Все это — онлайн, с заботой о вас и по отличным ценам.
Может дополнительно сохранять их в Российской или как поступают компании в таких случаях?
Добрый день! У меня есть несколько вопросов о персональных данных.
1. У меня ИП. Я подавала уведомление в Роскомнадзор более года назад. Сейчас я не собираю персональные данные, форм на сайте нет. Нужно ли было подавать Уведомление в Роскомнадзор, что я больше не оператор? Или уведомление автоматически было анулировано, когда я не подала его через 12 месяцев? Нет ли за это штрафов?
2. Через пару месяцев я планирую запуск онлайн школы. Буду снова подавать уведомление. Не знаю как организовать обработку законно, если база данных платформы на которой размещён курс, находится в США ( https://bubble.io/ ). Что нужно делать в таких случаях, чтобы не попасть на штрафы? Алгоритм такой: при регистрации пользователя в онлайн школе, данные которые он заполняет о себе автоматически сохраняются в базе данных, которая в США. Может дополнительно сохранять их в Российской или как поступают компании в таких случаях? Есть ли алгоритм действий? Как получать согласие пользователя на такую обработку и не попасть на штраф от Роскомнадзора?
Здравствуйте.
Относительно Вашего первого вопроса. В соответствии с положениями ст. 22 Закона №152-ФЗ «О персональных данных»
7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
Таким образом уведомлять необходимо, ответственность за неуведомление установлена ст.19.7 КоАП РФ
предупреждение или наложение административного штрафа на граждан в размере от ста до трехсот рублей; на должностных лиц — от трехсот до пятисот рублей; на юридических лиц — от трех тысяч до пяти тысяч рублей.
Для ИП штрафы как для должностных лиц.
Что нужно делать в таких случаях, чтобы не попасть на штрафы? Алгоритм такой: при регистрации пользователя в онлайн школе, данные которые он заполняет о себе автоматически сохраняются в базе данных, которая в США. Может дополнительно сохранять их в Российской или как поступают компании в таких случаях? Есть ли алгоритм действий? Как получать согласие пользователя на такую обработку и не попасть на штраф от Роскомнадзора?Ольга
В соответствии с положениыми ст. 12 названного закона
3. Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных, до начала осуществления трансграничной передачи персональных данных.
Оператор должен проверить принадлежность страны — получателя данных к членам Конвенции 1981 г. или ее наличия в актуальном на момент передачи данных перечне Роскомнадзора. Если страна — получатель данных находится в соответствующем перечне, то никаких дополнительных формальностей оператору соблюдать не требуется.
Если же получатель данных не входит в перечень, то придется соответствовать п.4 настоящей статьи. Приведу на нее ссылку:
http://www.consultant.ru/docum...
При наличии дополнительных вопросов Вы можете обратиться в чат за получением ответов в персональном режиме.
Добрый день!
1. У меня ИП. Я подавала уведомление в Роскомнадзор более года назад. Сейчас я не собираю персональные данные, форм на сайте нет. Нужно ли было подавать Уведомление в Роскомнадзор, что я больше не оператор? Или уведомление автоматически было анулировано, когда я не подала его через 12 месяцев? Нет ли за это штрафов?
Согласно ст. 22 Закона №152-ФЗ «О персональных данных»
7. В случае изменения сведений, указанных в части 3 настоящей статьи, а также в случае прекращения обработки персональных данных оператор обязан уведомить об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных
.Сам образец заявления вы можете найти в Методических рекомендациях по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения», приложение к приказу Роскомнадзора от 30.05.2017 № 94.
Прикладываю вам образец заявления
Добрый день, Ольга.
Может дополнительно сохранять их в Российской или как поступают компании в таких случаях?
Добавлю к ответам коллег, что согласно статье 18 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
5. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет»,оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
Поэтому у Вас должна быть база данных, физически расположенная в России, в которую должны записываться и в которой должны храниться персональные данные Ваши клиентов. Отсутствие такой базы влечет ответственность по ст. 13.11 КоАП РФ
8. Невыполнение оператором при сборе персональных данных... обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.
С уважением, Роман.
США не входит в перечень членов Конвенции 1981 г.
Поэтому вам нужно действовать согласно ст.12 ФЗ «О персональных данных» а именно производить трансграничную передачу персональных данных на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных, получив согласие в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных; либо на основании договора, стороной которого является субъект персональных данных; либо в силу защиты жизни, здоровья, иных жизненно важных интересов субъекта персональных данных или других лиц при невозможности получения согласия в письменной форме субъекта персональных данных.