Даже если CRM используется только для учёта контактов или истории взаимодействий, такая работа признаётся автоматизированной обработкой персональных данных. Следовательно, оператор, использующий CRM, обязан соблюдать требования законодательства о персональных данных, включая организационные меры защиты, документальное оформление и уведомление Роскомнадзора при наличии оснований.
Что такое CRM с точки зрения законодательства
С точки зрения законодательства CRM-система рассматривается не как «программа для продаж», а как информационная система, в которой осуществляется автоматизированная обработка персональных данных. Правовая оценка CRM зависит не от её названия или функционала, а от того, какие данные в ней обрабатываются и для каких целей.
CRM, как правило:
-
аккумулирует данные о физических лицах;
-
позволяет хранить, изменять, систематизировать и анализировать сведения;
-
обеспечивает доступ к данным нескольким пользователям;
-
используется на постоянной основе в деятельности организации.
При наличии в CRM персональных данных физических лиц такая система подпадает под понятие информационной системы персональных данных (ИСПДн).
Именно в этом статусе CRM оценивается Роскомнадзором при проверках, независимо от того, является ли она коробочной, облачной или разработанной индивидуально.
Какие персональные данные обрабатываются в CRM
В CRM-системах, как правило, обрабатывается широкий перечень персональных данных, причём часто в совокупности, что повышает требования к их защите и документальному оформлению.
Наиболее распространённые категории персональных данных в CRM:
-
фамилия, имя, отчество;
-
номера телефонов и адреса электронной почты;
-
должность и место работы;
-
история обращений, переговоров и сделок;
-
сведения о заказах, договорах и оплатах;
-
переписка и записи разговоров (при наличии);
-
иные сведения, позволяющие идентифицировать физическое лицо.
Даже если CRM используется «только для контактов», наличие ФИО, телефона или e-mail уже означает обработку персональных данных.
При проверках Роскомнадзор оценивает фактический объём и характер данных, а не заявленное назначение CRM.
Кто является оператором персональных данных при использовании CRM
Оператором персональных данных при использовании CRM всегда является тот, кто определяет цели и способы обработки данных, а не разработчик или владелец программного продукта.
Как правило:
-
организация или ИП, использующие CRM в своей деятельности, признаются оператором персональных данных;
-
поставщик или разработчик CRM выступает как лицо, обрабатывающее персональные данные по поручению оператора;
-
ответственность за законность обработки, состав данных и цели всегда несёт пользователь CRM.
Распространённая ошибка — считать, что ответственность лежит на провайдере CRM. На практике Роскомнадзор исходит из того, что именно оператор:
-
принимает решение о внедрении CRM;
-
определяет, какие данные в неё вносятся;
-
устанавливает цели и сроки обработки;
-
организует доступ сотрудников к данным.
Поэтому все требования 152-ФЗ (уведомление, ОРД, меры защиты) применяются к пользователю CRM, а не к её разработчику.
Всегда ли CRM считается ИСПДн
CRM-система признаётся информационной системой персональных данных (ИСПДн) в большинстве практических случаев, однако правовая квалификация зависит от способа и характера обработки.
CRM считается ИСПДн, если:
-
персональные данные обрабатываются с использованием средств автоматизации;
-
данные хранятся, изменяются и используются в электронном виде;
-
к данным имеют доступ несколько пользователей;
-
CRM используется на постоянной основе в бизнес-процессах.
Даже при «смешанной» обработке (часть данных на бумаге, часть в CRM) электронная часть обработки подпадает под требования к ИСПДн.
Сценарии, при которых CRM не признаётся ИСПДн, на практике встречаются крайне редко и требуют отсутствия автоматизированной обработки, что для CRM практически невозможно.
Требуется ли уведомление в Роскомнадзор при использовании CRM
Использование CRM само по себе не создаёт отдельной обязанности, но если в организации уже осуществляется обработка персональных данных, CRM должна быть отражена в уведомлении оператора.
Уведомление требуется, если:
-
оператор обрабатывает персональные данные с использованием CRM;
-
обработка носит автоматизированный характер;
-
отсутствуют основания для применения исключений из 152-ФЗ.
При этом важно:
-
указать CRM как используемую ИСПДн;
-
корректно описать цели и категории данных;
-
актуализировать уведомление при внедрении новой CRM или изменении функционала.
Неотражение CRM в уведомлении при её фактическом использовании квалифицируется как предоставление недостоверных сведений.
Какие документы по ПДн нужны при использовании CRM
При использовании CRM оператор обязан иметь полный комплект организационно-распорядительной документации, адаптированной под фактическую работу системы.
В состав документов входят:
-
политика в отношении обработки персональных данных;
-
приказы о назначении ответственных лиц;
-
перечень ИСПДн (с включением CRM);
-
регламент доступа пользователей к CRM;
-
описание мер защиты персональных данных;
-
порядок контроля и аудита обработки данных;
-
документы по поручению обработки (при облачной CRM).
Формальное наличие документов без отражения CRM в них при проверках признаётся нарушением.
Использование облачной CRM и передача данных третьим лицам
При использовании облачной CRM происходит передача персональных данных третьему лицу, что требует отдельного правового оформления.
В этом случае необходимо:
-
заключить договор поручения обработки персональных данных;
-
определить объём и цели обработки у провайдера CRM;
-
установить меры защиты данных;
-
проверить возможную трансграничную передачу.
Отсутствие договора поручения либо формальный договор без конкретики является типичным нарушением, выявляемым Роскомнадзором.
Типичные нарушения при использовании CRM
На практике чаще всего выявляются:
-
отсутствие уведомления или неотражение CRM в нём;
-
формальное оформление ОРД без учёта CRM;
-
отсутствие разграничения прав доступа сотрудников;
-
отсутствие договора поручения с CRM-провайдером;
-
использование CRM «в тестовом режиме» без правового оформления.
Даже ограниченное или «временное» использование CRM рассматривается как полноценная обработка персональных данных.
Как привести использование CRM в соответствие с законом
Для минимизации рисков необходимо:
-
провести инвентаризацию данных в CRM;
-
определить цели и правовые основания обработки;
-
включить CRM в перечень ИСПДн и уведомление;
-
настроить права доступа и меры защиты;
-
оформить отношения с CRM-провайдером.
На практике это реализуется через разработку организационно-распорядительной документации по защите персональных данных, адаптированной под конкретную CRM и бизнес-процессы.
На практике
На практике Роскомнадзор рассматривает CRM как ключевой элемент обработки персональных данных. Большинство нарушений связано не с самим фактом использования CRM, а с отсутствием корректного документального и организационного оформления.
Вывод однозначен: если в CRM есть данные физических лиц — это обработка персональных данных, со всеми вытекающими обязанностями оператора.
