите согласие от субъекта ПДН
Человек, чьи данные вы передаете за границу, должен знать, куда и зачем они направляются. Поэтому необходимо получить согласие на трансграничную передачу данных — на нем обязательно ставится подпись.
- Подайте уведомление в Роскомнадзор
Если пользовались Google Analytics еще до подачи уведомления о трансграничной передаче данных, то нужно сначала удалить сервис с сайта, потом подать уведомление, дождаться официального разрешения и далее снова добавить зарубежный сервис для сбора метрик. Но пользоваться им без последствий можно только до 1 июля.
- Сообщите пользователям об использовании сервисов аналитики
Названия сервисов для веб-аналитики нужно включить в политику об обработке ПДн. До пользователей важно явно донести сведения о том, какие сервисы вы используете.
- Доработайте сайт компании
Роскомнадзор проверит не только сервисы для сбора метрик. Также обратят внимание на то, собираются ли на сайте файлы cookies, как оформлены формы сбора заявок, есть ли политика об обработке ПДн. Все документы по персданным должны размещаться на видном месте и быть доступными для всех посетителей. Всё это подразумевает большую комплексную работу над сайтом компании. В блоге рассказали, что выложить на сайт, чтобы успешно пройти проверку РКН.
Суть статьи коротко
✅ Трансграничная передача персональных данных — все случаи, при которых вы как оператор ПДн передаете личные сведения россиян за границу.
✅ Сбор данных через Google Analytics — тоже трансграничная передача.
✅ Перед трансграничной передачей нужно не только подать уведомление, но и убедиться, что вы уже состоите в реестре РКН.
✅ В КоАП РФ предусмотрены штрафы за хранение личных данных не на российских серверах. Наказания суровые и могут доходить до 18 млн.
❗️ Сервис 152DOC поможет быстро проверить сайт на соответствие 152-ФЗ
Роскомнадзор теперь строже следит за обработкой персональных данных на сайтах, и малейшая ошибка грозит проверками и штрафами. Но есть способ сделать все правильно с первого раза — сервис 152DOC возьмет на себя всю рутину, чтобы вы могли сосредоточиться на бизнесе.
152DOC поможет быстро проверить сайт на соответствие новым требованиям: хостинг, сбор cookies, метрические системы. Вместе с анализом сайта вы сразу получите конкретные рекомендации по доработке. Кроме того, сервис поможет собрать полный комплект ЛНА и на их основе сформировать уведомление для РКН. Не нужно разбираться в тонкостях законодательства — все уже готово. Заполняйте формы по шаблону, скачивайте и отправляйте в РКН.
👉 Узнайте больше о возможностях 152DOC и оставьте заявку на подключение.