Вопросы Редакция vc.ru
6 952

Как не нарушать закон «О персональных данных» при работе с облачными CRM

В закладки

Здравствуйте.

Все мы в своих CRM храним персональные данные — ФИО, личные телефоны, email, а часто и адреса и более личную информацию о клиентах. Скоро закон вступает в полную силу, а ни одна из популярных облачных CRM («Битрикс24», «Фреш офис», amoCRM, «Мегаплан») не обещает соответствия 152-ФЗ.

Нас молча вынуждают нарушать закон и перекладывают ответственность, или же эту проблему не должны решать сами сервисы?

Отвечает Максим Лагутин, руководитель, специалист по информационной безопасностиюридического сервиса «Б-152»

Привет. Это отличный вопрос, и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

#инструкции #право

Материал опубликован пользователем. Нажмите кнопку «Написать», чтобы поделиться мнением или рассказать о своём проекте.

Написать
{ "author_name": "Редакция vc.ru", "author_type": "self", "tags": ["\u043f\u0440\u0430\u0432\u043e","\u0438\u043d\u0441\u0442\u0440\u0443\u043a\u0446\u0438\u0438"], "comments": 29, "likes": 15, "favorites": 5, "is_advertisement": false, "subsite_label": "ask", "id": 15994, "is_wide": true, "is_ugc": true, "date": "Fri, 03 Jun 2016 19:28:12 +0300" }
{ "id": 15994, "author_id": 2, "diff_limit": 1000, "urls": {"diff":"\/comments\/15994\/get","add":"\/comments\/15994\/add","edit":"\/comments\/edit","remove":"\/admin\/comments\/remove","pin":"\/admin\/comments\/pin","get4edit":"\/comments\/get4edit","complain":"\/comments\/complain","load_more":"\/comments\/loading\/15994"}, "attach_limit": 2, "max_comment_text_length": 5000, "subsite_id": 199125, "possessions": [] }

29 комментариев 29 комм.

Популярные

По порядку

Написать комментарий...
13

Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.

Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!

Ответить
1

Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.

Ответить
5

Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р

Ответить
–4

Аркадий это нормально когда есть те кому все не нравится. Вы помогаете нам стать лучше :-)

Ответить
8

Вы совсем не умеете достойно представлять свой продукт.

Выскажу вам мнение всех минусующих: слишком открытая реклама, ни слова по теме.

Вот вам пример правильного комментария: "Если вас интересует crm, хранящая данные по всем законам, попробуйте нашу систему. Мы постарались решить эту проблему и у нас получилось. Решили так и так"

Это не форум для молодых мам, это не ответы mail.ru.

О вас знать никто не знает, а вы просите уже не сравнивать вас с лидерами рынка. Короче, вы хотели, наверное, круто тут пропиариться, но облажались.

Спасибо мне за этот комментарий, он сделает вас лучше и вы больше не будете отвечать как все горе-маркетологи.

Ответить
0

Сейчас в сексизме обвинят

Ответить
1

Работа с ПДн это конечно феерия запутанности...

Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?

Ответить
0

Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.

Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.

Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.

К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.

Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (http://b-152.ru/proverka_PDn.pdf)

Ответить
0

То есть в реальности меры по защите ПДн никто не проверяет и можно спать спокойно, написав что все по закону в документации?

Ответить
0

Именно, документации будет достаточно.

Ответить
0

"Суровость законов компенсируется не обязательностью их исполнения" :)

Ответить
0

В плане технической защиты получается что-то вроде того :)

Ответить
1

Вопрос изначально не правильно поставлен: нас заставляют нарушать закон? Возможно те кто хранит данные на коленках или в Excel сливая на флешку данные работодателя в меньшей степени несут ответственность за исполнение закона. Но тогда кто защитит предпринимателей? Какие есть предложения у юристов? Когда пишут подобные статьи в чем их смысл? Став под сомнения весь it рынок облачных сервисов. Когда у компании нет средств приобрести дорогостоящий лицензионный софт который защитит данные она идёт на рынок. Это лучше? А что лучше идти на рынок или купить официально облачный низкий по затратам софт? Здесь проблема глубже чем может показаться.

Ответить
0

А может вы как представитель CRM растолкуете?

С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?

Ответить
0

А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?

Ответить
0

Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.

Ответить
2

Штрафы там кажется более злые будут.

Ответить
0

Да, штрафы ожидаются очень "злыми", если их в итоге примут.

В конце материала про изменения закона (b-152.ru/izmeneniya_152fz_2015/) есть наглядная таблица, какими могут быть эти штрафы.

Ответить
–9

FreshOffice вместо Фреш офис это раз, а во вторых www.mono8.freshoffice.ru это два. Классическое решение с возможностью использования облачных сервисов. И пожалуйста не сравнивайте нас с 1с и амо это не серьёзно. Когда в системах нет возможности вести финансы это не система по управлению продажами.

Ответить
0

Андрей Токарев.

Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.

Ответить
0

)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено https://rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести

Ответить
0

Это уже на совести разработчиков CRM-систем.

Ответить
0

Я уверена из всех озвученных компаний в том числе и FreshOffice принял меры по соответствию и соблюдению закона персональных данных.
А именно в части :сбора персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных».
Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

Ответить
0

Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?

Ответить
0

Не только в хранении на территории РФ вопрос, далеко не только.

Ответить
0

Да всем насрать на ваши пнд.

Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.

Ответить
0

это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.

Ответить
0

вы сбербанк что ли? кто к кому придет? куда? по какому адресу они придут?

Ответить
–9

Самое главное гибрид Freshoffice для тех кто не хочет хранить в облаках, но хочет быть в курсе всех it трендов в том числе и облачных

Ответить
0
{ "page_type": "article" }

Прямой эфир

[ { "id": 1, "label": "100%×150_Branding_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox_method": "createAdaptive", "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfl" } } }, { "id": 2, "label": "1200х400", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfn" } } }, { "id": 3, "label": "240х200 _ТГБ_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fizc" } } }, { "id": 4, "label": "240х200_mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "flbq" } } }, { "id": 5, "label": "300x500_desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "ezfk" } } }, { "id": 6, "label": "1180х250_Interpool_баннер над комментариями_Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "ffyh" } } }, { "id": 7, "label": "Article Footer 100%_desktop_mobile", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjxb" } } }, { "id": 8, "label": "Fullscreen Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjoh" } } }, { "id": 9, "label": "Fullscreen Mobile", "provider": "adfox", "adaptive": [ "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fjog" } } }, { "id": 10, "disable": true, "label": "Native Partner Desktop", "provider": "adfox", "adaptive": [ "desktop", "tablet" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyb" } } }, { "id": 11, "disable": true, "label": "Native Partner Mobile", "provider": "adfox", "adaptive": [ "phone" ], "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "clmf", "p2": "fmyc" } } }, { "id": 12, "label": "Кнопка в шапке", "provider": "adfox", "adaptive": [ "desktop" ], "adfox": { "ownerId": 228129, "params": { "p1": "bscsh", "p2": "fdhx" } } }, { "id": 13, "label": "DM InPage Video PartnerCode", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox_method": "createAdaptive", "adfox": { "ownerId": 228129, "params": { "pp": "h", "ps": "bugf", "p2": "flvn" } } }, { "id": 14, "label": "Yandex context video banner", "provider": "yandex", "yandex": { "block_id": "VI-223676-0", "render_to": "inpage_VI-223676-0-1104503429", "adfox_url": "//ads.adfox.ru/228129/getCode?pp=h&ps=bugf&p2=fpjw&puid1=&puid2=&puid3=&puid4=&puid8=&puid9=&puid10=&puid21=&puid22=&puid31=&puid32=&puid33=&fmt=1&dl={REFERER}&pr=" } }, { "id": 15, "label": "Плашка на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byudx", "p2": "ftjf" } } }, { "id": 16, "label": "Кнопка в шапке мобайл", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "adfox": { "ownerId": 228129, "params": { "p1": "byzqf", "p2": "ftwx" } } }, { "id": 17, "label": "Stratum Desktop", "provider": "adfox", "adaptive": [ "desktop" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvb" } } }, { "id": 18, "label": "Stratum Mobile", "provider": "adfox", "adaptive": [ "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "pp": "g", "ps": "bugf", "p2": "fzvc" } } }, { "id": 19, "label": "Тизер на главной", "provider": "adfox", "adaptive": [ "desktop", "tablet", "phone" ], "auto_reload": true, "adfox": { "ownerId": 228129, "params": { "p1": "cbltd", "p2": "gazs" } } } ]
Приложение-плацебо скачали
больше миллиона раз
Подписаться на push-уведомления
{ "page_type": "default" }