Копию ответа можно скачать в телеграм.
Роскомнадзор по результатам рассмотрения Вашего обращения от 17.08.2023 № 02-11-26303 сообщает следующее.
Относительно вопроса о публикации в корпоративном телеграм-канале сведений о работниках полагаем необходимым отметить следующее.
В соответствии со ст. 88 Трудового Кодекса Российской Федерации публикация в корпоративном телеграм-канале информации о днях рождениях работников, их спортивных и трудовых достижениях и тд., не будет противоречить законодательству Российской Федерации в случае наличия согласия работника, соответствующего требованиям ч. 4 ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон).
По вопросу приема заявок от потенциальных клиентов и подписчиков посредством мессенджера «Telegram» сообщаем следующее.
Согласно ч. 5 ст. 18 Федерального закона при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 настоящего Федерального закона.
Таким образом, сбор персональных данных клиентов компании с использованием баз данных, находящихся за пределами Российской Федерации, будет являться нарушением требований законодательства Российской Федерации в области персональных данных. Вместе с тем считаем необходимым отметить, что трансграничная передача персональных данных клиентов, содержащихся в базе данных информационной системы персональных данных, расположенной на
территории Российской Федерации, должна осуществляться с соблюдением
требований ст. 12 Федерального закона.
Обращаем Ваше внимание, что согласно ст. 12 Федерального закона до начала осуществления трансграничной передачи персональных данных оператор, осуществляющий обработку персональных данных на территории Российской Федерации, обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача персональных данных, обеспечивается адекватная защита прав субъектов персональных данных.
В уведомлении о намерении осуществлять трансграничную передачу персональных данных требуется указывать государство, в котором зарегистрировано юридическое лицо, которому передаются персональные данные.
Дополнительно сообщаем, что 01.03.2023 вступили в силу изменения в Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее – Федеральный закон № 149-ФЗ).
Так, согласно ч. 8 ст. 10 Федерального закона № 149-ФЗ запрещается при предоставлении государственных и муниципальных услуг, выполнении государственного или муниципального задания, а также при реализации государственными компаниями, государственными и муниципальными унитарными предприятиями, публично-правовыми компаниями, хозяйственными обществами, в уставном капитале которых доля участия Российской Федерации, субъекта Российской Федерации, муниципального образования в совокупности превышает пятьдесят процентов, кредитными организациями, некредитными финансовыми организациями, которые осуществляют указанные в части первой статьи 76.1 Федерального закона от 10 июля 2002 года № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)» виды деятельности, субъектами национальной платежной системы товаров, работ, услуг, имущественных прав использование принадлежащих иностранным юридическим лицам и (или) иностранным гражданам информационных систем и (или) программ для электронных вычислительных машин, которые предназначены и (или) используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и (или) программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями сети «Интернет» общедоступной информации в сети «Интернет», для передачи платежных документов и (или) предоставления информации, содержащей персональные данные граждан Российской Федерации, данные о переводах денежных средств в рамках применяемых форм безналичных расчетов, сведения, необходимые для осуществления платежей и (или) сведения о счетах (вкладах) граждан Российской Федерации в банках.
На основании изложенного, персональные данные клиентов, содержащиеся в сообщениях клиентов, направленных ими в адрес компании через иностранные мессенджеры, включенные в Перечень, предусмотренный ч. 10 ст. 10 Федерального закона № 149-ФЗ, не должны приниматься в обработку и должны быть уничтожены компанией.
Обращаем внимание, что Перечень информационных систем и сервисов, предусмотренный ч. 10 ст. 10 Федерального закона № 149-ФЗ, опубликован на официальном сайте Роскомнадзора в сети «Интернет» по адресу https://rkn.gov.ru/news/rsoc/news74710.htm.
