[Использование мессенджеров для обмена персональными данными в 2025 году]
[01]
Актуальность мессенджеров для обработки персональных данных
В последнее время все больше компаний используют мессенджеры, такие как Telegram и WhatsApp, для коммуникации с клиентами и публикации корпоративной информации. Однако, при этом важно помнить о требованиях законодательства в области персональных данных.
[02]
Сбор данных
При сборе персональных данных клиентов через Telegram и WhatsApp, важно помнить о следующих моментах:
В частности, теперь запрещено:
- Хранение данных: Согласно Федеральному закону № 152-ФЗ, оператор обязан хранить персональные данные граждан РФ в базах данных, находящихся на территории России. Исключение составляют случаи, предусмотренные законом.
- Трансграничная передача данных: Передача персональных данных клиентов за рубеж должна осуществляться в соответствии с требованиями ст. 12 Федерального закона № 152-ФЗ. Оператор обязан убедиться, что иностранное государство, куда передаются данные, обеспечивает адекватную защиту прав субъектов персональных данных.
В частности, теперь запрещено:
- Использование иностранных мессенджеров для передачи платежных документов и предоставления информации, содержащей персональные данные граждан РФ, при осуществлении государственных и муниципальных услуг, а также при реализации государственными компаниями, госпредприятиями и другими организациями определенных видов деятельности.
[03]
Официальный ответ РКН по данному вопросу
Роскомнадзор по результатам рассмотрения Вашего обращения от ______ № _________ сообщает следующее.
Относительно вопроса о публикации в корпоративном телеграм-канале сведений о работниках полагаем необходимым отметить следующее. В соответствии со ст. 88 Трудового Кодекса Российской Федерации публикация в корпоративном телеграм-канале информации о днях рождениях работников, их спортивных и трудовых достижениях и тд., не будет противоречить законодательству Российской Федерации в случае наличия согласия работника, соответствующего требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон).
По вопросу приема заявок от потенциальных клиентов и подписчиков посредством мессенджера «Telegram» сообщаем следующее. Согласно ч. 5 ст. 18 Федерального закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 настоящего Федерального закона.
Таким образом, сбор персональных данных клиентов компании с использованием баз данных, находящихся за пределами Российской Федерации, будет являться нарушением требований законодательства Российской Федерации в области персональных данных Вместе с тем считаем необходимым отметить, что трансграничная передача персональных данных клиентов, содержащихся в базе данных информационной системы персональных данных, расположенной на территории Российской Федерации, должна осуществляться с соблюдением требований ст. 12 Федерального закона.
Обращаем Ваше внимание, что согласно ст. 12 Федерального закона до начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
В уведомлении о намерении осуществлять трансграничную передачу персональных данных требуется указывать государство, в котором зарегистрировано юридическое лицо, которому передаются персональные данные. Дополнительно сообщаем, что 01.03.2023 вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ). Так, согласно ч. 8 ст. 10 Федерального закона № 149-ФЗ запрещается при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания, а также при реализации государственными компаниями, государственными и муниципальными унитарными предприятиями, публично-правовыми компаниями, хозяйственными обществами, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает пятьдесят процентов, кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы товаров, работ, услуг, имущественных прав использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети «Интернет» общедоступной информации в сети «Интернет», для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан Российской Федерации, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и (или) сведения о счетах (вкладах) граждан Российской Федерации в банках.
На основании изложенного, персональные данные клиентов, содержащиеся в сообщениях клиентов, направленных ими в адрес компании через иностранные мессенджеры, включенные в Перечень, предусмотренный ч. 10 ст. 10 Федерального закона № 149-ФЗ, не должны приниматься в обработку и должны быть уничтожены компанией.
Относительно вопроса о публикации в корпоративном телеграм-канале сведений о работниках полагаем необходимым отметить следующее. В соответствии со ст. 88 Трудового Кодекса Российской Федерации публикация в корпоративном телеграм-канале информации о днях рождениях работников, их спортивных и трудовых достижениях и тд., не будет противоречить законодательству Российской Федерации в случае наличия согласия работника, соответствующего требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон).
По вопросу приема заявок от потенциальных клиентов и подписчиков посредством мессенджера «Telegram» сообщаем следующее. Согласно ч. 5 ст. 18 Федерального закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 настоящего Федерального закона.
Таким образом, сбор персональных данных клиентов компании с использованием баз данных, находящихся за пределами Российской Федерации, будет являться нарушением требований законодательства Российской Федерации в области персональных данных Вместе с тем считаем необходимым отметить, что трансграничная передача персональных данных клиентов, содержащихся в базе данных информационной системы персональных данных, расположенной на территории Российской Федерации, должна осуществляться с соблюдением требований ст. 12 Федерального закона.
Обращаем Ваше внимание, что согласно ст. 12 Федерального закона до начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
В уведомлении о намерении осуществлять трансграничную передачу персональных данных требуется указывать государство, в котором зарегистрировано юридическое лицо, которому передаются персональные данные. Дополнительно сообщаем, что 01.03.2023 вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ). Так, согласно ч. 8 ст. 10 Федерального закона № 149-ФЗ запрещается при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания, а также при реализации государственными компаниями, государственными и муниципальными унитарными предприятиями, публично-правовыми компаниями, хозяйственными обществами, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает пятьдесят процентов, кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы товаров, работ, услуг, имущественных прав использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети «Интернет» общедоступной информации в сети «Интернет», для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан Российской Федерации, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и (или) сведения о счетах (вкладах) граждан Российской Федерации в банках.
На основании изложенного, персональные данные клиентов, содержащиеся в сообщениях клиентов, направленных ими в адрес компании через иностранные мессенджеры, включенные в Перечень, предусмотренный ч. 10 ст. 10 Федерального закона № 149-ФЗ, не должны приниматься в обработку и должны быть уничтожены компанией.
[04]
Выводы:
Использование Telegram и WhatsApp для корпоративных целей может быть эффективным, но важно соблюдать требования законодательства в области персональных данных. Используйте отечественные мессенджеры.
контакты
Екатеринбург, ул. восточная, д. 145
телефон
e-mail