Цифровая изоляция и как Россия запретила бизнесу вести деловую переписку в иностранных мессенджерах, почтовых сервисах и видеосвязи (Telegram, Google др.) или про поддержку Российского бизнеса и стимула к созданию собственных продуктов - решать Вам.

На написание этой публикации меня натолкнуло то, что недавно я проводил консультацию представителя своего клиента, который задал вопрос: можно ли им собирать персональные данные в мессенджере Telegram и нужно ли при сборе персональных данных через бот в Telegram брать согласие на такой сбор и размещать условия в виде политики конфиденциальности для ознакомления клиента — как это делают их конкуренты? При этом она продемонстрировала мне скриншот с примером того, как это реализует их конкурент.

Я ответил, что, вероятно, это нарушает законодательство о персональных данных, а именно положения о локализации сбора данных на территории нашей страны.

Последним пинком под мой ленивый зад была статья о том, что сайты могут начать штрафовать за авторизацию людей через зарубежные сервисы и штрафы могут достигнуть до 700 тыс. рублей.

А ведь и правда, большая часть инфобизнеса и образовательных проектов пользуется ботами для сбора данных и последующими рассылками о предстоящих мероприятиях, и рекламных предложений, используя Telegram и другие иностранные мессенджеры и почтовые сервисы Google, в том числе используют электронные адреса, созданные на почтовых сервисах.

Увы, изменений в законодательстве за последнее время невероятно много, и отследить их все в рамках рабочего процесса просто невозможно. В данном случае практика не является единственным критерием истины: необходимо постоянно совершенствовать знания и обучаться. И главное, что должно быть среди деловых качеств любого юриста, уважающего себя, — это пытливость ума и занудство при поиске информации и истины для профессионального самосовершенствования, информирования о важных изменениях и защиты клиентов.

Так вот, о чём я: часто, когда у юристов нет однозначного ответа, приходится ссылаться на отсутствие практики. Но я считаю это в корне неверным. Нужно анализировать аналогичную практику по схожим обстоятельствам, изучать позицию контролирующих органов, выявлять базовый подход к решению проблем. В крайнем случае — направлять запросы в эти органы за разъяснениями.

Ещё один способ — использовать надёжные правовые базы типа «Гарант» и «КонсультантПлюс» (это платные сервисы для юристов), чтобы узнавать мнение коллег, которые централизуют сбор информации для просвещения практикующих юристов. Однако даже там возможны ошибки: данные могут быть недостоверными из-за сохранения человеческого фактора.

Недавние мои посты в Telegram касались обработки персональных данных (обмена договорами, счетами, актами) в иностранных мессенджерах, в том числе в телеграмме и использования иностранных электронных почтовых ящиков (gmail) для работы и обмена документацией. Так вот, тут есть однозначный ответ о том что это делать запрещено, а теперь объясню почему это делать запрещено. Для начала стоит разобрать в терминологии и понять, то такой оператор персональных данных, что такое обработка и сбор персональных данных, что такое база данных, где они должны находятся. Попытаюсь объяснить это все применительно сфере деятельности онлайн-продаж без заумной терминологии из Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) намеренно упрощая определения для того чтобы мой читатель или подписчик понял о чем идет речь и информация не выглядела в его глазах заумной и занудной.

Оператор - предприниматель, самозанятый или представитель юридического лица, которые получают персональные данные (фамилию, имя, отчество, номер мобильного телефона, адрес места жительства, фотографию, адрес электронной почты и др.) для того чтобы можно было взаимодействовать с лицом (другим предпринимателем или клиентом), заинтересованным в получении информации, товаров, услуг от такого предпринимателя и для того чтобы можно было оформить отношения и договорить (заключить договор, подписать оферту или взять согласие на обработку данных для целей бизнеса).

Обработка персональных данных -сбор и использование информации (фамилию, имя, отчество, номер мобильного телефона, адрес места жительства, фотографию, адрес электронной почты и др.) полученной от клиента в целях бизнеса, например: направление коммерческого предложения, подписания договора и выставления счета, добавление в CRM, передача работнику для обзвона и др.

База данных - место (дата центр) куда идет накопление информации, в том числе от переписок или там где эта информация хранится и систематизируется, а при затем необходимости может быть извлечена для использования.

Если в терминологии разобрались, то теперь перейдем к сути запрета.

При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся исключительно на территории Российской Федерации
ч. 5 ст. 18 Закона о персональных данных

Исключением из этого правила является:

обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (пунктах 2 части 1 статьи 6 Закона о персональных данных);
обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах (пунктах 3 части 1 статьи 6 Закона о персональных данных);
обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг", включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (пунктах 4 части 1 статьи 6 Закона о персональных данных);
обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (пунктах 8 части 1 статьи 6 Закона о персональных данных).

Анализирую данное положение можно прийти к однозначному выводу, что если Ваш бизнес не несет основную цель в виде сбора и обработки персональных данных и создания таких баз данных, вы не юрист или журналист и не осуществляете по государственному или муниципальному контракту какую-то часть полномочий по оказанию услуг, а также вы не автор произведений и вы осуществляете творческую деятельность, то Вы НЕ ВПРАВЕ использовать иностранные мессенджеры, иностранные почтовые сервисы и приложения для обмена с клиентом такой информацией, потому что базы данных таких приложений расположены не на территории РФ.

Данная позиция подтверждается открыто начальником управления по защите прав субъектов персональных данных Роскомнадзора Ю.Е. Контемировым ходе выступления, записанного для образовательного центра Гарант.

создание ботов в телеграмме для сбора данных для регистрации и участия в мероприятиях;
заключение любых сделок (ознакомление с офертами и подписание договоров);
проведение любых консультаций где фигурируют персональные данные;
общение с менеджерами и компаниями, осуществляющими продажи под ключ по поводу рассылкам по базам подписчиков, которые дали свое согласие на рассылку;
обмен реквизитами, счетами и платежными документами.

Допустим представим, что каким-то немыслимым образом онлайн-предприниматель придумал способ как попасть под эти исключения и тут опять появляется стена, через которую теоретически можно перелезть, но уже ЧИСТО ПРАКТИЧЕСКАЯ

Если Вы планируете осуществлять использовать иностранные приложения и почтовые сервисы, то Вам необходимо уведомить РКН об осуществлении трансграничной передачи персональных данных (ч. 3 ст. 12 Закона о персональных данных) и тут есть много НО, с которыми я столкнулся в работе и предстоит столкнуться другим предпринимателям, которые хотят вести свою работу в рамках установленного государством правового поля.

Для того чтобы ответить на эти вопросы нужно понять что такое трансграничная передача персональных данных.

Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства где установлены базы данных, на которых может храниться и записываться такая информация.

Картинка (что понимается под иностранными сервисами). Список не является полным и может быть расширен.

Ни для кого не секрет, что иностранные сервисы не используют или редко используют территорию России и Китая для размещения дата центров и хранения там база данных (по каким причинам не известно, но GDPR в Евросоюзе намного более жесткие, чем установленные у нас правила), но данные нужно где-то хранить, поэтому часто используются территории иностранных государств. Для того чтобы получить информацию о том, где хранятся данные необходимо ознакомиться с политикой использования сервисов, при чем политика размещается на английском языке и у юриста или специалиста, который занимается такой проблемой должны быть навыки перевода такой информации.

Наверно легче будет разобраться на примере Телеграма.

При ознакомлении с параграфом 4 (Keeping Your Personal Data Safe) пунктом 4.1. (Storing Data) политикой конфиденциальности Телеграм (Telegram Privacy Policy) размещенной по ссылке: https://telegram.org/privacy/eu , можно сделать вывод, что в случае если Вы зарегистрировались в мессенджере, находясь в Европе, ваши данные хранятся в дата-центрах в Нидерландах. При этом, совсем не упоминается информация о России и хранении данных граждан РФ и для того чтобы получить эту информацию необходимо направлять запрос в телеграмм с целью предоставления такой информации, причем такой запрос нужно делать неоднократно и не факт что администрация менеджера ответит Вам так как требует того Закон о защите персональных данных.

Аналогичную информацию можно получить и по сервисам Гугл (https://policies.google.com/technologies/retention?hl=ru) и ответы тоже не особо отличаются: «Что-то вроде читайте наши условия использования, а при необходимости вновь отправляйте запросы но у нас все хорошо».

Читайте политику в которой нет необходимой информации...

Оператор до начала трансграничной передаче персональных данных (использования иностранных сервисов в работе) обязан уведомить РКН о своем намерении осуществлять трансграничную передачу персональных данных. Указанное уведомление направляется отдельно от уведомления о намерении осуществлять обработку персональных данных
ч. 3 ст. 12 Закона о персональных данных

До подачи такого уведомления он обязан получить от иностранного сервиса, которым планируется трансграничная передача персональных данных, следующие сведения:
- о мерах по защите передаваемых персональных данных и об условиях прекращения их обработки; - информация о правовом регулировании в области персональных данных (если передача персональных данных планируется в организации, расположенные в странах не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных и к таким относится: Австрийская Республика, Аргентинская Республика, Босния и Герцеговина, Буркина-Фасо, Великое Герцогство Люксембург, Венгрия, Восточная Республика Уругвай, Греческая Республика, Грузия, Ирландия, Итальянская Республика, Княжество Андорра, Княжество Лихтенштейн, Княжество Монако, Королевство Бельгия, Королевство Дания, Королевство Испания, Королевство Марокко, Королевство Нидерландов, Королевство Норвегия, Королевство Швеция, Латвийская Республика, Литовская Республика, Мексиканские Соединенные Штаты, Португальская Республика, Республика Азербайджан, Республика Албания, Республика Армения, Республика Болгария, Республика Исландия, Республика Кабо-Верде, Республика Кипр, Республика Маврикий, Республика Мальта, Республика Молдова, Республика Польша, Республика Сан-Марино, Республика Северная Македония, Республика Сенегал, Республика Сербия, Республика Словения, Республика Хорватия, Румыния, Словацкая Республика, Соединенное Королевство Великобритании и Северной Ирландии, Тунисская Республика, Турецкая Республика, Украина, Федеративная Республика Германия, Финляндская Республика, Французская Республика, Черногория, Чешская Республика, Швейцарская Конфедерация, Эстонская Республика, Австралия - Австралийский союз, Габонская Республика, Государство Израиль, Государство Катар, Канада, Киргизская Республика, Китайская Народная Республика, Королевство Таиланд, Малайзия, Монголия, Народная Республика Бангладеш, Новая Зеландия, Республика Ангола, Республика Беларусь, Республика Бенин, Республика Замбия, Республика Индия, Республика Казахстан, Республика Коста-Рика, Республика Корея, Республика Кот-Д'Ивуар, Республика Мали, Республика Нигер, Республика Перу, Республика Сингапур, Республика Таджикистан, Республика Узбекистан, Республика Чад, Социалистическая Республика Вьетнам, Тоголезская Республика, Федеративная Республика Бразилия, Федеративная Республика Нигерия, Южно-Африканская Республика, Япония);
- наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты лиц ответственных за обмен данных в организации.
ч. 5 ст. 12 Закона о персональных данных, Перечень утв РКН от 05.08.2022 г. №128

После ознакомления с информацией встают разумные вопросы:

Как получить разрешение, если администрация приложений не реагирует так как хочет наш законодатель на запросы, направляемые пользователями и законно обрабатывать персональные данные?»

Разве компании будут передавать персональные данные лиц сотрудников ответственных за обмен данных в организации?!
Ответ пока не нашелся, но я в поиске возможности связи с администрациями ресурсов, но почему-то мне кажется, что это сравнимо с ударом с разбегу головой в закрытую железную дверь.

Ответственность за нарушение положений ч. 5 ст. 18 Закона о персональных данных установлена пунктами 8 и 9 ст. 13.11 КоАП РФ (использование иностранных менеджеров и почтовиков для сбора и передачи персональных данных) :

Самозанятый или ндивидуальный предприниматель несет ответственность в виде штрафа в размере от 100 тысяч до 200 тысяч рублей, а за повторное нарушение несет ответственность в виде штрафа в размере - от 500 тысяч до 800 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 1 млн до 6 млн рублей, а за повторное - от 6 млн до 18 млн рублей.

А) Ответственность за неисполнение или несвоевременное выполнение обязанности, установленной ст. 12 Закона о персональных данных и неподача уведомления о обработку персональных данных (пункт 10 ст. 13.11 КоАП РФ)

Самозанятый или ндивидуальный предприниматель несет ответственность в виде штрафа в размере от 30 тысяч до 50 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 100 тысяч до 300 тысяч рублей.

Б) Если РКН установит факт неправомерной или случайной утечки данных (предоставления, распространения, доступа) (пункт 11 ст. 13.11 КоАП РФ)

Самозанятый или индивидуальный предприниматель несет ответственность в виде штрафа в размере от 400 тысяч до 800 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 1 млн до 3 млн рублей.

В) если РКН установит неправомерную утечку данных за границу от одной тысячи до десяти тысяч субъектов персональных данных и (или) от десяти тысяч до ста тысяч идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (пункт 12 ст. 13.11 КоАП РФ)

Самозанятый или индивидуальный предприниматель несет ответственность в виде штрафа в размере от 200 тысяч до 400 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 3 млн до 5 млн рублей.

Г) если РКН установит неправомерную утечку данных за границу (предоставление, распространение, доступ) информации, включающей персональные данные от десяти тысяч до ста тысяч субъектов персональных данных и (или) от ста тысяч до одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (пункт 13 ст. 13.11 КоАП РФ)

Самозанятый или индивидуальный предприниматель несет ответственность в виде штрафа в размере от 300 тысяч до 500 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 5 млн до 10 млн рублей.

Д) если РКН установит неправомерную утечку данных за границу (предоставление, распространение, доступ) информации, включающей персональные данные более ста тысяч субъектов персональных данных и (или) более одного миллиона идентификаторов, если эти действия (бездействие) не содержат признаков уголовно наказуемого деяния (пункт 14 ст. 13.11 КоАП РФ)

Самозанятый или индивидуальный предприниматель несет ответственность в виде штрафа в размере от 400 тысяч до 600 тысяч рублей.
Юридические лица за такое нарушение несут ответственность в виде штрафа в размере от 10 млн до 15 млн рублей.

Е) если РКН установит неправомерную утечку по пунктам В-Е

Самозанятый или индивидуальный предприниматель несет ответственность в виде штрафа в размере от 800 тысяч до 1 млн рублей.
Юридические лица за такое нарушение несут ответственность - в виде штрафа от 1 до 3 процентов совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год.

Кто дочитал информацию наверное понял, что ответственность не шуточная поэтому ошибка в бизнесе стоит себе дороже и может повлечь попросту закрытие бизнеса и невозможность отдавать долги. Все-таки, что не стоит шутить с обработкой персональных данных и лучше следовать установленным заветам государства, но тем не менее у меня как у юриста и правоприменителя возникают закономерные вопросы.

Одно дело когда данные собираются через бот (публично) в Телеграмме, так как тут с помощью акта мониторинга зафиксировать нарушение ничего не стоит, но каким образом РКН будет доказывать факт незаконного использования персональных данных в менеджере и факт трансграничной передачи, но если обмен ведется между двумя конкретными предпринимателями с использованием иностранного мессенджера или почтового сервиса и нет жалоб с обоих сторон?

Пока не очень понятно как здесь сложится практика и будет ли она вообще применяться органами РКН, остается только наблюдать за развитием событий и лучше уже отказаться полностью от публичного сбора персональных данных с использованием ботов в Telegram и Google Форм.

А как Ваши успехи дорогие операторы? Уже успели зарегистрироваться и обновить необходимый пакет документов под новые требования?
Хотелось бы увидеть обратную реакцию и Ваши мысли по изменениям и практики их применения.
Ваш юрист, @dkintlaw

Не забудь подписаться на мой канал Юрист для блогеров и онлайн-школ | Hi-Sec Talk и получать больше кейсов, разборов и новостей о новшествах в нашем праве.

#запретTelegram#запретGoogle#запретобработкиданныхвботе#персональныеданныевTelegram#обменданнымиTelegram#обменвиностранныхмессенджерах

Предисловие

Почему запрещено и чем мотивировано?

А что у нас говорит закон о регистрации трансграничным оператором персональных данных?

Теперь «вишенка на торте» в виде ответственности за несоблюдение обязанностей и тут не ясно совсем как быть простому предпринимателю?