В данной статье описывается общий порядок работы с персональным данными (далее – ПД) нашего сервиса, а также наших пользователей, использующих сервис для обработки персональных данных.
Итак, если вы собираете персональные данные своих клиентов (к примеру, ФИО, телефон и e-mail), значит вы являетесь оператором персональных данных в соответствии с 152-ФЗ. В качестве оператора персональных данных вам необходимо привести в соответствие нормативные документы, уведомить пользователей, получить разрешение на сбор и обработку персональных данных и отправить в Роскомнадзор уведомление о своих действиях.
Далее в дело вступает наш сервис, который выступает обработчиком данных и по заданию пользователя производит их выгрузку. В нашей оферте зафиксировано, что пользователь должен использовать сервис законным образом и иметь необходимые разрешения от всех субъектов персональных данных, несет ответственность перед ними, и, кроме этого, должен уведомлять соответствующие органы власти.
В качестве хранилища данных наш сервис использует облачные сервера Яндекс, расположенные в России, а также базы данных Microsoft Azure, которые располагаются в Ирландии. Расположение серверов MS Azure вне РФ и вызывает основные вопросы, так как попадает под закон о трансграничной передачи данных. И если ранее, в соответствии с письмом-разъяснением от Минцифры, было достаточно хранить исходные персональные данные на территории РФ (как это делают наши источники – CRM), то теперь любая передача ПД запрещается по умолчанию до получения разрешения (или не получения запрета в течение 10 дней после уведомления). Для получения разрешения пользователю необходимо самостоятельно предоставить Роскомнадзору пакет документов, а также дать пояснения о необходимости данных действий.
Сами мы пока такое разрешение получать не пробовали, однако, его “необходимость” может вызвать вопросы, потому как есть аналогичные решения на территории РФ.
С обработкой персональных данных наш сервис сталкивается при подключении и выгрузках из CRM-систем. Мы выгружаем поля имя, e-mail и телефон, которые являются вполне достаточными для точной идентификации персоны и являются персональными. В этих обстоятельствах мы решили ограничить выгрузку данных из CRM-систем в базы данных MS Azure начиная с 1 марта 2023 года. Для пользователей MS Azure по умолчанию будет недоступно подключение новых источников и остановлена выгрузка текущих: amoCRM, Битрикс24, RetailCRM, YClients, Flexbe, Callibri.
Кроме этого, cистемы коллтрекинга тоже могут содержать данные, которые относятся к категории персональных. Для источников Calltouch, CoMagic, Calltracking, CallKeeper информация о телефоне и email посетителей в MS Azure не передается, а поля в таблице остаются пустыми. Таким образом, в БД остается только статистическая инофрмация.
Предполагаем, что это решение может вызвать резонанс, поэтому дополним его несколькими комментариями:
- Можно предположить, что достаточно зашифровать определенные “дефолтные” поля CRM при выгрузке и продолжить выгружать данные “обезличенно”. Однако, ничто не мешает пользователю CRM использовать другие пользовательские поля для сохранения и выгрузки ПД. Проверить и как-то ограничить это мы не можем и, чтобы не вынуждать пользователей придумывать обходные “костыли”, мы решили обязать всех действовать законно.
- Мы продолжаем считать MS Azure нестабильным инструментом для хранения данных в долгосрочной перспективе. Изменения политики Microsoft или США по отношению к РФ, а также ограничения возможностей оплаты могут отрезать наш сервис и наших пользователей от данных практически в любой момент. Поэтому мы предлагаем пользователям более стабильные в этом смысле базы данных в Яндекс.Облако.
- Это решение окончательное, однозначное для всех, варианта “если никто не узнает”, извините, нет.
- Мы не делаем исключений для иностранных бизнесов: системы, выгрузка из которых блокируется, потенциально могут содержать персональные данные граждан РФ. Поэтому, во избежание спорных и двояких ситуаций, исключений в зависимости от юрисдикции пользователя нет.
- Стоит обратить ваше внимание, что даже в случае хранения персональных данных в РФ перед их владельцем сохраняется ряд обязательств, утвержденных законом. Соглашаясь с нашей офертой и поручением на выгрузку ваших данных, вы подтверждаете, что берете на себя ответственность, самостоятельно получаете разрешения от пользователей, входите в список операторов ПД и выполняете требования Роскомнадзора. Надеемся, вы ответственно подходите к этому вопросу, а так же не забываете о том, что закон регулирует не только хранение данных, но и дальнейшую их обработку, поэтому если вы храните персональные данные в РФ, а далее передаете их для визуализации сторонним сервисам вне территории РФ (к примеру, в облако Power BI), то формально вы самостоятельно инициируете трансграничную передачу данных, которая в общем случае запрещена. Необходимо это учесть при выборе архитектуры аналитической системы или же описать все пути работы с данными и получить на это необходимые подтверждения.