Обоснование по законодательству
- Ст. 3 ФЗ-152: оператором признаётся лицо, которое организует обработку ПДн, даже если используются сторонние сервисы.
- Ст. 22 ФЗ-152: уведомление должно содержать сведения о целях, категориях субъектов и месте хранения данных.
- Ст. 12 ФЗ-152: если CRM размещена за рубежом (например, зарубежные облачные сервисы), это трансграничная передача и её нужно указать.
Как правильно заполнить уведомление
Если CRM установлена локально (на сервере в офисе или в дата-центре в РФ):
«Место хранения: сервер организации (на территории РФ). Трансграничная передача не осуществляется.»
Если CRM облачная и размещена в России (например, российский Bitrix24, Мегаплан):
«Место хранения: серверы провайдера CRM на территории РФ. Трансграничная передача не осуществляется.»
Если CRM зарубежная (например, HubSpot, Zoho):
«Место хранения: серверы компании [название], расположенные в [страна]. Трансграничная передача осуществляется.»
Рекомендации и выводы
В уведомлении нужно зафиксировать:
— цели (ведение клиентской базы, исполнение договоров, обратная связь);
— категории субъектов (клиенты, контрагенты, сотрудники, соискатели — в зависимости от задач);
— место хранения базы (локально или у провайдера).
Формулировка «используется CRM» недостаточна: Роскомнадзору важно видеть конкретику о размещении и защите данных.
