Все это — онлайн, с заботой о вас и по отличным ценам.
Что мы можем сделать, чтобы снять с себя эти ограничения и со своих клиентов?
Нам нужно подготовить обоснование возможности (или подтвердить не возможность) использования иностранной инфраструктуры при работе с российскими заказчиками.
С кем работаем:
- Наш клиент: Юр лица, которые предоставляют услуги физ лицам. Например автомобильный дилер или школа обучения программированию.
Наша инфраструктура:
- API и интеграционная шина: www.make.com (Физически находится в Германии)
- Хранение данных (база данных): www.airtable.com (физически США)
- Обработка данных:
- www.OpenAI.com (физически в США)
- www.Huggingface.com (физически в США)
Какие данные забираем у наших клиентов:
- Записи телефонных разговоров их менеджеров с клиентами (например звонок в дилерский центр для записи на сервис или консультация по выбору автомобиля)
- Контекстные данные к звонку:
- ID звонка в их системе
- Время и дата
- Имя консультанта
- Название филиала
- и другое
Как обрабатываем:
- Делаем транскрибацию звонка (перевод из аудио с текст)
- Обрабатывает текст с помощью ИИ моделей, чтобы получить анализ звонка с информацией о ходе разговора и его результате
- Тексты разговора, запись и результаты обработки складываем к себе в базу данных и отдаем клиенту через веб интерфейс или через интеграцию (API)
Особенности:
- В явном виде никаких персональных данных мы у клиентов не получаем (как мы это понимаем). Мы не знаем имен, номеров телефонов и т.д.
- Но в ходе разговора иногда менеджер и клиент могут обмениваться какой-то информацией:
- Могут обращаться по имени отчеству
- Продиктовать часть или полный номер телефона, чтобы позже связаться по мобильному
- Иногда могут продиктовать гос номер автомобиля или часть VIN номера
Вопросы:
1. Можем ли мы говорить, что мы не обмениваемся персональными данными с нашими клиентами? Или это не так?
2. Нужна ли нам в нашем случае локальная инфраструктура в РФ или мы можем обойтись иностранной?
3. Если мы подпадаем под действие закона и ограничения связанные с трансграничной передачей персональных данных. Что мы можем сделать, чтобы снять с себя эти ограничения и со своих клиентов?
Добрый день.
В Вашем случае прежде всего важно понимание того что к ПД в соответствии со 152-ФЗ статья 3 относятся
любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)
https://www.consultant.ru/document/cons_doc_LAW_61801/4f41fe599ce341751e4e34dc50a4b676674c1416/
Поэтому необходимо понимание того возможно ли на основании получаемых сведений определить их отношение к конкретному лицу. Если возможно — это ПД.
Вы указываете
Но в ходе разговора иногда менеджер и клиент могут обмениваться какой-то информацией:
— Могут обращаться по имени отчеству
— Продиктовать часть или полный номер телефона, чтобы позже связаться по мобильному
— Иногда могут продиктовать гос номер автомобиля или часть VIN номера
Т.е. в Вашем случае ПД, как Вы сами указали, к Вам все же поступают и Вы их обрабатываете и осуществляете трансграничную передачу.
В этой связи Вы попадаете под ограничения связанные с трансграничная передача персональных данных, поскольку их хранения происходят у Вас на серверах иностранного государства.
Порядок действий для возможности (невозможности) трансграничной передачи ПД урегулирован статьей 12 152-ФЗ www.consultant.ru/document/cons_doc_LAW_61801/e4ebbe1780de623c7cf32a59ca82a7bb523a25dd/
3. Если мы подпадаем под действие закона и ограничения связанные с трансграничной передачей персональных данных. Что мы можем сделать, чтобы снять с себя эти ограничения и со своих клиентов?
Выхода только 2 — либо полностью отказаться от обработки любых видов ПД, либо полностью пройти процедуру отраженную в ст.12 152-ФЗ. Если по Вашему заявлению не будет принято решение о запрещении или об ограничении трансграничной передачи персональных данных, то сможете работать без нарушения закона дальше. При этом совершенно не всегда на трансграничную передачу данных следует запрет или ограничение — https://www.rbc.ru/technology_and_media/16/06/2023/648af6909a79471a5777af4d
https://www.interfax.ru/russia/913654
Однако в соответствии с Приказом Роскомнадзора от 05.08.2022 N 128 «Об утверждении перечня иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных» США не входит в список стран обеспечивающих адекватную защиту субъектов ПД https://www.garant.ru/products/ipo/prime/doc/405209273/, в связи с чем стоит по крайней мере перед уведомления перенести серверы хранения ПД в иную страну.
Все остальные моменты, а нюансов масса, могут быть детально разобраны в рамках отдельной полноценной услуги в чате( кнопочка рядом с фото юриста, доступна при входе на сайт через браузер)
С уважением Евгений Беляев