Лого vc.ru

Как не нарушать закон «О персональных данных» при работе с облачными CRM

Как не нарушать закон «О персональных данных» при работе с облачными CRM
Поделиться

Здравствуйте.

Все мы в своих CRM храним персональные данные — ФИО, личные телефоны, email, а часто и адреса и более личную информацию о клиентах. Скоро закон вступает в полную силу, а ни одна из популярных облачных CRM («Битрикс24», «Фреш офис», amoCRM, «Мегаплан») не обещает соответствия 152-ФЗ.

Нас молча вынуждают нарушать закон и перекладывают ответственность, или же эту проблему не должны решать сами сервисы?


Отвечает Максим Лагутин, руководитель, специалист по информационной безопасности
юридического сервиса «Б-152»

Привет. Это отличный вопрос, и на него есть два ответа.

Первый базируется на том, что компания-разработчик CRM не может знать и вообще контролировать то, какие персональные данные и в каких целях обрабатываются на их платформе.

Они лишь предоставляют, как хостинг, вычислительные мощности и программное обеспечение, которое уже сам пользователь CRM наполняет разного рода персональными данными клиентов. Вы же не будете требовать от арендодателя офиса, чтобы он обеспечивал безопасность тех персональных данных, которые вы храните на бумаге или на жестких дисках в пределах арендуемых вами помещений? Такая позиция в целом устраивает Роскомнадзор — основного регулятора по данной теме.

Второй ответ базируется на трактовке требований закона. Пользователь (являющийся, скорее всего, юридическим лицом или ИП), после регистрации в облачной CRM начинает вносить туда персональные данные своих текущих и потенциальных клиентов — их ФИО, email, номера телефонов, места работы и так далее. Пользователь работает с персональными данными своих клиентов для того, чтобы продавать им свои продукты и услуги, и получать таким образом доход.

Поэтому, согласно ч.2 ст. 3 Федерального закона № 152-ФЗ «О персональных данных», пользователь облачной CRM будет являться оператором персональных данных, так как оператор персональных данных как раз ставит цели на их обработку. В первую очередь оператор персональных данных должен сам обеспечить их безопасность, а облачная CRM может это делать, если пользователь поручает их обработку самой CRM, о чем говорит ч.3 ст. 6 Федерального закона № 152-ФЗ.

Но, чтобы поручить персональные данные клиентов на обработку облачной CRM, согласно той же статье закона «в поручении оператора должны быть определены операции с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 настоящего Федерального закона

Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами. И они, как правило, не совпадают.

Также хочу сказать, что если бы облачные CRM защищали персональные данные как требует закон и несли ответственность за все обрабатываемые персональные данные клиентов своих пользователей, то их ежемесячная стоимость пользования переваливала бы не только за десятки тысяч рублей, но даже и за сотни.

Чтобы задать свой вопрос читателям или экспертам, заполните форму заявки на странице.

Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

FreshOffice вместо Фреш офис это раз, а во вторых www.mono8.freshoffice.ru это два. Классическое решение с возможностью использования облачных сервисов. И пожалуйста не сравнивайте нас с 1с и амо это не серьёзно. Когда в системах нет возможности вести финансы это не система по управлению продажами.

Самое главное гибрид Freshoffice для тех кто не хочет хранить в облаках, но хочет быть в курсе всех it трендов в том числе и облачных

Как бывший пользователь фрэшофиса, скажу что модуль финансов, как и все осиальное , отстой. :р

Аркадий это нормально когда есть те кому все не нравится. Вы помогаете нам стать лучше :-)

Вы совсем не умеете достойно представлять свой продукт.

Выскажу вам мнение всех минусующих: слишком открытая реклама, ни слова по теме.

Вот вам пример правильного комментария: "Если вас интересует crm, хранящая данные по всем законам, попробуйте нашу систему. Мы постарались решить эту проблему и у нас получилось. Решили так и так"

Это не форум для молодых мам, это не ответы mail.ru.
О вас знать никто не знает, а вы просите уже не сравнивать вас с лидерами рынка. Короче, вы хотели, наверное, круто тут пропиариться, но облажались.

Спасибо мне за этот комментарий, он сделает вас лучше и вы больше не будете отвечать как все горе-маркетологи.

Сейчас в сексизме обвинят

0

Работа с ПДн это конечно феерия запутанности...

Кстати так и не понятно - получается, что облачными CRM нельзя пользоваться, если нужно соблюсти закон, так как сами CRM не гарантируют ничего в плане безопасности соответствующей закону?

Константин, недавно общался с представителями Битрикс-24 и насколько мне известно, безопасность данных там соблюдается.

Но именно гарантию на защиту и на то, что данные не утекут, прописанную в договоре, в наше время мало кто предоставляет.

Если вы посмотрите на хостинг-провайдеров, которые предлагают серверные мощности, защищенные в соответствии с 152-ФЗ, то в договоре с ними вы не увидите пункт об ответственности хостинга за то, что данные не утекут.

К тому же Роскомнадзор, к счастью, не уполномочен проверять у компаний техническую защиту персональных данных. Это компетенция ФСТЭК России, который не проверяет частные организации.

Роскомнадзор проверяет лишь соответствие обработки персональных данных запрашивая список документов и иной информации (b-152.ru/proverka_PDn.pdf)

0

То есть в реальности меры по защите ПДн никто не проверяет и можно спать спокойно, написав что все по закону в документации?

0

Именно, документации будет достаточно.

0

"Суровость законов компенсируется не обязательностью их исполнения" :)

0

В плане технической защиты получается что-то вроде того :)

0

Вопрос: Как не нарушать закон о персональных данных при использовании облачных CRM.
Ответ юриста: Это отличный вопрос и на него есть два ответа. С одной стороны, никак не получится, и с другой стороны - тоже никак не получится.

Максим, СПАСИБО за ваш ответ, после него все стало намного понятнее!

Андрей, вопрос стоял не в том, как не нарушить закон, прочитайте внимательно.

Вопрос изначально не правильно поставлен: нас заставляют нарушать закон? Возможно те кто хранит данные на коленках или в Excel сливая на флешку данные работодателя в меньшей степени несут ответственность за исполнение закона. Но тогда кто защитит предпринимателей? Какие есть предложения у юристов? Когда пишут подобные статьи в чем их смысл? Став под сомнения весь it рынок облачных сервисов. Когда у компании нет средств приобрести дорогостоящий лицензионный софт который защитит данные она идёт на рынок. Это лучше? А что лучше идти на рынок или купить официально облачный низкий по затратам софт? Здесь проблема глубже чем может показаться.

А может вы как представитель CRM растолкуете?

С коробочными версиями понятно - ставь себе, шифруйся, сертифицируйся, твои проблемы.
А с облачными - что?

0

А в смысле ФЗ вступает в полную силу? в какой части? разве этот ФЗ полностью с 2015 года не функционирует?

0

Задающий вопрос, возможно, немного ошибся.
Закон вступил в силу уже давно и функционирует уже вот почти 10 лет.
А вот изменения к нему (те, которые требуют собирать и выполнять иные действия с персональными данными граждан РФ только на территории России) вступили в силу только 1 сентября 2015 года.

0

Да, штрафы ожидаются очень "злыми", если их в итоге примут.

В конце материала про изменения закона(b-152.ru/izmeneniya_152fz_2015/) есть наглядная таблица, какими могут быть эти штрафы.

0

Андрей Токарев.

Ни CRM, ни пользователь CRM не будут нарушать закон, потому что Роскомнадзор считает обоснования, которые приведены выше, верными.

0

)) у вас из всего приведенного выше ключевая фраза пожалуй "Цели обработки при этом должны совпадать с теми, которые указаны в согласиях на обработку персональных данных, заключаемых с клиентами."
Только стоит прямо сказать, что клиенту CRM (в вашем примере - оператору персональных данных) нужно обязательно "согласия клиентов" собирать. и если их получение не оформлено, то весь ворох документации, который будет предъявлен Роскомнадзору несильно поможет. Логику Роскомнадзора можно увидеть, например, в решении суда № А40-32030/2016-145-275
ну или тут попроще Роскомнадзором изложено rkn.gov.ru/treatments/p459/p468/
Если у вас есть другие примеры того, что считает Роскомнадзор, думаю есть смысл их привести

0

Это уже на совести разработчиков CRM-систем.

0

Я уверена из всех озвученных компаний в том числе и FreshOffice принял меры по соответствию и соблюдению закона персональных данных.
А именно в части :сбора персональных данных, их обновление и изменение должны производиться с использованием баз данных, расположенных на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 ч. 1 ст. 6 ФЗ «О персональных данных».
Однако при этом следует иметь в виду, что изменения в ФЗ «О персональных данных», внесенные ФЗ-242, не затронули положений закона о трансграничной передаче данных. Соответственно передача персональных данных за пределы Российской Федерации возможна, как и ранее, с соблюдением условий, указанных в ст. 12 ФЗ «О персональных данных». Тем самым требование о локализации отдельных процессов обработки персональных данных, содержащееся в ч. 5 ст. 18 ФЗ «О персональных данных», следует толковать в системном единстве с положениями ст. 12 о трансграничной передаче данных и с учетом определения данного понятия, содержащегося в п. 11 ст. 3: «передача персональных данных на территорию иностранного государства иностранному лицу: органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу». Таким образом, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных. Такие вторичные базы данных могут использоваться, в частности, для целей резервного копирования, оказания услуг по осуществлению рекламных рассылок и пр. При этом при передаче персональных данных за границу иному оператору ответственность за действия, совершаемые в отношении переданных персональных данных, несет такой оператор в соответствии с применимым к нему законодательством. Предоставление удаленного доступа к базам данных, находящихся на территории Российской Федерации, с территории другого государства ФЗ-242 не запрещается.

0

Молодцы, что приняли. Получается, закон никто не нарушает и эксперта заставляли отвечать зря?

0

Не только в хранении на территории РФ вопрос, далеко не только.

0

Да всем насрать на ваши пнд.

Меня как не мучал этот вопрос, так и не мучает, хотя пользуюсь crm каждый день.

0

это пока к вам за 300К рублей не придут, не забывайте, что скорее всего будет лобби проверок со стороны разработчиков средств защиты данных.

0

вы сбербанк что ли? кто к кому придет? куда? по какому адресу они придут?

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Ирэна Моисеева

что тупой он уже доказал в течении последних лет 10)))))) и успешно продолжает это делать)

Олег Тиньков потребовал от сотрудников есть один раз за рабочий день и «не красть время» акционеров перерывами на кофе
0
Ирэна Моисеева

хаха, смешной вы - неужто не понимаете что Алежка здесь не для того чтобы на вопросы отвечать, а для того чтоб свое ущемленное ЧСВ потешить, ведь в реале за такое в табло можно огрести, и не посмотрят же на его "успешность")

Олег Тиньков потребовал от сотрудников есть один раз за рабочий день и «не красть время» акционеров перерывами на кофе
0
Ирэна Моисеева

что, Пенек, бомбануло, что бессоница замучала, что с утра снова тут коко?) Понимаю почему трах твоя больная тема - твоя старая климатичка тебе уже не дает, вот и скачешь тут от своего спермотаксикоза))

Олег Тиньков потребовал от сотрудников есть один раз за рабочий день и «не красть время» акционеров перерывами на кофе
0
Ilya Gindin

В любых странах есть такие, вообще. Не только в США.

Moen U — душ, который запоминает оптимальную температуру воды
0
Vikarti Anatra

вот представим...
обстоятельства сложились так что Facebook и Microsoft с Oracle национализированы правительство США (или как вариант - Штата Калифорния) и новые владельцы хотят все же сохранить бизнес в какой то форме - автоматически получают еще большие проблемы с заграничными рынками, автоматически получают необходимость объяснять что нет, они все равно данные пользователей по ордерам только отдают и не надо пользователям разбегаться.
При этом топ-менеджемент будет заменен на собственно кого? тех кто смог объяснить новым владельцам (которые и к ИТ и к бизнесу имеют все же отдаленное отношение) они используют в интересах государства для заработка денег.

Если же цели сохранить бизнес и не было...получается национализировали только ради технологий и возможностей сбора данных о пользователях? Пользователи будут рады. На следующий день например VK, PostgreSQL Professional(+другие фирмы кто может себя называть разработчиком БД хоть с некоторой долей правды), Canonical заявят что мы будем хорошими, частными фирмами и интересы пользователей будем защищать...и кстати средства миграции необходимые будут в трехмесячный срок.
А тем временем новому руководству придется объяснять лучщим сотрудникам почему они НЕ должны уволится.

Если же возможность национализировать появилась у правительства России (как - опустим вопрос, и пусть экономика все еще действует в это время) ...вот почему даже если честно будут пытаться сохранить то получится еще хуже чем в США, хотя бы потому что культура все же другая, в других университетах учились. И это еще в лучщем случае, если честно будут хотеть сохранить.

Национализировать просто дорогу, или завод со станками. А у Facebook/Oracle/Microsoft в собственности что? много компьютеров? Немного недвижимости? патенты с копирайтами? Базы данных по пользователям?

Исследование: Состояние восьми богатейших миллиардеров достигло объёма средств половины населения Земли
0
Показать еще