Обнаружены зарубежные сервисы для обработки ПД

Категория: Локализация данных

Опасность: средний риск штрафа

Подробное описание нарушения

Согласно ст. 12 и ст. 18 152-ФЗ «О персональных данных», персональные данные граждан России должны обрабатываться на территории Российской Федерации. Требования к локализации означают, что оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан России с использованием баз данных, находящихся на территории Российской Федерации. Использование зарубежных сервисов для обработки персональных данных (облачные хранилища, CRM-системы, аналитические сервисы, email-маркетинг, системы управления контентом и т.д.) без локализации данных и получения согласия пользователей является серьезным нарушением законодательства. К зарубежным сервисам относятся: Google Cloud, Amazon Web Services (AWS), Microsoft Azure, Salesforce, Mailchimp, SendGrid, HubSpot, Google Analytics, Facebook Pixel и многие другие. Все эти сервисы обрабатывают персональные данные на серверах, расположенных за пределами России, что нарушает требования ст. 18 152-ФЗ о локализации данных.

Суть нарушения

Требования к локализации персональных данных (ст. 18 152-ФЗ) означают, что оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан России с использованием баз данных, находящихся на территории Российской Федерации. Использование зарубежных сервисов (Google Cloud, AWS, Azure, Salesforce, Mailchimp, SendGrid, HubSpot, Google Analytics, Facebook Pixel и другие) для обработки персональных данных без соблюдения требований локализации и без получения согласия субъектов является нарушением. При использовании зарубежных сервисов персональные данные передаются на серверы, расположенные за пределами России (чаще всего в США, Ирландии, Германии и других странах). Это создает риски несанкционированного доступа к данным, их утечки, использования третьими лицами без ведома пользователя, а также нарушает требования о локализации. Согласно ст. 12 152-ФЗ, трансграничная передача персональных данных возможна только в страны, обеспечивающие адекватную защиту прав, или при наличии согласия субъекта. США и большинство других стран не входят в перечень стран с адекватной защитой, поэтому использование зарубежных сервисов без согласия является нарушением.

Вы видите 20% этого материала

Закажите отчет, чтобы дочитать статью и получить полный доступ к другим закрытым материалам

Заказать отчет Я уже заказывал
Опасность: средний риск штрафа