Иностранная CRM-система и реестр операторов персональных данных: требуется ли регистрация?

Ответ на вопрос о необходимости включения в реестр операторов персональных данных и сопутствующих обязанностях для иностранной CRM-платформы

1. Является ли ваша компания оператором по смыслу 152-ФЗ?

Да, ваша компания признается оператором персональных данных независимо от того, что вы зарегистрированы в Казахстане и не имеете физического присутствия в России. Согласно пункту 2 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»:

«оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 3)

Вы собираете ФИО, контакты, сведения о покупках российских пользователей, определяете цели обработки (ведение CRM, резервное копирование) и организуете всю эту деятельность. Следовательно, вы подпадаете под определение оператора.

2. Обязаны ли вы уведомлять Роскомнадзор и включать сведения в реестр операторов?

Да, обязанность подать уведомление в уполномоченный орган (Роскомнадзор) до начала обработки данных существует. Часть 1 статьи 22 Закона устанавливает:

«Оператор до начала обработки персональных данных обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи.»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)

Есть ли у вас основания для освобождения от этой обязанности?

Часть 2 статьи 22 перечисляет исчерпывающий перечень исключений, когда обработка может вестись без уведомления. С 1 сентября 2022 года действуют лишь три основания:

• обработка включена в государственные информационные системы персональных данных, созданные для защиты безопасности государства и общественного порядка;
• обработка осуществляется исключительно без использования средств автоматизации;
• обработка в случаях, предусмотренных законодательством о транспортной безопасности.

Ваша CRM-система явно автоматизирована и не относится к указанным категориям. Ни одно из исключений не применимо. Это означает, что до начала любой обработки персональных данных российских граждан (или как можно скорее, если обработка уже идёт) вам необходимо направить уведомление.

После его получения Роскомнадзор вносит сведения в реестр операторов в течение 30 дней (ч.4 ст.22). Без такого уведомления ваша деятельность по обработке данных находится вне правового поля.

3. Какие сведения необходимо указать в уведомлении?

Часть 3 статьи 22 Закона определяет обязательный перечень:

«наименование (фамилия, имя, отчество), адрес оператора; цель обработки персональных данных; описание мер, предусмотренных статьями 18.1 и 19 настоящего Федерального закона, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств; фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты; дата начала обработки персональных данных; срок или условие прекращения обработки персональных данных; сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки; сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации; … сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 22)

Кроме того, часть 3.1 обязывает для каждой цели обработки указывать категории персональных данных, категории субъектов, правовое основание обработки, перечень действий и способы обработки.

Применительно к вашей ситуации:

• Сведения о месте нахождения базы данных – вы должны указать, что основная база находится в Казахстане, а резервные копии – на мощностях российского оператора. Это критически важно с учётом требований локализации (см. раздел 5).
• Сведения о трансграничной передаче – обязательно указать, что данные передаются в Казахстан.

Уведомление подаётся на бумаге или в форме электронного документа (ч.3 ст.22), форма утверждена Роскомнадзором.

4. Обязанности, связанные с трансграничной передачей данных в Казахстан

Поскольку основная обработка и хранение происходят на серверах в Казахстане, имеет место трансграничная передача персональных данных. Определение этому дано в статье 3:

«трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 3)

Согласно статье 12 Закона, вы обязаны:

1. Подать отдельное уведомление о намерении осуществлять трансграничную передачу (ч.3 ст.12). Оно не заменяет основное уведомление по статье 22 и направляется дополнительно.
2. Такое уведомление должно содержать сведения, перечисленные в части 4 статьи 12: данные оператора, цель передачи, категории и перечень передаваемых данных, страны, куда передаются данные, и дату оценки соблюдения конфиденциальности.
3. До подачи уведомления вы должны получить от казахстанской стороны информацию о принимаемых мерах защиты и правовом регулировании (ч.5 ст.12).

Казахстан является участником Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных, поэтому он включён (или должен быть включён) в перечень государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором (ч.2 ст.12). Благодаря этому:

«После направления уведомления… оператор вправе осуществлять трансграничную передачу персональных данных на территории указанных в таком уведомлении иностранных государств, являющихся сторонами Конвенции Совета Европы… или включенных в предусмотренный частью 2 настоящей статьи перечень, до принятия решения…»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 12, часть 10)

То есть, подав уведомление, вы можете передавать данные в Казахстан, не дожидаясь ответа Роскомнадзора, но только если Казахстан действительно фигурирует в утверждённом перечне адекватных стран. Рекомендуем уточнить актуальную версию перечня на момент действий.

5. Критическое требование локализации баз данных на территории РФ

Ваша текущая архитектура (основная база в Казахстане) прямо противоречит императивному требованию российского законодательства. Часть 5 статьи 18 Закона (в актуальной редакции) гласит:

«При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети "Интернет", запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся за пределами территории Российской Федерации, не допускаются, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1 статьи 6 настоящего Федерального закона.»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18)

Исключения (обработка для международных договоров, судопроизводства, полномочий госорганов, журналистской деятельности) к вашей коммерческой CRM не относятся. Это означает, что весь перечисленный цикл операций (запись, систематизация, накопление, хранение, уточнение, извлечение) должен вестись с использованием баз данных, физически расположенных в России. Ваша основная база в Казахстане этому требованию не отвечает. Факт резервного копирования на российские серверы не исправляет ситуацию – первичное хранение и обработка остаются за границей.

Таким образом, первоочередной задачей является перестройка архитектуры: либо полный перенос основной базы данных в Россию, либо организация сбора и первичной обработки исключительно на российских серверах. Без этого вы находитесь в зоне высокого риска административной и иной ответственности.

6. Требования к политике обработки персональных данных

Одной политики недостаточно, но она обязательна. Статья 18.1 обязывает оператора:

«опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей сети… документ, определяющий его политику…»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 18.1, часть 2)

Содержание политики должно раскрывать (п.2 ч.1 ст.18.1):

• для каждой цели обработки – категории и перечень обрабатываемых персональных данных, категории субъектов;
• способы, сроки обработки и хранения;
• порядок уничтожения данных при достижении целей;
• меры по защите данных.

В вашем случае в политике обязательно нужно отразить:

• факт и цели трансграничной передачи в Казахстан,
• привлечение российского облачного провайдера для резервного копирования,
• местонахождение баз данных,
• права субъектов,
• способы отзыва согласия,
• контакты ответственного лица.

Этот документ должен быть доступен всем пользователям, например, размещён на сайте вашей CRM или в интерфейсе системы.

7. Взаимодействие с российским облачным провайдером (поручение обработки)

Размещение резервных копий у российского оператора – это обработка персональных данных по поручению. Порядок регламентирован частями 3-6 статьи 6 Закона:

«Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных… на основании заключаемого с этим лицом договора… В поручении оператора должны быть определены перечень персональных данных, перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели их обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных, требования… обязанность обеспечивать безопасность персональных данных…»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 6, часть 3)

Следовательно, вам необходимо:

• Заключить с облачным провайдером договор (поручение), чётко определяющий: какие данные, какие операции (резервное копирование, хранение, восстановление), цели, меры безопасности, обязанность конфиденциальности, ответственность.
• Получить согласие субъектов на поручение обработки (если оно прямо не охвачено общим согласием и законными основаниями). Практически это можно сделать через текст политики и стандартную форму согласия.
• Учитывать, что ответственность перед субъектом за действия облачного провайдера несёте вы как оператор (ч.5 ст.6). Провайдер отвечает уже перед вами.

8. Необходимость получения согласий от пользователей

Обработка данных российских граждан требует правового основания. Наиболее очевидное для вашего случая – согласие субъекта персональных данных (п.1 ч.1 ст.6). Согласие должно быть:

«конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме…»
(Федеральный закон от 27.07.2006 N 152-ФЗ, статья 9, часть 1)

Если согласие требуется в письменной форме (например, когда речь идёт о специальных категориях, но у вас их, скорее всего, нет), оно должно содержать все реквизиты из ч.4 ст.9: данные оператора, цель, перечень данных, перечень действий, срок, способ отзыва и т.д.

В вашей CRM, вероятно, пользователи регистрируются и дают согласие через веб-форму. Убедитесь, что согласие отдельно от иных условий, содержит все обязательные сведения, а также информирует о трансграничной передаче в Казахстан и о поручении облачному провайдеру. Не забудьте предоставить доказательства получения согласия (ч.3 ст.9).

9. Административная и иная ответственность

Иностранное юридическое лицо подлежит административной ответственности на общих основаниях, если правонарушение совершено на территории РФ (ст.2.6 КоАП РФ). Неуведомление Роскомнадзора – это длящееся правонарушение, местом окончания которого может считаться место нахождения органа, куда следовало направить уведомление, т.е. Россия.

К ключевым составам нарушений для вашей ситуации относятся:

• Часть 10 статьи 13.11 КоАП РФ – невыполнение обязанности по уведомлению об обработке персональных данных: штраф на юридических лиц от 100 000 до 300 000 рублей.
• Часть 8 статьи 13.11 КоАП РФ – нарушение требования локализации (ч.5 ст.18 Закона): штраф на юридических лиц от 1 000 000 до 6 000 000 рублей, за повторное – от 6 до 18 миллионов рублей (ч.9 ст.13.11).
• Часть 3 статьи 13.11 КоАП РФ – неопубликование политики обработки данных: штраф от 30 000 до 60 000 рублей на юридических лиц.
• Статья 19.7 КоАП РФ (общая норма о непредставлении сведений) может применяться, если неуведомление не подпадает под специальный состав, но ч.10 ст.13.11 здесь является специальной.

Кроме того, статья 24 Закона напоминает, что виновные лица несут ответственность в соответствии с законодательством РФ, включая возмещение морального вреда.

Таким образом, игнорирование требований чревато серьёзными финансовыми потерями и репутационными рисками.

10. Рекомендации и порядок действий

1. Проведите аудит текущего состояния с привлечением специалиста, знакомого с практикой Роскомнадзора. Сейчас ваша основная база данных в Казахстане – это прямое нарушение требования локализации. Без его устранения уведомление не снимет риски, а наоборот, может привлечь внимание регулятора.

2. Измените архитектуру хранения: создайте первичную (основную) базу данных на серверах в России. Резервное копирование в России не решает проблему, так как запись и хранение должны также вестись в РФ. Если это по каким-то причинам невозможно, рассмотрите иные юридические модели (например, использование российского юридического лица в качестве сооператора), но такой путь сложен и требует полноценной консультации адвоката.

3. Подайте в Роскомнадзор уведомление об обработке персональных данных (ст.22) и отдельное уведомление о намерении осуществлять трансграничную передачу (ст.12). Сделайте это до начала обработки либо немедленно, если обработка уже ведётся.

4. Разработайте и опубликуйте полноценную Политику обработки персональных данных, отвечающую требованиям ст.18.1. Включите в неё информацию о трансграничной передаче, о привлечении облачного провайдера, сроках хранения, порядке уничтожения.

5. Заключите с российским облачным оператором договор поручения в соответствии с ч.3 ст.6 Закона. Чётко пропишите перечень поручаемых действий, цели, меры защиты, обязанность конфиденциальности и ответственность.

6. Приведите форму согласия пользователя в соответствие со ст.9. Согласие должно быть информированным, включать сведения о передаче данных в Казахстан и поручении облачному провайдеру. Получайте его до начала обработки.

7. Назначьте лицо, ответственное за организацию обработки персональных данных (ст.22.1). Это требование обязательно для юрлица-оператора. Контактные данные этого лица включаются в уведомление.

8. Оцените риски прошлых периодов: если вы уже обрабатываете данные без уведомления и с нарушением локализации, целесообразно проконсультироваться с адвокатом по вопросам защиты при возможной проверке или инициировании процедуры приведения деятельности в соответствие.

Ваши пользователи уже задают вопросы – это сигнал к срочным действиям. Прозрачное соблюдение закона укрепит доверие клиентов и защитит от санкций.