Все это — онлайн, с заботой о вас и по отличным ценам.
Здравствуйте нужна консультация юриста который разбирается в it сфере
Здравствуйте нужна консультация юриста который разбирается в it сфере.
Вопрос о персональных данных с трансграничной передачей по ФЗ152.
Здравствуйте, Валерий!
Законом № 152 «О персональных данных» (ст. 12) установлены 2 режима трансграничной передачи ПДн:
· Уведомительный. При передаче персональных данных в страны, которые обеспечивают их адекватную защиту. Это страны, которые входят в Совет Европы, а также те, которые включены Роскомнадзором в специальный список. Это Болгария, Польша и др. Для передачи ПДн направляется уведомление в Роскомнадзор.
· Разрешительный. Если страны нет в списках, то передача персональных данных возможна только с разрешения Роскомнадзора.
При этом оператор ПДн должен получить у иностранных контрагентов данные о стране, в которую он передает персональные данные. Они включают сведения[РБ1] :
· О защите передаваемых персональных данных и условиях прекращения их обработки.
· О получателя ПДн (наименование юридического лица или ф.и.о., контактные данные)
· О правовом регулировании обработки персональных данных (для стран, которые не обеспечивают их адекватную защиту).
Эти сведения может запросить Роскомнадзор.
С 1 марта 2023 года Роскомнадзор после рассмотрения уведомления в любую иностранную страну может запретить трансграничную передачу ПДн. Их передача в любом случае не допускается в течение 10 дней после подачи уведомления (до принятия контрольным ведомством решения по итогам его рассмотрения).
Состав сведений уведомления о трансграничной передаче данных
В уведомление включаются следующие сведения:
· Цель передачи персональных данных.
· Правовое основание.
· Категории передаваемых ПДн (общедоступные, персональные данные и др.).
· Категории субъектов персональных данных.
· Перечень иностранных государств, в которые передаются ПДн.
· Дата оценки. Это дата, когда оператор составил уведомление.
Если условия передачи персональных данных меняются (например, появился новый получатель ПДн или законодательство принимающей страны изменилось), оценку нужно провести заново и обновить дату.
И какова процедура получения это разрешение.
Правильно я понял что уведомительной ситуации касается хостинг (он находится в Европе) а вот разрешительной airtable это США Калифорния.
И как быть есть мы получим отказ а у нас весь сервис завязан на базе данных airtable
Вам лучше обратиться в Роскомнадзор. Это ведомство сейчас действует весьма жестко, и ему дано право запретить передачу данных в любую иностранную страну. Это связано со сложной политической обстановкой. Даже в «разрешенные» страны может быть запрет.
Помните, что с 30 мая с.г. существенно повышены санкции:
1. Ответственность по ч. 1, ч. 1.1 ст. 13.11 КоАП («Нарушение законодательства РФ в области ПДн»):
· Для юридических лиц и ИП: от 150 до 300 рублей (при повторном нарушении – 300-500 тыс. рублей).
2. Вводятся новые части в ст. 13.11 КоАП. Они предусматривают ответственность организаций за:
· Несвоевременное уведомление или не уведомление Роскомнадзора о намерении осуществить обработку ПДн (ч. 10 ст. 13.11 КоАП, штраф 100-300 тыс. рублей).
· Несвоевременное уведомление или не уведомление Роскомнадзора об утечке ПДн (ч. 10 ст. 13.11 КоАП, штраф 1-3 млн рублей).
· Неправомерная передача персональных данных. Она может быть выражена как в форме действия (передача), так и бездействие (если не приняты меры по ограничению доступа. Штрафы предусмотрены ч. 12,13, 14 ст. 13.11 КоАП и зависят от объема единиц персональных данных (идентификаторов), которые неправомерно переданы: от 10 до 100 тыс. идентификаторов – штраф от 3 до 5 млн рублей, от 100 до 1 млн идентификаторов – штраф от 5 до 10 млн рублей, более 1 млн идентификаторов – штраф от 10 до 15 млн рублей.
Что делать, если все завязано на иностранный сервис, а передача данных запрещена? Не знаю.
Здравствуйте! Да, разбираюсь в этой теме.
Вы пока создаете приложение и у Вас планируется явная «трансграничка», исходя из описания вопроса.
Итак по существу.
Ваша деятельность по обработке персональных данных клиентов ресторанов, а также последующая передача этих данных на серверы, расположенные за пределами Российской Федерации (например, базы данных Airtable в США и хостинг в Европе), подпадает под понятие трансграничной передачи персональных данных в соответствии со статьей 12 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/
В соответствии с частью 3 статьи 12 Закона № 152-ФЗ, до начала осуществления трансграничной передачи персональных данных Вы обязаны уведомить Роскомнадзор (РКН) о своем намерении осуществлять такую передачу. Указанное уведомление подается отдельно от уведомления о начале обработки персональных данных (ст. 22 Закона № 152-ФЗ) и должно содержать сведения, предусмотренные частью 4 статьи 12 Закона № 152-ФЗ, в том числе: цели и правовые основания передачи, перечень передаваемых данных, категории субъектов, перечень иностранных государств, а также сведения о принимающих лицах и мерах по защите данных.
Особое внимание следует уделить тому, что США не входят в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных (ч. 2 ст. 12 Закона № 152-ФЗ). В этом случае, после подачи уведомления, до истечения сроков рассмотрения уведомления Роскомнадзором, Вы не вправе осуществлять передачу данных в такие страны (ч. 11 ст. 12 Закона № 152-ФЗ), за исключением случаев, прямо предусмотренных законом (например, защита жизни и здоровья субъекта данных).
Ссылка на приказ РКН с перечнем стран
www.consultant.ru/document/cons_doc_LAW_426970/a4330c3f61445668ed0d6cfe40f18d548765bb70/
------
Передача персональных данных на территории государств, не обеспечивающих адекватную защиту, возможна только после проведения оценки принимающей стороны и получения от нее сведений о мерах по защите данных, а также после получения разрешения от Роскомнадзора (ч. 5, 6, 9, 11 ст. 12 Закона № 152-ФЗ).
Отмечу, что согласно ч. 5 ст. 18 Закона № 152-ФЗ, первичный сбор, систематизация, накопление, хранение и уточнение персональных данных граждан РФ должны осуществляться с использованием баз данных, находящихся на территории Российской Федерации (т.н. «локализация данных»). Использование Яндекс.Диска для этих целей соответствует требованиям закона.
-------
В случае невыполнения указанных требований Роскомнадзор вправе принять решение о запрете или ограничении трансграничной передачи персональных данных (ч. 7, 8, 12 ст. 12 Закона № 152-ФЗ). В случае принятия такого решения Вы обязаны обеспечить уничтожение ранее переданных данных (ч. 14 ст. 12 Закона № 152-ФЗ).
Исключения из требований частей 3–6, 8–11 статьи 12 предусмотрены только для операторов, осуществляющих трансграничную передачу персональных данных в целях выполнения функций, полномочий и обязанностей, возложенных на государственные или муниципальные органы международными договорами РФ или законодательством РФ (ч. 15 ст. 12 Закона № 152-ФЗ). Для коммерческих организаций, таких как Ваша, эти исключения не применяются.
Вам надо провести аудит процессов обработки персональных данных, подготовить и направить соответствующее уведомление в Роскомнадзор, а также обеспечить локализацию данных на территории РФ до передачи их за рубеж.
С уважением, Д.А.Разина
Какие данные клиентов Вы обрабатываете?