Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM. Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.
Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!
Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?
Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.
Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.
Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.
К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.
Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (http://b-152.ru/proverka_PDn.pdf)
Задающий вопрос, возможно, немного ошибся. Закон вступил в силу уже давно и функционирует уже вот почти 10 лет. А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.
)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами." Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275 ну или тут попроще Роскомнадзором изложено https://rkn.gov.ru/treatments/p459/p468/ Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести
Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.
Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!
Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.
Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р
Работа с ПДн это конечно феерия запутанности...
Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?
Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.
Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.
Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.
К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.
Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (http://b-152.ru/proverka_PDn.pdf)
А может вы как представитель CRM растолкуете?
С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?
А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?
Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.
Андрей Токарев.
Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.
)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено https://rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести
Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?
Не только в хранении на территории РФ вопрос, далеко не только.
Да всем насрать на ваши пнд.
Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.
это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.