Просим разъяснить, необходимо ли нашей системе, как иностранной компании (белорусской CRM), которая

Добрый день, Полина!

Ваш вопрос — о правомерности обработки персональных данных граждан РФ через белорусскую CRM-систему и необходимости постановки в реестр операторов персональных данных, который ведет Роскомнадзор. Давайте разберем по шагам с учетом действующего законодательства РФ и позиции Роскомнадзора, включая последние разъяснения и практику.

 
️ 1. Что говорит закон?
Российское законодательство в этой области регулируется прежде всего:

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)
Позициями Роскомнадзора и судебной практикой
Отдельными нормами международного права, если затрагивается трансграничная передача данных
Ключевые положения для вашей ситуации:

Обработка персональных данных российских граждан за пределами РФ:
Согласно ч. 5 ст. 18 Закона № 152-ФЗ:

При сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории Российской Федерации.
Это называется локализация персональных данных. Вы обязаны обеспечить, чтобы хотя бы на первом этапе (сбора и хранения) персональные данные хранились в России. Только потом возможна их трансграничная передача.

Вы это уже делаете — используете Selectel на территории РФ, что соответствует требованиям локализации.

 
2. Должна ли белорусская CRM (и/или вы) регистрироваться как оператор ПДн в РФ?
Ситуация №1: CRM — это ваш подрядчик, а оператор — ваша компания
Если CRM-система в Беларуси — лишь облачный подрядчик/обработчик (т.е. вы управляете целями и способами обработки данных, а белорусская CRM — только исполняет по договору), то:

Оператором ПДн в понимании закона являетесь вы (российская компания или иностранная, но оказывающая услуги на территории РФ гражданам РФ).

В этом случае:

Именно ваша компания обязана подать уведомление в Роскомнадзор
Белорусская CRM — не обязана становиться оператором в РФ, если она обрабатывает данные по вашему поручению и на основании договора
Это соответствует п. 3 ст. 6 Закона № 152-ФЗ — «Обработка персональных данных возможна по поручению оператора».

Вы должны заключить с CRM договор, в котором четко прописаны:

предмет и цели обработки
меры по обеспечению безопасности ПДн
запрет использовать данные не по назначению
 
3. Что нужно сделать вашей компании (оператору ПДн)?
1. Подать уведомление в Роскомнадзор
Если вы еще не подавали, это обязательно. Уведомление подается:

Через портал pd.rkn.gov.ru/
В нем указываются:

цель обработки
категории субъектов
перечень ПДн
меры по защите
сведения о трансграничной передаче (в вашем случае — Беларусь)
сведения о месте хранения (Selectel)
2. ️ Принять внутренние документы по ПДн:
Политика обработки ПДн
Согласия (если не подпадает под другую правовую основу)
Порядок работы с запросами субъектов
Инструкции для персонала
3. Заключить договор с белорусской CRM:
Уточнить, что они действуют как обработчик ПДн
Указать меры защиты, ответственность и условия возврата/уничтожения данных
 
Риски и что нельзя делать:
Нельзя допускать, чтобы персональные данные сначала попадали за рубеж, минуя хранение в РФ — это будет нарушением локализации.

Нельзя использовать иностранных подрядчиков без договора с пунктами о ПДн.

Нельзя обрабатывать ПДн без уведомления в Роскомнадзор, если вы — оператор.
Итог:
Должна ли белорусская CRM включаться в реестр операторов? — Нет, если она — обработчик по вашему поручению
Должны ли вы подавать уведомление в Роскомнадзор? — Да, как оператор ПДн
Допустима ли передача данных в Беларусь? — Да, при соблюдении условий ст. 12 Закона № 152-ФЗ и наличия согласия или иной законной цели
Нужно ли обеспечивать хранение данных в РФ? — Обязательно, на первом этапе (Selectel — это правильно)