Тильда и персональные данные
«У меня сайт на Тильде. Что делать с персональными данными?» – такой вопрос всё чаще звучит в интернете и тематических чатах. Ответы самой площадки неоднозначны, а позиция регулятора категорична. Вероника Нечаева, директор по информационной безопасности CORTEL, прокомментировала реальный сценарий, чтобы внести ясность:
Бизнес планирует сделать сайт на Tilda с формой сбора ПДн. В своей политике конфиденциальности Tilda указывает, что «не выполняет обработку персональных данных».
НО, согласно технической информации о хостинге на Tilda, она осуществляет хранение данных, в том числе, ПДн посетителей сайта организации, что является обработкой.
Таким образом, на отношения между Организацией и Тильдой, в части обработки ПДн, будут распространяться требования ч.3 ст.6 152-ФЗ. В пользовательском соглашении поручение на обработку не упоминается.
Как легализовать обработку ПДн на Тильде?
Во-первых, чаще всего Тильда – это инструмент сайтостроения, и обработка персональных данных здесь не осуществляется. В случае использования Тильды как CRM-системы, она будет платформой, обрабатывающей персональные данные, но оператором по обработке ПДн будет не площадка, а конкретная компания, поручающая или передающая ПДн на обработку.
Тут компания:
- Собирает ПДн своих клиентов.
- Поручает обработку ПДн оператору, который предоставляет инструментарий – Тильду.
Оператор, который осуществляет обработку по поручению, не обязан получать согласие на обработку ПДн от клиентов, но должен выполнять требования по защите.
Что это значит?
При утечке данных клиентов, ответственность будете нести вы – независимо от выбранного инструментария для обработки, будь это Тильда или её аналоги
Во-вторых, согласно поправкам в ФЗ-152 «О персональных данных», ч.5 статьи 18, оператор ПДн обязан осуществлять обработку, хранение и передачу ПДн только на территории РФ, «за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Что это значит?
Как говорит сама площадка, “Серверы и ресурсы Тильда распределены как на территории России, так и за её пределами”. В связи с этим, некоторым операторам ПДн, использовавшим Тильду, Роскомнадзор уже вынес требование об устранении нарушения – то есть, о переносе сайта и всех БД на территорию РФ.
Аналогичная ситуация с Гугл Аналитикой, например, – она находится за пределами РФ, поэтому здесь, как и в Тильде, происходит трансграничная передача. Соответственно, вы обязаны подать уведомление и выполнить все требования по трансграничной передаче – в первую очередь, об удалении ПДн с зарубежных источников.
Как выполнить эти требования по трансграничной передаче данных?
Есть 2 сценария:
- Самостоятельно
Чек-лист по выполнению требований 152-ФЗ и к трансграничной передаче разместили здесь.
Если говорить кратко:
– Получить от зарубежных партнёров ряд сведений об обработке ПДн.
– Подать уведомление в РКН.
– Обеспечить уничтожение импортером ПДн, в случае наложения запрета или ограничения от РКН после подачи уведомления. Подтверждением, согласно 179 приказу, является акт об удалении и логи из базы данных, подтверждающих, что данные действительно удалены.
*Важно: согласно ФЗ-152, перечисленные меры необходимо было реализовать до 01.03.2023 года.
- Делегировать задачу профильным компаниям
Для тех, кто не готов тратить время на изучение новых требований, поиск и тестирование отечественных площадок для замены Тильды, мы создали сервис «Safe Cloud 152-ФЗ», полностью соответствующий требованиям регулятора по размещению, обработке, передаче и хранению персональных данных.
Так можно разделить ответственность – финансовую и юридическую, и выполнить требования ФЗ-152 без головной боли.
Ознакомиться с возможностями сервиса можно здесь.