Все это — онлайн, с заботой о вас и по отличным ценам.
Требования к этой схеме, какие это требования?
Добрый день. Вопрос по 152 ФЗ. Есть интернет-магазин, при покупке он собирает, хранит и обрабатывает данные клиентов на сервере РФ. Для удосбства коммуникации мы хотим подключить email-рассыльщик, который будет уведомлять о статусе покупки, рассылать письма с информацией о магазине. Самый подходящий вариант - это американский рассыльщик. Другие не интергрируются с нашим магазином.
Но в этом случае мы должны отправить email и имя клиента в США - там эти данные будет хранится на время рассылки, затем будут автоматически удалятся.
Вопрос. Не является ли такая схема нарушением 152 ФЗ? По бизнес-логике и функционалу нам не подходят российские аналоги рассыльщиков.
Если нарушений нет, но есть доп. требования к этой схеме, какие это требования?
Здравствуйте.
Если рассыльщик принадлежит действительно лицу из США, пересылка вышеуказанных данных будет являться трансграничной передачей.
Трансграничная передача персональных данных осуществляется в соответствии с настоящим Федеральным законом и международными договорами Российской Федерации.
Статья 3 ФЗ «О персональных данных».
Правила для такой передачи установлены в статье 12 того же Федерального закона (https://www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/)
В частности, там есть такая норма
Уполномоченный орган по защите прав субъектов персональных данных утверждает перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных. В перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, включаются государства, являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, а также иностранные государства, не являющиеся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, при условии соответствия положениям указанной Конвенции действующих в соответствующем государстве норм права и применяемых мер по обеспечению конфиденциальности и безопасности персональных данных при их обработке.
К сожалению, США к таким государствам не относятся, поэтому Вам нужно будет руководствоваться дальнейшими положениями той же статьи Федерального закона
Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.
Причем Вам нужно будет следить и за изменениями правил трансграничной передачи, поскольку они периодически меняются. https://rkn.gov.ru/news/rsoc/news74664.htm?ysclid=ls4pwckpuo442573412
Поэтому отвечая на Ваш вопрос
Вопрос. Не является ли такая схема нарушением 152 ФЗ?
Такая схема будет нарушением, если Вы не получите разрешение.
Поэтому если проблема только в функционале и бизнес-логике, я все же рекомендовал Вам рассмотреть какие-то другие варианты, не обязательно отечественные. Посмотреть список государств, чья обработка персональных данных властями РФ признается адекватной, можете здесь https://normativ.kontur.ru/document?moduleId=1&documentId=431811
В случае отправки персональных данных в одну из этих стран Вам нужно будет только уведомить Роскомнадзор, а работать Вы сможете сразу, не дожидаясь никаких решений.
После направления уведомления, указанного в части 3 настоящей статьи, оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения, указанного в части 8 или 12 настоящей статьи.