Изображение

Персональные данные и CRM: кто ответит за безопасность?

К чему обязывает 152-ФЗ пользователей CRM и как правильно перепоручить системе охрану безопасности данных: мы собрали ответы на самые неочевидные вопросы.


Deprecated: Функция wp_make_content_images_responsive с версии 5.5.0 считается устаревшей! Используйте wp_filter_content_tags(). in /var/www/profit-lab/wp-includes/functions.php on line 6078

Notice: Trying to access array offset on value of type null in /var/www/profit-lab/wp-content/themes/profit-lab/template-parts/post-main.php on line 7

Новые требования к операторам обработки и способы пройти проверки Роскомнадзора без штрафов и блокировок мы обсудили в прошлых материалах.

В заключительной статье обратимся к одному из самых неочевидных пунктов обновленного закона – регулированию обработки данных в облачных CRM-системах. Вместе с юристами ответим на самые важные вопросы.

Является ли пользователь облачных CRM оператором персональных данных?

Первый вопрос, возникающий после внедрения CRM в компании. Менеджер по продажам регулярно работает в системе: вносит, удаляет и изменяет информацию о текущих клиентах. Будет ли он оператором персональных данных с точки зрения закона?

Согласно части 2 статьи 3 152-ФЗ «О персональных данных», операторами персональных данных считаются юридические и физические лица, которые:

  • организуют и/или осуществляют обработку персональных данных;
  • определяют цели и содержание обработки.

Менеджер занят в обработке ПДн клиентов, он же определяет ее цель – продажу продукта или услуги для получения прибыли.

Таким образом, пользователь CRM попадает под определение оператора ПДн.

Это значит, что он, как оператор, обязан обеспечить безопасность информации и подтвердить предпринятые меры документально.

Должны ли разработчики облачных CRM обеспечивать безопасность ПДн, которые обрабатывают в их системах пользователи?

Собирать пакет документов по защите ПДн для каждого использующего CRM сотрудника – задача, с точки зрения бизнеса, малореальная. Что говорит закон об обязанностях компаний-разработчиков CRM в этом случае?

Формально разработчик или владелец облачной CRM не обязан обеспечивать безопасность персональных данных, которые вносят в систему пользователи.

Дело в том, что разработчик не может знать, какие именно данные и с какой целью заносятся в его платформу – а значит, не является оператором обработки. Он лишь предоставляет ресурсы: хостинг, программное обеспечение, вычислительные мощности и так далее.

Можно ли перепоручить CRM защиту персональных данных клиентов?

Часть разработчиков облачных CRM обновили свои программы для соответствия нормам 152-ФЗ. Система уже может обеспечить безопасность всех данных, которые в ней хранятся. Так нельзя ли по закону сделать CRM средством защиты?

Закон требует от операторов обеспечить безопасных данных, и облачная CRM может выполнять это требование, если пользователь поручил обработку ПДн самой CRM.

Так отражает ситуацию часть 3 статьи 5 действующего ФЗ. Та же 3 статья рассказывает, как правильно поручить обработку персональных данных клиентов третьему лицу, но эти требования распространяются и на CRM.

В своем поручении оператор должен:

  • определить цели обработки ПДн третьим лицом;
  • определить операции, которые будет совершать с ПДн обработчик;
  • установить обязанность обработчика соблюдать конфиденциальность ПДн;
  • установить обязанность обработчика обеспечивать безопасность ПДн при обработке;
  • указать требования к защите ПДн (согласно 19 статье 152-ФЗ).

Еще один важный момент: при перепоручении данных цели обработки должны совпадать с теми, что указаны в согласиях на обработку ПДн, которые менеджер заключил с клиентом. Любые расхождения недопустимы.

К счастью для пользователей облачных CRM, этих двух мер – документально закрепленного поручения обработки данных и совпадающих согласий – достаточно для соблюдения 152-ФЗ.
Проверять техническую защиту ПДн у частных компаний Роскомнадзор не уполномочен.