Использовал Google Форму для опроса клиентов – получил штраф от РКН

Сейчас многие компании продолжают использовать Google Формы для сбора данных:

• запросов клиентов;
• анкетирования сотрудников;
• сбора заявок от потенциальных клиентов

И при такой работе как правило нарушается три пункта, которые могут повлечь штраф.

Главный из них- трансграничная передача данных.

Правило № 1 Необходимость получения согласия на обработку персональных данных

Если в форме есть персональные данные – их можно собирать только получив согласие субъекта.

К сожалению, в Google Формы не предусмотрено автоматическое уведомление об этом, и Google подчеркивает, что не несет ответственности за содержание опросов.

Вам нужно самостоятельно реализовать размещение согласия и акцепт согласия пользователем.

Что делать

Чтобы снизить вероятность претензий из-за отсутствия согласия, добавьте в форму последний вопрос, например: “Нажимая галочку и кнопку “Отправить”, я соглашаюсь на обработку своих персональных данных”.

Сделайте этот вопрос обязательным, чтобы пользователь не мог отправить опрос без отметки галочки. И обязательно разместите текст самого согласия, чтобы пользователь мог ознакомиться с целями сбора, данными оператора.

Что грозит за сбор данных без согласия

За обработку персональных данных без согласия организатору опроса могут быть наложены штрафы по ч.2 ст.13.11 КоАП РФ:

• С гражданина: от 10 000 до 15 000 рублей.
• С юридического лица: от 300 000 до 700 000 рублей.
• С руководителя компании или ИП: от 100 000 до 300 000 рублей.

Правило №2: Хранение данных на серверах за пределами России (локализация)

При сборе персональных данных необходимо соблюдать требования о локализации, что подразумевает хранение данных на серверах, расположенных на территории России. В политике конфиденциальности Google указано, что их сервера находятся в различных странах мира.

Поэтому вы нарушаете одно из основных требований 152-ФЗ.

Последствия за нарушение локализации

За несоблюдение требований о локализации могут быть применены штрафы по ч.8 ст.13.11 КоАП РФ:

• С граждан: от 30 000 до 50 000 рублей.
• С компаний или ИП: от 1 000 000 до 6 000 000 рублей.
• С руководителей компаний: от 100 000 до 200 000 рублей.

Если Роскомнадзор обнаружит повторное нарушение в течение года, штрафы могут значительно возрасти по ч.9 ст.13.11 КоАП РФ:

• С граждан: от 50 000 до 100 000 рублей.
• С компаний или ИП: от 6 000 000 до 18 000 000 рублей.
• С руководителей: от 500 000 до 800 000 рублей.

Правило № 3: Трансграничная передача персональных данных требует согласия РКН

Трансграничная передача происходит, когда персональные данные передаются иностранным юридическим или физическим лицам.

Поскольку сервера Google находятся за пределами России, данные пользователей, заполняющих опрос, попадают к иностранным компаниям.

С 1 марта 2022 года компании обязаны уведомлять Роскомнадзор о трансграничной передаче персональных данных.

Штрафы за трансграничную передачу без уведомления

За трансграничную передачу персональных данных без уведомления могут быть наложены штрафы по ст.19.7 КоАП РФ:

• С граждан: от 100 до 300 рублей.
• С компаний: от 3 000 до 5 000 рублей.
• С руководителей компаний или ИП: от 300 до 500 рублей.

Таких неявных нарушений при работе с ПДн может быть много.