С помощью Google форм очень удобно получать обратную связь от клиентов, работников, подписчиков. Но их использование может принести неприятности авторам опросов.
Проблема 1.
Нужно получить согласие на обработку персональных данных
Закон о персональных данных понимает под обработкой любые действия, связанные с использованием персональных данных. Инициатор опроса взаимодействует с персональными данными участников, поэтому прежде, чем запускать опрос, нужно получить согласие респондентов на обработку их данных. Это согласие должно быть выражено явно.
Казалось бы, если пользователь заполняет опрос, то он согласен на обработку своих данных. Но по закону это неочевидно. Как минимум, в форме опроса должно быть упоминание, что, отправляя данные, пользователь соглашается на обработку персональных данных.
В Google формах такого упоминания нет. Более того, Google обращает внимание, что он не имеет никакого отношения к опросам.
Как снизить риск
Чтобы снизить риск претензий из-за отсутствия согласия на обработку, добавьте в форму последний вопрос примерно такого содержания:
“Нажимая галочку и кнопку “Отправить”, я соглашаюсь на обработку персональных данных”.
Сделайте этот вопрос обязательным и дайте возможность пользователю поставить галочку. Если пользователь не поставит галочку, опрос нельзя будет отправить.
Что грозит за сбор персональных данных без согласия на обработку
За обработку персональных данных без согласия с инициатора опроса могут взыскать штраф по ч.2 ст.13.11 КоАП РФ:
с гражданина - от 10 000 до 15 000 рублей;
с компании - от 300 000 до 700 000 рублей;
с руководителя компании или ИП - от 100 000 до 300 000 рублей.
Проблема 2.
Данные сохраняются на серверах за пределами РФ
При сборе персональных данных нужно выполнить требование о локализации. Это значит, что, когда вы собираете персональные данные, они должны сначала сохраниться на серверах на территории РФ.
В политике конфиденциальности Google указано, что сервера Google находятся в разных странах по всему миру.
Что грозит за нарушения требования о локализации
За нарушение требования о локализации могут взыскать штраф по ч.8 ст.13.11 КоАП РФ:
с гражданина - от 30 000 до 50 000 рублей;
с компании или с ИП - от 1 000 000 до 6 000 000 рублей;
с руководителя компании - от 100 000 до 200 000 рублей.
Если в течение года Роскомнадзор найдет повторное нарушение этого требования, то могут взыскать штраф по ч.9 ст.13.11 КоАП РФ:
с гражданина - от 50 000 до 100 000 рублей;
с компании или с ИП - от 6 000 000 до 18 000 000 рублей;
с руководителя компании - от 500 000 до 800 000 рублей.
Проблема 3.
Происходит трансграничная передача персональных данных
При трансграничной передаче персональных данных происходит их передача органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
Сервера Google находятся за пределами РФ и принадлежат иностранным компаниям. Поэтому, когда пользователи заполняют опрос, их данные попадают к иностранным компаниям, то есть происходит трансграничная передача.
С 1 марта 2022 года компании должны уведомлять Роскомнадзор о трансграничной передаче персональных данных.
Что грозит за трансграничную передачу персональных данных
без уведомления
За трансграничную передачу персональных данных без уведомления могут взыскать штраф по ст.19.7 КоАП РФ:
с граждан - от 100 до 300 рублей;
с компании - от 3 000 до 5 000 рублей;
с руководителя компании или ИП - от 300 до 500 рублей.
