- Основания для трансграничной передачи персональных данных
3.1. Оператор осуществляет трансграничную передачу персональных данных исключительно при наличии одного из следующих законных оснований:
- наличие письменного согласия субъекта персональных данных на трансграничную передачу его персональных данных в соответствии с требованиями статьи 12 Закона о персональных данных;
- необходимость исполнения договора, стороной которого является субъект персональных данных, либо заключения договора по инициативе субъекта персональных данных;
- осуществление трансграничной передачи в рамках международного соглашения Российской Федерации;
- выполнение обязательств, установленных международным правом или федеральными законами;
- защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получить его согласие невозможно;
- иные основания, предусмотренные законодательством Российской Федерации.
3.2. Передача персональных данных за пределы территории Российской Федерации допускается только после получения от субъекта персональных данных информированного согласия, оформленного отдельным документом или электронным действием, приравненным к письменной форме по смыслу закона, и содержащего:
- Ф.И.О. субъекта ПД;
- перечень передаваемых данных;
- перечень действий с передаваемыми ПД;
- цели передачи;
- сведения об иностранном государстве или юридическом лице, в адрес которого осуществляется передача;
- срок действия согласия;
- подпись или электронную фиксацию действия, подтверждающего согласие.
3.3. Оператор вправе продолжать трансграничную передачу персональных данных после отзыва согласия, если такая передача осуществляется на иных законных основаниях (например, в рамках договора, судебного или административного запроса и пр.).
3.4. Оператор обязан при начале трансграничной передачи убедиться, что государство, в которое предполагается передача персональных данных:
- обеспечивает адекватную защиту прав субъектов персональных данных;
- либо получатель находится в государстве, не входящем в перечень адекватных, но получено специальное согласие субъекта.
4. Перечень государств и иностранных организаций, в которые возможна трансграничная передача4.1. Оператор осуществляет трансграничную передачу персональных данных, в том числе с использованием облачных, маркетинговых и аналитических сервисов, расположенных на территории следующих иностранных государств:
4.1.1. Государства, обеспечивающие адекватную защиту прав субъектов персональных данных:
- Республика Беларусь
- Республика Казахстан
- Армения
- Киргизия
- Республика Сербия
- Государства – члены Европейского союза (ЕС)
- Государства – участники Конвенции Совета Европы № 108
- иные государства, включенные в перечень, утверждённый Роскомнадзором
4.1.2. Государства, не обеспечивающие адекватную защиту, но передача в которые, осуществляется на основании отдельного согласия или договора:
США — для целей использования сервисов Google Analytics, Google Workspace, Firebase и др.;
ОАЭ — для работы с Telegram (Telegram FZ-LLC);
Гонконг, Сингапур — возможные локации дата-центров CDN и облачных систем (Cloudflare, AWS, Alibaba Cloud);
США — для целей использования WhatsApp Business API, форм обратной связи и переписки с клиентами в рамках бизнес-процессов.
и иные государства в зависимости от местоположения серверов партнерских сервисов.
4.2. Конкретные компании, в адрес которых может осуществляться трансграничная передача:
- Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, Сервисы аналитики и рекламы
- Telegram FZ-LLC, Dubai Internet City, Dubai, UAE, Коммуникации с пользователями
- Meta Platforms Ireland Ltd., 4 Grand Canal Square, Dublin 2, IrelandЕС, Рекламные кампании (при использовании Facebook Pixel, Instagram Ads)
- WhatsApp Inc., 1601 Willow Road, Menlo Park, California 94025, USA, Коммуникация с пользователями через чат, формы связи и автоматические сообщения
- ООО «Клиентская компания» (AmoCRM), Россия, CRM и коммуникации
4.3. Перечень иностранных государств и юридических лиц может быть дополнен или изменен в зависимости от используемых Оператором сервисов. Актуальный список публикуется на официальных сайтах Оператора или предоставляется по запросу субъекта персональных данных.
5. Меры по обеспечению безопасности при трансграничной передаче5.1. Перед передачей персональных данных за пределы Российской Федерации Оператор принимает все необходимые правовые, организационные и технические меры для защиты персональных данных от:
- неправомерного или случайного доступа,
- уничтожения,
- изменения,
- блокирования,
- копирования,
- предоставления,
- распространения,
- а также от иных неправомерных действий.
5.2. В частности, Оператор:
- проводит оценку достаточности уровня защиты прав субъектов персональных данных на стороне иностранного получателя;
- получает гарантии от получателя о соблюдении условий конфиденциальности и ограниченного использования персональных данных;
- использует шифрование, VPN или иные методы защиты при передаче данных по каналам связи;
- заключает с иностранными получателями персональных данных договоры, содержащие положения о недопустимости их дальнейшего распространения или передачи третьим лицам без согласия субъекта персональных данных.
5.3. В случае выявления нарушений, связанных с трансграничной передачей, Оператор:
- приостанавливает передачу;
- уведомляет субъектов персональных данных;
- предпринимает меры по устранению последствий.
5.4. Все сотрудники и уполномоченные лица Оператора, имеющие доступ к персональным данным, обязаны соблюдать режим конфиденциальности и требования внутренней документации по защите информации.
5.5. Использование мессенджера WhatsApp предполагает возможность передачи сообщений, технических и контактных данных (например, номера телефона) на территорию США. Оператор использует только официальный интерфейс WhatsApp Business API либо публичные ссылки с перенаправлением на клиента Пользователя, не осуществляя массовую автоматическую передачу сообщений без согласия.
