Новые требования к операторам обработки и способы пройти проверки Роскомнадзора без штрафов и блокировок мы обсудили в прошлых материалах.
В заключительной статье обратимся к одному из самых неочевидных пунктов обновленного закона – регулированию обработки данных в облачных CRM-системах. Вместе с юристами ответим на самые важные вопросы.
Является ли пользователь облачных CRM оператором персональных данных?
Первый вопрос, возникающий после внедрения CRM в компании. Менеджер по продажам регулярно работает в системе: вносит, удаляет и изменяет информацию о текущих клиентах. Будет ли он оператором персональных данных с точки зрения закона?
Согласно части 2 статьи 3 152-ФЗ «О персональных данных», операторами персональных данных считаются юридические и физические лица, которые:
- организуют и/или осуществляют обработку персональных данных;
- определяют цели и содержание обработки.
Менеджер занят в обработке ПДн клиентов, он же определяет ее цель – продажу продукта или услуги для получения прибыли.
Это значит, что он, как оператор, обязан обеспечить безопасность информации и подтвердить предпринятые меры документально.
Должны ли разработчики облачных CRM обеспечивать безопасность ПДн, которые обрабатывают в их системах пользователи?
Собирать пакет документов по защите ПДн для каждого использующего CRM сотрудника – задача, с точки зрения бизнеса, малореальная. Что говорит закон об обязанностях компаний-разработчиков CRM в этом случае?
Дело в том, что разработчик не может знать, какие именно данные и с какой целью заносятся в его платформу – а значит, не является оператором обработки. Он лишь предоставляет ресурсы: хостинг, программное обеспечение, вычислительные мощности и так далее.
Можно ли перепоручить CRM защиту персональных данных клиентов?
Часть разработчиков облачных CRM обновили свои программы для соответствия нормам 152-ФЗ. Система уже может обеспечить безопасность всех данных, которые в ней хранятся. Так нельзя ли по закону сделать CRM средством защиты?
Так отражает ситуацию часть 3 статьи 5 действующего ФЗ. Та же 3 статья рассказывает, как правильно поручить обработку персональных данных клиентов третьему лицу, но эти требования распространяются и на CRM.
В своем поручении оператор должен:
- определить цели обработки ПДн третьим лицом;
- определить операции, которые будет совершать с ПДн обработчик;
- установить обязанность обработчика соблюдать конфиденциальность ПДн;
- установить обязанность обработчика обеспечивать безопасность ПДн при обработке;
- указать требования к защите ПДн (согласно 19 статье 152-ФЗ).
Еще один важный момент: при перепоручении данных цели обработки должны совпадать с теми, что указаны в согласиях на обработку ПДн, которые менеджер заключил с клиентом. Любые расхождения недопустимы.
К счастью для пользователей облачных CRM, этих двух мер – документально закрепленного поручения обработки данных и совпадающих согласий – достаточно для соблюдения 152-ФЗ.
Проверять техническую защиту ПДн у частных компаний Роскомнадзор не уполномочен.
