В четверг, 21 ноября, Госдума в третьем чтении приняла законопроект, увеличивающий суммы штрафов за «невыполнение оператором при сборе персональных данных граждан Российской Федерации обязанности по обеспечению их хранения с использованием баз данных, находящихся на территории Российской Федерации». Сумма выплат для юрлиц увеличится до 18 млн руб. Несмотря на то, что требование о хранении персональных данных на территории России появилось еще в 2015 году, реальные и массовые проверки международных компаний начались не так давно.
Как международной компании соблюсти все правила, не потеряв клиентов — в колонке управляющего директора INBRIEF CRM (принадлежит 
ARK Group) Максима Алешина.
Только за этот год два наших международных клиента попали под аудит Роскомнадзора. Но в отсутствие четко обозначенной административной ответственности за выявленные нарушения эффективность этих проверок, вероятно, оставляла желать лучшего. Теперь эта ситуация изменилась и у компаний, не перестроивших систему хранения персональных данных есть реальный риск получить многомиллионный штраф. Каждый второй запрос, приходивший в CRM-агентство INBRIEF в последние годы, так или иначе касался этой темы.
В подавляющем большинстве случаев с этой проблемой сталкиваются международные компании, недавно вышедшие на российский рынок или решившие поставить процесс работы с конечным потребителем инструментами CRM-маркетинга. Существует несколько типовых кейсов, с которыми приходят такие клиенты:
- Нет ничего, все надо построить локально, без оглядки на головной офис и международный опыт — идеальная ситуация, развязывающая руки и не обременяющая заказчика лишними «прокладками».
- Есть глобальный сайт, на котором развернут сбор контактов и настроена исходящая коммуникация по email. Контакты собираются в базу, расположенную в той или иной стране, а для остальных есть локальные версии такого сайта, в том числе для России. И необходимо сделать так, чтобы не нарушать закон.
- И более сложный случай предыдущего кейса — глобальный интернет-магазин с русской версией на большом и дрогостоящем enterprise-решении с отлаженными процессами, которое переделывать под Россию никто не хочет.
- Есть и нестандартные вариенты, например, когда регистрация происходит в оффлайне, и настроена через глобальный кассовый софт. Для таких кейсов компания формирует индивидуальные решения.
Какие требования необходимо соблюдать
Основные юридические требования по сбору и обработке персональных данных и их трансграничной передаче изложены в законе «О персональных данных» и в ФЗ № 242, который вносит в него некоторые дополнения. Основные моменты, на которые компании следует обратить особое внимание:
- Осуществлять сбор, обработку и хранение данных могут только операторы, зарегистрированные в соответствующем реестре Роскомнадзора.
- Все действия по сбору, хранению и обработке, а также любому изменению данных должны производиться строго в России, то есть первоначально любые манипуляции с данными должны быть на территории страны. В дальнейшем допускается их трансграничная передача в другое государство, если оно подписало соответствующие международные соглашения об охране персональных данных. Правило простое — в случае внезапного обрыва связи с заграничным сервером самый свежий апдейт должен быть здесь.
Варианты локализации данных
Все это значит, что глобальные корпорации больше не могут использовать ранее разработанные глобальные решения для сбора и обработки данных в России, и вынуждены искать другие пути.
Путь 1: самостоятельно подать заявку на регистрацию в реестре операторов Роскомнадзора
Для этого необходимо соблюдение требований, которые предъявляет к операторам Роскомнадзор, в том числе:
- зарегистрировать на территории России юридическое лицо
- приобрести или арендовать на территории России сервера для хранения данных
- иметь в штате соответствующих специалистов и сертифицированное техническое оборудование, а также обеспечить необходимые меры защиты персональных данных от несанкционированного доступа и утери
Путь 2: обратиться в специализированное CRM-агентство
Речь идет об аутсорсинге обработки персональных данных сторонним оператором. Мы в INBRIEF часто сталкиваемся с такими задачами и разработали типовые решения для международных компаний, планирующих адаптировать имеющиеся IT-ресурсы (сайт, интернет-магазин) для России.
И тут тоже есть два варианта.
Вариант А. Выделение и локализация целого бизнес-процесса сбора и обработки данных.
Как правило, речь идет о ресурсах, в которых бизнес-процесс сбора и обработки ПД не завязан на другие и может быть легко выделен — корпоративные сайты с подпиской, продуктовые сайты с регистрацией продукта, несложные варианты программ лояльности. В этом случае хранение и обработка данных происходят на нашей платформе. Основная задача — обеспечить бесшовную их передачу их с глобального ресурса. Как правило, на сайте существует набор форм (регистрация клиента, регистрация продукта, подписка на новости), в которые вводятся клиентские данные. Необходимо перенаправить эти данные на российский сервер. Это можно сделать двумя путями.
В первом случае мы предоставляем REST API и разработчики сайта переключают на него регистрацию/сбор данных, авторизацию и функционал личного кабинета. По такому принципу организована регистрация в российском клубе лояльности одного из международных брендов детского питания с сайта, поддержка которого осуществляется для всех стран на глобальном уровне.
Другой вариант — более глубокая локализация, касающаяся самих форм сбора данных. В этом случае, даже сами формы разрабатываются нами и их хостинг осуществляется в России. Это снимает любые возможные вопросы по точке возникновения данных. Информация с форм также передается на нашу платформу. Причем такие формы могут быть встроены в глобальный сайт с помощью iframe (как это организовано на сайте нашего немецкого клиента BRITА) либо вообще располагаться на отдельной странице на домене третьего уровня, ссылка на которую находится на глобальном сайте. Этот способ идеален с юридической точки зрения. Удачный пример — организация сбора данных на сайте нашего клиента Stanley Black & Decker: на глобальном сайте ru.dewalt.global располагаются кнопки «ВХОД» и «МОЙ DEWALT», ведущие на локальную форму и личный кабинет по адресу my.dewalt.ru.
Вариант Б. «Перехват» данных
Такой вариант идеально подходит для российской версии больших интернет-магазинов, работающих по всему миру (и хранящих данные на глобальных серверах). В этом случае процесс хранения и обработки персональных данных уже невозможно изолировать от других (например, заказа товара или оплаты) и любые вмешательства в бэкенд интернет-магазина должны быть минимизированы. Мы вынуждены использовать зарубежные базы для хранения персональных данных за рубежом, но можем исполнить букву закона другим способом — обеспечив «перехват» из регистрационных и адресных форм, в которые вводятся персональные данные российских клиентов. То есть достаточно обеспечить сохранение критичных данных на территории России ДО того, как они попадут в глобальную базу интернет-магазина. Мы так же предоставляем REST API для этого. Данные из форм сначала записываются к нам в базу и если это произошло успешно, мы даем разрешение продублировать эти данные в базу интернет-магазина.