на сайте есть персональные данные и сайт находится за рубежом
РКН прислал запрос с требованием объяснить ситуацию
что можно сделать
как избежать или уменьшить штраф
Здравствуйте! В любом случае это уже нарушение.
Статья 18.1. Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.
Уважаемая Наталья, здравствуйте!
РКН прислал запрос с требованием объяснить ситуацию
Можете обезличено выложить письмо от РКн?
на сайте есть персональные данные и сайт находится за рубежом
Вы осуществляли трансграничную передачу данных?
Вы получили запрос от РКН, потому что находитесь в зоне его «особого внимания» по двум ключевым признакам: у Вас есть сайт, который обрабатывает персональные данные, и этот сайт расположен за рубежом.
Ваша ситуация, описанная как «трансграничная передача данных», напрямую попадает под действие ч. 8 ст. 13.11 КоАП РФ.
8. Невыполнение оператором при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обеспечению записи, систематизации, накопления, хранения, уточнения (обновления, изменения) или извлечения персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, -
влечет наложение административного штрафа на граждан в размере от тридцати тысяч до пятидесяти тысяч рублей; на должностных лиц — от ста тысяч до двухсот тысяч рублей; на юридических лиц — от одного миллиона до шести миллионов рублей.
Согласно этой норме, штраф за первое нарушение для юридического лица может составить от 1 до 6 миллионов рублей, а за повторное — от 6 до 18 миллионов рублей
www.consultant.ru/document/cons_doc_LAW_34661/1f421640c6775ff67079ebde06a7d2f6d17b96db/
Далее продолжу.
Надо изучить письмо от РКН, при необходимости, на него ответить.
Для РКН критически важно, чтобы первичный сбор, запись и хранение персональных данных граждан РФ происходили на территории РФ.
После локализации базы в РФ возможна передача данных за рубеж, но для этого требуется либо уведомление РКН, наличие у иностранного государства «адекватного уровня защиты» данных, что сейчас проверяется особенно строго.
Уточнения и дополнения возможны здесь или в чате, кнопочка справа.
С уважением, Дарья.
Здравствуйте, Наталья!
Где сам запрос?
На запрос нужно ответить в зависимости от того что конкретно они просят.
Если Вы владелец сайта то должны соблюдать законодательство о персональных данных.
При нарушении оператором порядка сбора, хранения, использования или распространения персональных данных в соответствии со статьей 13.11 КоАП РФ.
При этом, надо смотреть первый раз это было или ранее нарушали. Какой объем нарушений, насколько серьезно оно.
Как вариант — обосновать малозначительность.
Когда было нарушение?
Может быть истек срок давности.
Кроме того, может быть с учетом обстоятельств можно будет просить о замене штрафа на предупреждение.
Нужно больше информации по тому кто нарушил.
Здравствуйте, Наталья.
В вашей ситуации наиболее вероятными нарушениями, на которые обратил внимание РКН, являются зарубежный хостинг и, возможно, отсутствие уведомления как оператора данных.
Разместите на видном месте ссылку на Политику обработки ПДн. Под каждой формой сбора данных (обратная связь, заказ) должен быть чек-бокс для получения отдельного согласия пользователя с четкими целями обработки. Установите cookie-баннер, уведомляющий о сборе данных через файлы cookie.
Сфокусируйтесь на конструктивном диалоге с регулятором. Не игнорируйте запрос.
· Тщательно изучите запрос: Определите, какие именно нарушения перечислил РКН.
· Проведите аудит сайта: Используйте приведенный выше список для проверки.
· Начните исправления немедленно: В ответе укажите, какие меры уже приняты (например, «запущен процесс переноса хостинга», «отключены зарубежные скрипты», «подано уведомление в реестр»).
· Предоставьте четкий план и сроки: Напишите, как и когда планируете устранить оставшиеся нарушения (например, «полное исправление всех недостатков к [дата]»).
· Сохраняйте доказательства: Фиксируйте все действия (скриншоты, чеки, переписку с хостинг-провайдерами).
Здравствуйте!
На основании ч. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных»
При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.
То есть закон прямо запрещает при сборе персональных данных граждан РФ использовать базы данных, находящихся за пределами РФ, для операций записи, систематизации, накопления, хранения, уточнения и извлечения. Поэтому если на Вашем сайте персональные данные собираются прямо на иностранном сервере (например, через Google Forms, Typeform или аналогичные зарубежные инструменты), это является нарушением закона.
Если данные сначала поступают на российский сервер, а потом копируются или передаются за рубеж для обработки — это допустимо при условии подачи отдельного уведомления в РКН о намерении осуществлять трансграничную передачу на основании ч. 3 ст. 12 Федерального закона от 27.07.2006 N 152-ФЗ
Оператор до начала осуществления деятельности по трансграничной передаче персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных, предусмотренного статьей 22 настоящего Федерального закона.
Но если данные изначально собираются и обрабатываются за границей, минуя российскую базу, — это нарушение ч. 5 ст. 18 Федерального закона № 152-ФЗ «О персональных данных».
На запрос РКН нужно ответить письменно в течение 10 рабочих дней с даты его получения; срок может быть продлен до 15 рабочих дней, но только если Вы своевременно уведомите РКН о причинах (ч. 4 ст. 20 Федерального закона № 152-ФЗ «О персональных данных»). Саму проверку РКН проводит в соответствии со своей компетенцией. Срок общего рассмотрения обращения РКН установлен в 30 дней и может быть продлен максимум еще на 30 дней.
Единственный вариант все исправлять в соответствии с требованиями закона.
В ответе указать, что приняты меры по приведению обработки ПДн в соответствие с ФЗ-152;
что обработка ПДн приостановлена / ограничена (если возможно); что персональные данные граждан РФ не хранятся и не обрабатываются либо инициирован перенос первичной базы ПДн на серверы в РФ (указать сроки).
Убрать формы (обратная связь, заявки, регистрации) или добавить чекбокс согласия + политику ПДн — прямо сейчас. Подготовить и приложить: Политику обработки ПДн, Согласие на обработку ПДн, уведомление РКН (если не подавалось ранее)
Минимизировать штраф можно лишь если нарушение устранено добровольно; вред субъектам ПДн не причинён; обработка носила разовый / ограниченный характер; ПДн не передавались третьим лицам;
коммерческой эксплуатации ПДн не было.
А так чаще всего первоначальный штраф как правило около 50 000 рублей Ст. 13.11 КоАП РФ