Лого vc.ru

Как не нарушать закон «О персональных данных» при работе с облачными CRM

Как не нарушать закон «О персональных данных» при работе с облачными CRM
Поделиться

Здравствуйте.

Все мы в своих CRM храним персональные данные — ФИО, личные телефоны, email, а часто и адреса и более личную информацию о клиентах. Скоро закон вступает в полную силу, а ни одна из популярных облачных CRM («Битрикс24», «Фреш офис», amoCRM, «Мегаплан») не обещает соответствия 152-ФЗ.

Нас молча вынуждают нарушать закон и перекладывают ответственность, или же эту проблему не должны решать сами сервисы?


Отвечает Максим Лагутин, руководитель, специалист по информационной безопасности
юридического сервиса «Б-152»

Привет. Это отличный вопрос, и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

Чтобы задать свой вопрос читателям или экспертам, заполните форму заявки на странице.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

FreshOffice вместо Фреш офис это раз, а во вторых www.mono8.freshoffice.ru это два. Классическое решение с возможностью использования облачных сервисов. И пожалуйста не сравнивайте нас с 1с и амо это не серьёзно. Когда в системах нет возможности вести финансы это не система по управлению продажами.

Самое главное гибрид Freshoffice для тех кто не хочет хранить в облаках, но хочет быть в курсе всех it трендов в том числе и облачных

Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р

Аркадий это нормально когда есть те кому все не нравится. Вы помогаете нам стать лучше :-)

Вы совсем не умеете достойно представлять свой продукт.

Выскажу вам мнение всех минусующих: слишком открытая реклама, ни слова по теме.

Вот вам пример правильного комментария: "Если вас интересует crm, хранящая данные по всем законам, попробуйте нашу систему. Мы постарались решить эту проблему и у нас получилось. Решили так и так"

Это не форум для молодых мам, это не ответы mail.ru.
О вас знать никто не знает, а вы просите уже не сравнивать вас с лидерами рынка. Короче, вы хотели, наверное, круто тут пропиариться, но облажались.

Спасибо мне за этот комментарий, он сделает вас лучше и вы больше не будете отвечать как все горе-маркетологи.

Сейчас в сексизме обвинят

0

Работа с ПДн это конечно феерия запутанности...

Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?

Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.

Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.

Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.

К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.

Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (b-152.ru/proverka_PDn.pdf)

0

То есть в реальности меры по защите ПДн никто не проверяет и можно спать спокойно, написав что все по закону в документации?

0

Именно, документации будет достаточно.

0

"Суровость законов компенсируется не обязательностью их исполнения" :)

0

В плане технической защиты получается что-то вроде того :)

0

Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.

Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!

Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.

Вопрос изначально не правильно поставлен: нас заставляют нарушать закон? Возможно те кто хранит данные на коленках или в Excel сливая на флешку данные работодателя в меньшей степени несут ответственность за исполнение закона. Но тогда кто защитит предпринимателей? Какие есть предложения у юристов? Когда пишут подобные статьи в чем их смысл? Став под сомнения весь it рынок облачных сервисов. Когда у компании нет средств приобрести дорогостоящий лицензионный софт который защитит данные она идёт на рынок. Это лучше? А что лучше идти на рынок или купить официально облачный низкий по затратам софт? Здесь проблема глубже чем может показаться.

А может вы как представитель CRM растолкуете?

С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?

0

А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?

0

Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.

0

Да, штрафы ожидаются очень "злыми", если их в итоге примут.

В конце материала про изменения закона(b-152.ru/izmeneniya_152fz_2015/) есть наглядная таблица, какими могут быть эти штрафы.

0

Андрей Токарев.

Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.

0

)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести

0

Это уже на совести разработчиков CRM-систем.

0

Я уверена из всех озвученных компаний в том числе и FreshOffice принял меры по соответствию и соблюдению закона персональных данных.
А именно в части :сбора персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных».
Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

0

Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?

0

Не только в хранении на территории РФ вопрос, далеко не только.

0

Да всем насрать на ваши пнд.

Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.

0

это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.

0

вы сбербанк что ли? кто к кому придет? куда? по какому адресу они придут?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Михаил Фомин

делаешь крупный масштаб. В одном слое скрины, во втором нужные тебе соединяющие линии. Всё.

«Студия Артемия Лебедева» представила редизайн приложения такси-сервиса «Ситимобил»
0
Роман Романович
SmartXML

Ну что вы напали на мужика. Просто Майк Батчер каждый день сталкивается с инновациями стартапами и всевозможными новинками в сфере технологий, общается только с такими же гиками. Он весь мир видит через призму новых высоких технологий, несколькно оторванных от реальности.

Он как полицейский, который в силу своей профессии всех людей считает немного преступниками.

«Боты станут умнее, а вы потеряете свою работу»
0
Евгений Разманов

Наверное, всё от отделения зависит. Ровно неделю назад продлял зарплатную карту: пришёл, увидел, победил. На всё-провсё - 10 минут.

Единственное - до этого ни позвонили, ни СМСку не отправили, а месяц уже заканчивался. Позвонил в итоге сам оператору, чтобы узнать, точно ли карта на месте.

Видео: Герман Греф в «костюме инвалида» в отделении «Сбербанка»
0
Юрий Катков

а страхование вкладов не работает в этом случае?

Путин разрешил налоговикам требовать долги компаний с их владельцев и учредителей
0
Газиз Исмаил

Такими темпами боюсь скоро не только инвесторам, но и всем людям придется думать о "пороге входа".

Хотя первые рассчитывают порог необходимых инвестиций, чтобы обезопасить себя от конкурентов, людям возможно придется продумывать его, чтобы защитится от экспансии роботов и искусственного интеллекта.

В любом случае, я бы не хотел ни в магазине Apple, ни где-либо еще вводить через шприц в свой организм "новые технологии".

«Боты станут умнее, а вы потеряете свою работу»
0
Показать еще