📄 ЛОКАЛЬНЫЙ И ИНОСТРАННЫЙ САППОРТ
Что действительно требует закон?
Требование о локализации закреплено в ч. 5 ст. 18 Закона № 152-ФЗ. Оно означает, что при сборе персональных данных граждан Российской Федерации базовые операции обработки должны осуществляться через базы данных, находящиеся в России.
Ключевое здесь именно сбор. Минцифры РФ определяет его как целенаправленный процесс получения персональных данных оператором непосредственно от субъекта либо через специально привлеченных для этого третьих лиц.
При этом локализация не означает абсолютный запрет на использование иностранной инфраструктуры. Базовая модель остается прежней: сначала локализация в России, затем (при необходимости и с соблюдением ст. 12 Закона № 152-ФЗ) последующая трансграничная передача.
📆 С 1 июля 2025 года формулировка ч. 5 ст. 18 стала жестче: вместо обязанности «обеспечить» операции с использованием российских баз данных закон закрепил прямой запрет осуществлять такие операции с использованием иностранных баз данных.
Но, как подтверждает письмо Минцифры России от 12.05.2025 № П25-44929, сама логика регулирования не изменилась.
Локализации подлежат персональные данные граждан Российской Федерации, собираемые оператором: данные клиентов, работников, кандидатов, пользователей сайта или приложения, представителей контрагентов и иных физических лиц — граждан Российской Федерации. Это касается как "обычных" персональных данных, так и специальных категорий персональных данных и биометрических персональных данных.
Не подлежат локализации сведения, которые не являются персональными данными, персональные данные иностранных граждан и лиц без гражданства, а также не собранные оператором данные (например, созданный и присвоенный оператором идентификатор субъекта в информационной системе).
Основной риск в модели иностранного саппорта связан не с географией команды, а с архитектурой обработки. Проблема возникает, если иностранный подрядчик или иностранная платформа становятся первичной или основной точкой приема, записи и хранения обращений клиентов — граждан Российской Федерации.
Рискованные сценарии здесь типовые:
🔵данные впервые вносятся в иностранную CRM, helpdesk-систему, тикетинговую платформу или облачную телефонию;
🔵обращения, переписка, записи разговоров и карточки клиентов сразу сохраняются в зарубежной базе данных;
🔵иностранная система является единственной мастер-базой.
Во всех этих случаях возникает риск нарушения требования о локализации.
Отдельно нужно помнить: если иностранное лицо получает персональные данные или доступ к ним в связи с исполнением сервисной функции, возникает вопрос о трансграничной передаче по ст. 12 Закона № 152-ФЗ. То есть локализация и трансграничная передача — это не взаимоисключающие режимы, а последовательные этапы анализа.
Что важно сделать на практике:
✔️определить роль иностранного подрядчика;
✔️оформить поручение на обработку персональных данных или включить соответствующие условия в договор;
✔️обеспечить, чтобы сбор, основное хранение, актуализация и извлечение осуществлялись в базе данных в России;
✔️до начала трансграничной передачи направить в Роскомнадзор уведомление о намерении осуществлять трансграничную передачу персональных данных;
✔️проверить правовое основание обработки по ч. 1 ст. 6 Закона № 152-ФЗ;
✔️минимизировать объем передаваемых данных;
✔️исключить формирование иностранным подрядчиком собственной «теневой» или параллельной мастер-базы клиентов.
Использовать иностранный саппорт можно. Проблемы начинаются там, где иностранный сервис становится основной точкой сбора и хранения персональных данных граждан РФ.
Если у вас саппорт, CRM или helpdesk завязаны на иностранную инфраструктуру, это лучше проверить заранее. Мы поможем оценить риски, разобрать схему обработки и привести ее в порядок.
😎
