Добрый день!
Требуется небольшая юридическая консультация.
Компания занимается разработкой ПО, позволяющего пользователю синхронизировать свои данные с облачными хранилищами (Google Drive, Dropbox и другие).
По сути это приложение является мультиклиентом к различным облачным хранилищам.
Пользователь может передавать в свое облачное хранилище абсолютно любые данные, включая персональные.
Мультиклиент не передает данные пользователя в сторонние сервисы, кроме облачных хранилищ самого пользователя.
С точки зрения ФЗ данное приложение осуществляет (или может осуществлять) трансграничную передачу персональных данных пользователя, хотя здесь инициатором отправки данных является сам пользователь.
Компания его данные не хранит и никак не обрабатывает, не считая трансграничную передачу, опять же по инициативе самого пользователя.
Как в данном случае взаимодействовать с клиентами, какие соглашения брать, чтобы не попасть в поле зрения Роскомнадзора?
Заранее всем спасибо!
Антон, здравствуйте.
Федеральный закон N 152-ФЗ "О персональных данных"
Статья 22. Уведомление об обработке персональных данных
1. Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.
2. Оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных обработку персональных данных:
1) обрабатываемых в соответствии с трудовым законодательством;
2) полученных оператором в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных;
3) относящихся к членам (участникам) общественного объединения или религиозной организации и обрабатываемых соответствующими общественным объединением или религиозной организацией, действующими в соответствии с "законодательством" Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться или раскрываться третьим лицам без согласия в письменной форме субъектов персональных данных;
4) разрешенных субъектом персональных данных для распространения при условии соблюдения оператором запретов и условий, предусмотренных статьей 10.1 настоящего Федерального закона;
5) включающих в себя только фамилии, имена и отчества субъектов персональных данных;
6) необходимых в целях однократного пропуска субъекта персональных данных на территорию, на которой находится оператор, или в иных аналогичных целях;
7) включенных в информационные системы персональных данных, имеющие в соответствии с федеральными законами статус государственных автоматизированных информационных систем, а также в государственные информационные системы персональных данных, созданные в целях защиты безопасности государства и общественного порядка;
8) обрабатываемых без использования средств автоматизации в соответствии с федеральными законами или иными нормативными правовыми актами Российской Федерации, устанавливающими требования к обеспечению безопасности персональных данных при их обработке и к соблюдению прав субъектов персональных данных;
9) обрабатываемых в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.