Ответственность за хранение данных в CRM-системе

Получаете заявки с сайтов? Ведете клиентскую базу в CRM? Проверьте, как организована работа с персональными данными, чтобы избежать штрафов и проверок госорганов.

С 1 июля 2017 года повышаются штрафы (максимум до 75 тысяч рублей) за нарушение законодательства о персональных данных. Предлагаем чек-лист для проверки степени законности работы в CRM.

Прежде чем привести чек-лист, давайте разберемся:

Что такое персональные данные?

Персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) (п. 1 ст. 3, ст. 8 ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных»), в том числе:

  • фамилия, имя, отчество
  • год и место рождения,
  • адрес
  • телефон
  • профессия
  • другая информация.

Широкое понятие дал закон, согласны? Поэтому возникают вопросы, какая информация в реальности является персональными данными. По сути это любая информация, которой достаточно, чтобы по ней идентифицировать человека. Например, информации о ФИО и телефоне клиента достаточно для идентификации. Следовательно, ФИО и телефон вместе — это персональные данные. На наш взгляд, ФИО вместе с любой другой персональной информацией из законного определения «персональных данных» (адрес, год рождения, профессия) является персональными данными, когда она позволяет идентифицировать конкретного человека.

Теперь давайте подумаем: «С какой целью ведется клиентская база?» Собрать контакты клиентов, по которым можно соотнести каждый контакт как отдельного клиента, т.е. идентифицировать его. Значит, в клиентской базе, как правило, содержатся персональные данные.

Хотите понять, какие риски есть в вашей компании при работе с CRM и во сколько они могут обойтись. Отметьте в чек-листе, что у вас сделано для легальной работы CRM-системы и что предстоит сделать.

Чек-лист:

1. Проверьте, есть ли у вас согласие лиц из текущей клиентской базы на хранение и обработку персональных данных и передачу их третьим лицам. Последнее нужно, если доступ к базе есть у кого-либо не из числа штатных сотрудников, например, у разработчика облачной CRM.

2. Организуйте получение согласия будущих клиентов на обработку их ПД. Как это сделать?

Если клиент оставил заявку с контактами на сайте:
Предусмотрите в пользовательском соглашении согласие на обработку и передачу персональных данных.

Если клиент позвонил:
Спросите по телефону, согласен ли звонящий на обработку и передачу информации о нем третьим лицам. Храните записи разговоров.

Если клиент пришел в офис:
В анкетах для потенциальных клиентов и в договорах с текущими клиентами пропишите согласие на обработку персональных данных.
Предусмотрите, чтобы согласие было дано на сбор персональных данных в интересующих вас целях. Например, с целью заключения договора, рекламной рассылки.

Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 5 до 10 тысяч для ИП и от 30 до 50 тысяч для юр. лица.

3. Проверьте и организуйте получение согласия в письменной форме для обработки:

  • фотографий, рисунков, видеозаписей с изображениями клиентов
  • данных о:
    • национальности и расе
    • политических взглядах
    • религиозных или философских убеждений
    • состоянии здоровья
    • интимной жизни.

Если у вас нет таких данных, то и письменное согласие необязательно.

Последствия нарушения: возможен административный штраф от 10 до 20 тысяч для ИП и от 50 до 75 тысяч для юр. лица.

4. Проверьте и опубликуйте на сайте политику конфиденциальности (документ, определяющий вашу политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных).

Если на вашем сайте нет возможности оставить заявку с информацией о себе, то можно разместить политику конфиденциальности вместо сайта в другом месте, где обеспечен неограниченный доступ. Например, в офисе компании.

Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 5 до 10 тысяч для ИП и от 15 до 30 тысяч для юр. лица.

5. Если к вам обратится клиент с просьбой предоставить информацию о том, как вы обрабатываете его персональные данные, предоставьте ему.

Последствия нарушения: возможен административный штраф от 10 до 15 тысяч для ИП и от 20 до 40 тысяч для юр. лица.

6. Если к вам обратился клиент, его представитель или Роскомнадзор с требованием уточнить персональные данные, заблокировать или уничтожить их, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, сделайте это.

Последствия нарушения: возможно привлечение к административной ответственности в виде предупреждения или штрафа от 10 до 20 тысяч для ИП и от 25 до 45 тысяч для юр. лица.

7. Примите меры по сохранности персональных данных, если вы не пользуетесь средствами автоматизации для обработки персональных данных. Обеспечьте отсутствие несанкционированного доступа к персональным данным, уничтожения, изменения, блокирования, копирования, предоставления, распространения либо иных неправомерных действий с персональными данными.

Меры сохранности персональных данных могут быть техническими, организационными и правовыми. К правовым мерам могут относиться действующая в компании политика работы с персональными данными, письменное ознакомление сотрудников компании, работающих с персональными данными, с утвержденной политикой.

Последствия нарушения: возможен административный штраф от 10 до 20 тысяч рублей для ИП, от 25 до 50 тысяч для юр. лица.

Вывод: для исключения большинства рисков всем владельцам сайтов, где пользователи оставляют заявки, достаточно иметь пользовательское соглашение и политику конфиденциальности и отвечать на запросы клиентов или Роскомнадзора на обращения по обработке персональных данных.

Стоимость разработки пользовательского соглашения и политики конфиденциальности в юридической фирме «Янина и партнеры» — 15 тысяч рублей.