Обоснование по законодательству
- Ст. 22 ФЗ-152: уведомление должно содержать сведения о месте хранения и обработке ПДн.
- Ст. 18.1 и 19 ФЗ-152: оператор обязан принимать организационные и технические меры для защиты данных.
- Приказ Роскомнадзора № 94: форма уведомления предусматривает указание информации об используемых информационных системах.
Пример формулировки в уведомлении
Цели обработки: «подготовка, заключение и исполнение гражданско-правового договора», «ведение бухгалтерского и налогового учёта», «продвижение товаров, работ, услуг на рынке» (если CRM используется для рассылок и маркетинга).
Категории субъектов: клиенты, сотрудники.
Перечень данных: ФИО, телефон, e-mail, адрес доставки, реквизиты договоров.
Место хранения: «информационная система CRM, серверы на территории РФ (или: серверы зарубежного провайдера, осуществляется трансграничная передача)».
Меры защиты: «ограничение доступа пользователей, авторизация по паролю, использование антивирусного ПО и шифрованного соединения».
Рекомендации и выводы
Не обязательно указывать название CRM, главное — корректно описать её как систему хранения и обработки ПДн и отметить факт трансграничной передачи, если серверы за пределами России. При проверке РКН это покажет, что оператор честно указал инфраструктуру, а документы по 152-ФЗ должны дополнительно регламентировать работу с CRM.
