Тильда и персональные данные
«У меня сайт на Тильде. Что делать с персональными данными?» – такой вопрос всё чаще звучит в интернете и тематических чатах. Ответы самой площадки требуют погружения в документацию, а позиция регулятора категорична.
Разбираемся в тонкостях и нюансах этого вопроса, а также рассказываем, что делать здесь и сейчас, чтобы не нарушать требования регуляторов.
Как работать с ПДн на Тильде и кто за что отвечает?
Во-первых, чаще всего Тильда – это инструмент сайтостроения, и обработка персональных данных здесь не осуществляется. В случае использования Тильды как CRM-системы, она будет платформой, обрабатывающей персональные данные, но оператором по обработке ПДн будет не площадка, а конкретная компания, поручающая или передающая ПДн на обработку.
Тут компания:
- Собирает ПДн своих клиентов.
- Поручает обработку ПДн оператору, который предоставляет инструментарий – Тильду.
Оператор, который осуществляет обработку по поручению, не обязан получать согласие на обработку ПДн от клиентов, но должен выполнять требования по защите.
Что это значит?
При утечке данных клиентов, ответственность будете нести вы – независимо от выбранного инструментария для обработки, будь это Тильда или её аналоги
Во-вторых, согласно поправкам в ФЗ-152 «О персональных данных», ч.5 статьи 18, оператор ПДн обязан осуществлять обработку, хранение и передачу ПДн только на территории РФ, «за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона».
Что это значит?
Независимо от того, какую площадку планируете использовать, ваша обязанность — проконтролировать, чтобы она обрабатывала данные ваших клиентов ТОЛЬКО на территории РФ. Это обязательно согласовать заранее и подтвердить документально, чтобы в случае проверки регулятора у вас были доказательства того, что вы не осуществляете трансграничную передачу.
И вот почему
У Тильды несколько доменов:
В первом случае в п. 5.5. Политики конфиденциальности указано, что для хранения данных Пользователей из России используются поставщики центров обработки данных, расположенные на территории РФ.
Во втором случае, в п. 6.7. Политики конфиденциальности указано, что Администрация пользуется услугами центров обработки данных, в том числе, за пределами России.
Соответственно, в первом случае трансграничная передача не осуществляется, а во втором — осуществляется. В связи с этим, некоторым операторам ПДн Роскомнадзор уже вынес требование об устранении нарушения – то есть, о переносе сайта и всех БД на территорию РФ. Если вы уже обрабатываете данные на Тильде — проверьте, осуществляете ли вы трансграничную передачу.
Если да, вы обязаны подать уведомление и выполнить все требования по трансграничной передаче – в первую очередь, об удалении ПДн с зарубежных источников.
Как выполнить эти требования?
Есть 2 сценария:
- Самостоятельно
Чек-лист по выполнению требований 152-ФЗ и к трансграничной передаче разместили здесь.
Если говорить кратко:
– Получить от зарубежных партнёров ряд сведений об обработке ПДн.
– Подать уведомление в РКН.
– Обеспечить уничтожение импортером ПДн, в случае наложения запрета или ограничения от РКН после подачи уведомления. Подтверждением, согласно 179 приказу, является акт об удалении и логи из базы данных, подтверждающих, что данные действительно удалены.
*Важно: согласно ФЗ-152, перечисленные меры необходимо было реализовать до 01.03.2023 года.
- Делегировать задачу профильным компаниям
Для тех, кто не готов тратить время на изучение новых требований, поиск и тестирование отечественных площадок для замены Тильды, мы создали сервис «Safe Cloud 152-ФЗ», полностью соответствующий требованиям регулятора по размещению, обработке, передаче и хранению персональных данных.
Так можно разделить ответственность – финансовую и юридическую, и выполнить требования ФЗ-152 без головной боли.
Ознакомиться с возможностями сервиса можно здесь.