Как не нарушать закон «О персональных данных» при работе с облачными CRM
Здравствуйте.
Все мы в своих CRM храним персональные данные — ФИО, личные телефоны, email, а часто и адреса и более личную информацию о клиентах. Скоро закон вступает в полную силу, а ни одна из популярных облачных CRM («Битрикс24», «Фреш офис», amoCRM, «Мегаплан») не обещает соответствия 152-ФЗ.
Нас молча вынуждают нарушать закон и перекладывают ответственность, или же эту проблему не должны решать сами сервисы?
Отвечает Максим Лагутин, руководитель, специалист по информационной безопасностиюридического сервиса «Б-152»
Привет. Это отличный вопрос, и на него есть два ответа.
Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.
Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.
Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.
Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.
Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»
Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.
Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.
Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.
Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!
Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.
Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р
Комментарий удален модератором
Вы совсем не умеете достойно представлять свой продукт.
Выскажу вам мнение всех минусующих: слишком открытая реклама, ни слова по теме.
Вот вам пример правильного комментария: "Если вас интересует crm, хранящая данные по всем законам, попробуйте нашу систему. Мы постарались решить эту проблему и у нас получилось. Решили так и так"
Это не форум для молодых мам, это не ответы mail.ru.
О вас знать никто не знает, а вы просите уже не сравнивать вас с лидерами рынка. Короче, вы хотели, наверное, круто тут пропиариться, но облажались.
Спасибо мне за этот комментарий, он сделает вас лучше и вы больше не будете отвечать как все горе-маркетологи.
Сейчас в сексизме обвинят
Работа с ПДн это конечно феерия запутанности...
Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?
Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.
Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.
Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.
К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.
Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (http://b-152.ru/proverka_PDn.pdf)
То есть в реальности меры по защите ПДн никто не проверяет и можно спать спокойно, написав что все по закону в документации?
Именно, документации будет достаточно.
"Суровость законов компенсируется не обязательностью их исполнения" :)
В плане технической защиты получается что-то вроде того :)
Комментарий удален модератором
А может вы как представитель CRM растолкуете?
С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?
А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?
Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.
Штрафы там кажется более злые будут.
Да, штрафы ожидаются очень "злыми", если их в итоге примут.
В конце материала про изменения закона (b-152.ru/izmeneniya_152fz_2015/) есть наглядная таблица, какими могут быть эти штрафы.
Комментарий удален модератором
Андрей Токарев.
Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.
)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено https://rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести
Это уже на совести разработчиков CRM-систем.
Комментарий удален модератором
Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?
Не только в хранении на территории РФ вопрос, далеко не только.
Да всем насрать на ваши пнд.
Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.
это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.
вы сбербанк что ли? кто к кому придет? куда? по какому адресу они придут?
Комментарий удален модератором