CRM в уведомлении Роскомнадзора

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор при проверках исходит из того, что CRM подлежит обязательному указанию в уведомлении оператора персональных данных, если через неё осуществляется обработка персональных данных физических лиц. Использование CRM рассматривается как автоматизированная обработка с применением информационной системы, а сведения о таких системах должны быть отражены в уведомлении.

Неуказание CRM в уведомлении квалифицируется как предоставление недостоверных или неполных сведений об обработке персональных данных. При проверках Роскомнадзор сопоставляет фактическое использование CRM с данными реестра операторов и фиксирует расхождения как самостоятельное нарушение, даже при наличии политики ПДн и организационно-распорядительной документации.

Что такое уведомление оператора персональных данных

Уведомление оператора персональных данных — это обязательное сообщение в Роскомнадзор о факте и условиях обработки персональных данных. На основании уведомления оператор включается в государственный реестр операторов персональных данных.

Уведомление содержит сведения о:

операторе персональных данных;
целях и правовых основаниях обработки;
категориях персональных данных и субъектов;
способах обработки (автоматизированная, смешанная);
используемых информационных системах персональных данных (ИСПДн);
мерах по обеспечению безопасности данных.

Оператор несёт ответственность за полноту и достоверность сведений, указанных в уведомлении. Любая фактически используемая ИСПДн, через которую обрабатываются персональные данные, должна быть отражена в уведомлении. Именно в этом контексте Роскомнадзор рассматривает вопрос об обязательном указании CRM.

Когда CRM подлежит указанию в уведомлении

CRM подлежит обязательному указанию в уведомлении оператора персональных данных во всех случаях, когда через неё осуществляется обработка персональных данных. Критерием является не назначение системы («для продаж», «для учёта клиентов»), а фактическое содержание и характер обрабатываемых данных.

CRM необходимо указывать в уведомлении, если:

в системе хранятся данные физических лиц (клиенты, контрагенты, пользователи);
обработка осуществляется с использованием средств автоматизации;
данные систематизируются, изменяются, анализируются или передаются;
CRM используется на постоянной или регулярной основе.

При этом не имеет значения:

является ли CRM коробочной или облачной;
используется ли она «частично» или «в тестовом режиме»;
обрабатываются ли данные работников или клиентов.

Если персональные данные присутствуют в CRM, такая система признаётся ИСПДн и должна быть отражена в уведомлении. Игнорирование этого требования при проверках квалифицируется как нарушение обязанности по предоставлению достоверных сведений оператором персональных данных.

Какие сведения о CRM указываются в уведомлении

В уведомлении Роскомнадзора CRM отражается не как программный продукт, а как используемая информационная система персональных данных. Поэтому указываются не маркетинговые названия, а сведения, характеризующие обработку персональных данных.

В уведомлении по CRM указываются:

наименование ИСПДн (например, «CRM-система для учета клиентов»);
цели обработки персональных данных;
категории субъектов персональных данных;
категории обрабатываемых персональных данных;
способы обработки (автоматизированная или смешанная);
сведения о применяемых мерах защиты;
наличие передачи данных третьим лицам.

Ошибкой является указание CRM «в общем виде» без привязки к целям и данным. При проверках Роскомнадзор сопоставляет описание ИСПДн в уведомлении с фактическим функционалом CRM и выявляет расхождения.

Нужно ли указывать каждую CRM отдельно

Если оператор использует несколько CRM или несколько ИСПДн, каждая система должна быть отражена в уведомлении, если через неё обрабатываются персональные данные.

Варианты допустимого указания:

каждая CRM описывается как отдельная ИСПДн;
допускается группировка, если системы выполняют одинаковые функции и обрабатывают идентичные данные;
при разных целях и категориях данных требуется раздельное описание.

Недопустимо:

указывать только «основную» CRM;
игнорировать вспомогательные или тестовые системы;
скрывать использование отдельных CRM, считая их «внутренними».

Роскомнадзор оценивает фактическое количество используемых ИСПДн, а не формальное описание в уведомлении.

Использование облачной CRM и поручение обработки

При использовании облачной CRM персональные данные передаются третьему лицу — провайдеру CRM. Этот факт также должен быть отражён в уведомлении.

В этом случае необходимо:

указать передачу персональных данных третьему лицу;
отразить сведения о поручении обработки;
проверить возможную трансграничную передачу данных;
иметь договор поручения обработки персональных данных.

Отсутствие отражения передачи данных в уведомлении при использовании облачной CRM является типовым нарушением, выявляемым при проверках.

Когда уведомление можно не актуализировать

Уведомление может не актуализироваться только при отсутствии изменений в обработке персональных данных. Это исключение применяется крайне ограниченно.

Уведомление подлежит обновлению, если:

внедрена новая CRM;
изменён функционал существующей CRM;
расширен состав персональных данных;
изменены цели обработки;
подключён новый облачный сервис.

Распространённая ошибка — считать, что внедрение CRM «не меняет обработку». При проверках Роскомнадзор исходит из противоположной позиции.

Позиция Роскомнадзора по CRM в уведомлении

Роскомнадзор выявляет неуказанные CRM:

при анализе документов и ИСПДн;
при опросе ответственных лиц;
при проверке договоров с IT-поставщиками;
при анализе сайта и внутренних процессов.

Типовая формулировка в актах проверок:
«Оператором используется информационная система персональных данных, не отражённая в уведомлении».

Типичные ошибки операторов

На практике чаще всего выявляются:

полное неуказание CRM в уведомлении;
формальное описание без указания целей и данных;
несоответствие уведомления фактической работе CRM;
отсутствие отражения облачного провайдера;
отсутствие актуализации уведомления при изменениях.

Такие ошибки квалифицируются как предоставление недостоверных сведений.

Как корректно указать CRM в уведомлении

Для корректного указания CRM необходимо:

провести инвентаризацию всех используемых ИСПДн;
определить цели и состав данных в каждой CRM;
корректно отразить CRM в уведомлении;
актуализировать сведения при изменениях.

На практике это выполняется через подачу уведомления в Роскомнадзор для регистрации оператора персональных данных, с учётом фактической архитектуры ИСПДн.

На практике

На практике Роскомнадзор исходит из принципа:
если персональные данные обрабатываются в CRM — эта система должна быть указана в уведомлении.

Большинство нарушений связано не с отсутствием документов, а с тем, что фактические ИСПДн не совпадают с данными реестра операторов. Корректное указание CRM в уведомлении — один из ключевых элементов снижения рисков при проверках.

Нужно ли указывать CRM в уведомлении Роскомнадзора?

Что такое уведомление оператора персональных данных

Когда CRM подлежит указанию в уведомлении

Какие сведения о CRM указываются в уведомлении

Нужно ли указывать каждую CRM отдельно

Использование облачной CRM и поручение обработки

Когда уведомление можно не актуализировать

Позиция Роскомнадзора по CRM в уведомлении

Типичные ошибки операторов

Как корректно указать CRM в уведомлении

На практике

Является ли CRM обработкой персональных данных

Как правильно оформить согласие на сбор персональных данных на сайте?

Нужно ли согласие на обработку cookies на сайт

Какие документы по персональным данным нужны ИП на УСН

Законно ли собирать данные через формы обратной связи?

Распространяется ли 152-ФЗ на самозанятых?