Кто считается оператором при обработке персональных данных через CRM-системы и нужно ли регистрироваться в надзорном органе?

<h2 id="crm-">Ответ на вопрос об обработке персональных данных при использовании CRM-системы</h2> <h3 id="_1">Кто является оператором персональных данных?</h3> <p>В вашей ситуации оператором персональных данных признается ваша организация, осуществляющая сдачу оборудования в аренду.</p> <p>Обоснование: согласно законодательству, оператор — это лицо, "самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными" (Источник: Федеральный закон "О персональных данных", статья 3).</p> <p>Вы самостоятельно определяете цели обработки данных (оформление договора аренды), состав обрабатываемых данных (ФИО, паспортные данные и т.д.) и совершаемые действия. Провайдер CRM-системы лишь предоставляет вам технические средства для обработки.</p> <h3 id="_2">Обязанность уведомления Роскомнадзора</h3> <p><strong>Да, вы обязаны направить уведомление об обработке персональных данных в уполномоченный орган (Роскомнадзор).</strong></p> <p>Обоснование: Закон предусматривает исключение из обязанности уведомления только в случае, если "оператор осуществляет деятельность по обработке персональных данных исключительно без использования средств автоматизации" (Источник: Федеральный закон "О персональных данных", статья 22, часть 2, пункт 8).</p> <p>CRM-система является средством автоматизации, поскольку закон определяет автоматизированную обработку как "обработку персональных данных с помощью средств вычислительной техники" (Источник: Федеральный закон "О персональных данных", статья 3). Следовательно, исключение к вам не применяется, и уведомление необходимо направить до начала обработки данных.</p> <h3 id="crm-_1">Взаимодействие с провайдером CRM-системы</h3> <p>Взаимодействие должно быть оформлено договором, в котором провайдер CRM выступает как лицо, осуществляющее обработку персональных данных по поручению оператора.</p> <blockquote> <p>"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора" (Источник: Федеральный закон "О персональных данных", статья 6, часть 3).</p> </blockquote> <p>Договор должен содержать существенные условия, включая:<br /> * Перечень обрабатываемых персональных данных<br /> * Цели обработки<br /> * Перечень действий с данными<br /> * Обязанность провайдера соблюдать конфиденциальность<br /> * Обязанность провайдера обеспечивать безопасность данных<br /> * Требования к защите данных</p> <blockquote> <p>"Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы... или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора. Договор... должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе" (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 3).</p> </blockquote> <p>Важно: ответственность перед клиентами за действия провайдера CRM несете вы как оператор.</p> <h3 id="_3">Риски хранения данных на серверах провайдера и передача третьим лицам</h3> <ol> <li> <p><strong>Ответственность за безопасность</strong>: Даже при хранении данных на серверах провайдера, обязанность по обеспечению безопасности персональных данных лежит на вас как на операторе. Вы должны выбрать провайдера, который может предоставить гарантии соответствия требованиям законодательства.</p> </li> <li> <p><strong>Требование о территориальном размещении</strong>: Закон устанавливает обязательное требование о нахождении баз данных с персональными данными граждан РФ на территории Российской Федерации.</p> </li> </ol> <blockquote> <p>"Оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить... нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение... персональных данных граждан Российской Федерации" (Источник: Федеральный закон "Об информации, информационных технологиях и о защите информации", статья 16, часть 4, пункт 7).</p> </blockquote> <ol start="3"> <li><strong>Передача данных для технической поддержки</strong>: Любая передача данных третьим лицам (включая сотрудников техподдержки провайдера) должна быть регламентирована. Такая передача квалифицируется как "предоставление персональных данных" (раскрытие данных определенному лицу или кругу лиц). Это действие должно быть предусмотрено в договоре с провайдером и в согласии клиента на обработку данных. Провайдер обязан обеспечить, чтобы его сотрудники, имеющие доступ к данным, соблюдали конфиденциальность.</li> </ol> <blockquote> <p>"Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом" (Источник: Федеральный закон "О персональных данных", статья 7).</p> </blockquote> <h3 id="_4">Выводы и конкретные рекомендации</h3> <ol> <li> <p><strong>Вы — оператор персональных данных.</strong> Все обязанности, предусмотренные законом, лежат на вашей организации.</p> </li> <li> <p><strong>Обязательно подайте уведомление в Роскомнадзор.</strong> Поскольку вы используете CRM-систему (средство автоматизации), исключение не применяется. Сделать это нужно до начала обработки данных.</p> </li> <li> <p><strong>Заключите с провайдером CRM-системы договор</strong>, который соответствует требованиям ст. 6 закона "О персональных данных" и четко определяет его как лицо, обрабатывающее данные по вашему поручению, с возложением на него конкретных обязанностей по безопасности и конфиденциальности.</p> </li> <li> <p><strong>Убедитесь, что база данных с персональными данными размещена на территории РФ.</strong> Запросите у провайдера CRM соответствующую информацию и документальное подтверждение.</p> </li> <li> <p><strong>Уточните согласие клиентов.</strong> Убедитесь, что получаемое вами письменное согласие на обработку персональных данных содержит все обязательные реквизиты, включая возможность поручения обработки другому лицу (провайдеру CRM). В предоставленном контексте не содержится полного перечня обязательных реквизитов согласия, поэтому для проверки его соответствия рекомендуется обратиться к тексту статьи 9 Федерального закона "О персональных данных".</p> </li> <li> <p><strong>Назначьте ответственного за обработку персональных данных</strong> в вашей организации (это требование для юридических лиц).</p> </li> <li> <p><strong>Разработайте и опубликуйте политику в отношении обработки персональных данных</strong> — это прямая обязанность оператора.</p> </li> </ol> <p><strong>Риски неисполнения обязанностей:</strong> Административная ответственность по ст. 13.11 КоАП РФ (в контексте не приведена, но предполагается), риск предписаний и штрафов от Роскомнадзора, а также гражданско-правовая ответственность перед клиентами в случае утечки данных.</p> <p>Для детальной проработки локальных актов и договора с провайдером CRM рекомендуется обратиться к адвокату, специализирующемуся на информационном праве.</p> <p><em>Этот ответ подготовлен с помощью ИИ и может содержать неточности.</em></p>