Как не нарушать закон «О персональных данных» при работе с облачными CRM

Здравствуйте.

Все мы в своих CRM храним персональные данные — ФИО, личные телефоны, email, а часто и адреса и более личную информацию о клиентах. Скоро закон вступает в полную силу, а ни одна из популярных облачных CRM («Битрикс24», «Фреш офис», amoCRM, «Мегаплан») не обещает соответствия 152-ФЗ.

Нас молча вынуждают нарушать закон и перекладывают ответственность, или же эту проблему не должны решать сами сервисы?

Отвечает Максим Лагутин, руководитель, специалист по информационной безопасностиюридического сервиса «Б-152»

Привет. Это отличный вопрос, и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона.»

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

0
24 комментария
Написать комментарий...
Andrey Tokarev

Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.

Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!

Ответить
Развернуть ветку
Максим Лагутин

Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.

Ответить
Развернуть ветку
Аркадий Бортников

Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Артём Лисовский

Вы совсем не умеете достойно представлять свой продукт.

Выскажу вам мнение всех минусующих: слишком открытая реклама, ни слова по теме.

Вот вам пример правильного комментария: "Если вас интересует crm, хранящая данные по всем законам, попробуйте нашу систему. Мы постарались решить эту проблему и у нас получилось. Решили так и так"

Это не форум для молодых мам, это не ответы mail.ru.

О вас знать никто не знает, а вы просите уже не сравнивать вас с лидерами рынка. Короче, вы хотели, наверное, круто тут пропиариться, но облажались.

Спасибо мне за этот комментарий, он сделает вас лучше и вы больше не будете отвечать как все горе-маркетологи.

Ответить
Развернуть ветку
Alexander Matveev

Сейчас в сексизме обвинят

Ответить
Развернуть ветку
Константин Жуков

Работа с ПДн это конечно феерия запутанности...

Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?

Ответить
Развернуть ветку
Максим Лагутин

Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.

Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.

Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.

К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.

Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (http://b-152.ru/proverka_PDn.pdf)

Ответить
Развернуть ветку
Константин Жуков

То есть в реальности меры по защите ПДн никто не проверяет и можно спать спокойно, написав что все по закону в документации?

Ответить
Развернуть ветку
Максим Лагутин

Именно, документации будет достаточно.

Ответить
Развернуть ветку
Константин Жуков

"Суровость законов компенсируется не обязательностью их исполнения" :)

Ответить
Развернуть ветку
Максим Лагутин

В плане технической защиты получается что-то вроде того :)

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Константин Жуков

А может вы как представитель CRM растолкуете?

С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?

Ответить
Развернуть ветку
Роман Пасхин

А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?

Ответить
Развернуть ветку
Максим Лагутин

Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.

Ответить
Развернуть ветку
Константин Жуков

Штрафы там кажется более злые будут.

Ответить
Развернуть ветку
Максим Лагутин

Да, штрафы ожидаются очень "злыми", если их в итоге примут.

В конце материала про изменения закона (b-152.ru/izmeneniya_152fz_2015/) есть наглядная таблица, какими могут быть эти штрафы.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Максим Лагутин

Андрей Токарев.

Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.

Ответить
Развернуть ветку
Alexey Natarov

)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено https://rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести

Ответить
Развернуть ветку
Максим Лагутин

Это уже на совести разработчиков CRM-систем.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
Артём Лисовский

Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?

Ответить
Развернуть ветку
Константин Жуков

Не только в хранении на территории РФ вопрос, далеко не только.

Ответить
Развернуть ветку
Артём Лисовский

Да всем насрать на ваши пнд.

Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.

Ответить
Развернуть ветку
Константин Жуков

это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.

Ответить
Развернуть ветку
Татьяна Минаева

вы сбербанк что ли? кто к кому придет? куда? по какому адресу они придут?

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
21 комментарий
Раскрывать всегда