Недавно мне написал знакомый предприниматель: «Пришло письмо от уполномоченного органа, говорят — проверка через месяц. Что делать?». У него небольшая компания, 12 человек, продают промышленное оборудование. В CRM — около 8000 контактов за пять лет работы.
Мы начали разбираться, и выяснилось: политики конфиденциальности на сайте нет, согласия на обработку данных не собираются, внутренние документы по защите данных отсутствуют. При этом в базе — ФИО, телефоны, email, адреса доставки, история покупок. Классический набор персональных данных.
Штрафы за нарушения в области персональных данных в Казахстане могут быть значительными. За утечку базы юридическое лицо может получить серьёзные финансовые санкции. CRM-система с клиентской базой — первый кандидат на проверку, потому что это централизованное хранилище персональных данных.
В этой статье разберём, что именно требует закон, как проверить свою CRM на соответствие требованиям, и что делать, если данные всё-таки утекли.
Что говорит закон простым языком
Закон Республики Казахстан «О персональных данных и их защите» регулирует все вопросы, связанные с обработкой персональных данных. Требования к защите данных постоянно ужесточаются, и штрафы становятся всё более ощутимыми для бизнеса.
Суть закона проста: если вы собираете, храните или как-то обрабатываете информацию о людях — клиентах, сотрудниках, партнёрах — вы автоматически становитесь оператором персональных данных. Это не звание, которое нужно получать. Это статус, который возникает по факту.
Главная идея закона сводится к четырём принципам:
Человек имеет право знать, кто и зачем собирает его данные. Он должен дать на это согласие. Компания обязана защищать эти данные от утечек и несанкционированного доступа. Если данные всё-таки утекли — компания несёт ответственность.
Многие предприниматели думают: «Да кому мы нужны, проверяют только крупные компании». Это заблуждение. Уполномоченные органы проверяют всех, и часто именно малый бизнес попадает под санкции — потому что не готовился. Крупные компании держат юристов, которые следят за compliance. А небольшая компания может годами работать, не подозревая, что нарушает закон.
Вот как выглядят штрафы:
до 200 МРП
за утечку персональных данных (штраф на юридическое лицо)
до 100 МРП
за обработку данных без согласия субъекта
до 1000 МРП
при повторном нарушении или массовой утечке данных
Причём штрафы суммируются. Если при проверке найдут несколько нарушений — за каждое выпишут отдельный штраф. Поэтому компания, которая «просто не знала» о требованиях закона, может получить значительную сумму штрафов.
Какие данные в CRM являются персональными
Тут начинается самое запутанное. Персональные данные — это любая информация, по которой можно понять, о ком речь. Необязательно напрямую — достаточно совокупности данных.
В типичной CRM-системе персональных данных гораздо больше, чем кажется на первый взгляд.
То, что все понимают как персональные данные
Это очевидная часть — имя, фамилия, контакты. Но даже здесь есть нюансы.
- ФИО клиента
- Номер телефона
- Email-адрес
- Адрес доставки или регистрации
- Паспортные данные (если собираете для договоров)
- Дата рождения
То, о чём многие не задумываются
А вот это уже неочевидно, но тоже подпадает под закон.
- История покупок (в связке с ФИО)
- IP-адрес
- Cookies и идентификаторы устройств
- Записи телефонных разговоров
- Переписка в мессенджерах и чатах
- Фотография клиента (если загружена в карточку)
Расскажу показательный случай. Одна компания хранила в CRM только email-адреса и историю заказов — без имён, без телефонов. Они были уверены, что это не персональные данные. Но email вида «ivan.petrov.1985@mail.ru» уже позволяет идентифицировать человека. А в сочетании с историей покупок (адреса доставки, предпочтения) картина становится полной.
Ключевой момент:
Даже если вы храните только email и имя — это уже персональные данные. Даже если данные формально обезличены, но их можно связать с конкретным человеком через другие источники — закон всё равно распространяется на них. Не пытайтесь обойти требования через «обезличивание» — это редко работает на практике.
Обязанности оператора персональных данных
Используете CRM с данными клиентов? Значит, вы оператор персональных данных — хотите вы этого или нет. Звучит как бюрократия, но за этим стоят конкретные обязанности.
1. Получение согласий на обработку
Собираете данные — берите согласие. Вроде бы просто, но нюансов хватает. Согласие должно быть конкретным: человек понимает, на что соглашается. «Принимаю всё» — так не работает.
Форматы согласия бывают разные:
- Письменное согласие — требуется для особо чувствительных данных: биометрия, информация о здоровье, политические взгляды. В обычном бизнесе встречается редко.
- Галочка на сайте — самый распространённый вариант. Важно: галочка не должна быть проставлена по умолчанию, и рядом должна быть ссылка на политику конфиденциальности.
- Конклюдентные действия — когда клиент сам присылает данные, например, заполняет форму заказа. Но это спорная зона, и лучше подстраховаться явным согласием.
2. Публикация политики обработки данных
На сайте компании должна быть политика конфиденциальности. Это не формальность — документ должен реально описывать, как вы работаете с данными. Проверяющие читают эти документы и сравнивают с реальной практикой.
В политике нужно указать: какие данные собираете, для каких целей, как долго храните, кому можете передавать, как защищаете, и как человек может отозвать своё согласие или потребовать удаления данных.
3. Регистрация и уведомление
В Казахстане оператор персональных данных должен соблюдать требования закона и быть готовым к проверкам уполномоченных органов. Рекомендуется вести внутренний учёт обработки данных и иметь документально оформленные политики.
Важно: даже если формально уведомление не обязательно, наличие внутренних документов по обработке персональных данных — это защита при любой проверке. Лучше иметь документы заранее, чем готовить их в срочном порядке.
4. Защита данных от утечек
А вот это уже практика. Закон требует защитить данные — и технически, и организационно. Что это значит применительно к CRM?
Во-первых, ограничение доступа. Не каждый сотрудник должен видеть всю базу клиентов. Менеджер работает со своими клиентами, бухгалтер видит данные для счетов, директор имеет полный доступ. Это называется ролевая модель доступа.
Во-вторых, шифрование при передаче данных. Если CRM работает через интернет — обязательно HTTPS. Это уже стандарт, но проверьте.
В-третьих, резервное копирование. Если данные потеряются из-за сбоя — это тоже инцидент. Бэкапы должны быть, и они тоже должны быть защищены.
В-четвёртых, логирование. Нужно иметь возможность посмотреть, кто и когда обращался к данным. Если произойдёт утечка — логи помогут понять, как это случилось.
Чек-лист: проверьте свою CRM на соответствие законодательству
Чек-лист для самопроверки. Если где-то минус — это потенциальная проблема при проверке.
Документы и процедуры
Эти документы должны существовать не только на бумаге, но и реально использоваться.
- ☐ Политика конфиденциальности опубликована на сайте и актуальна
- ☐ Есть внутреннее положение об обработке персональных данных
- ☐ Приказом назначен ответственный за обработку ПД
- ☐ Внутренние документы соответствуют требованиям законодательства РК
- ☐ Ведётся журнал учёта обращений субъектов ПД
Работа с согласиями
Согласия — это ваша страховка. Если можете доказать, что человек согласился — претензий не будет.
- ☐ На всех формах сайта есть чекбокс согласия (не отмечен по умолчанию)
- ☐ Текст согласия содержит все обязательные элементы
- ☐ Факт согласия фиксируется и хранится (можно доказать)
- ☐ У клиента есть возможность отозвать согласие
Технические меры в CRM
Это то, что проверяющие могут попросить продемонстрировать.
- ☐ Доступ в CRM по персональному логину и паролю (не общий аккаунт)
- ☐ Настроены роли и разграничение прав доступа
- ☐ Соединение защищено (HTTPS)
- ☐ Ведётся лог действий пользователей в системе
- ☐ Настроено регулярное резервное копирование
- ☐ Включена двухфакторная аутентификация (очень рекомендуется)
Если по всем пунктам стоят галочки — вы в хорошей форме. Если нет — это не катастрофа, но нужно планомерно закрывать пробелы. Начните с документов, потом переходите к техническим мерам.
Типичные нарушения: реальные истории и как их избежать
Видел десятки случаев, когда штрафы прилетали за нарушения, о которых никто даже не задумывался. Самые частые:
История 1: Рассылка без согласия
Менеджер добавил клиента в CRM после звонка и автоматически подписал на email-рассылку. Клиент не давал на это согласия, получил письмо, разозлился и написал жалобу.
Как избежать: Добавьте в CRM отдельное поле «Согласие на рассылку». Рассылки отправляйте только тем, у кого это поле заполнено. Настройте автоматизацию так, чтобы без согласия письма не уходили.
История 2: Уволенный менеджер унёс базу
В компании все менеджеры видели всю базу клиентов и могли выгружать её в Excel. Один менеджер уволился и унёс базу на 15 000 контактов к конкуренту.
Как избежать: Настройте роли в CRM. Менеджер видит только своих клиентов. Право на экспорт — только у руководителя отдела или директора. При увольнении — немедленная блокировка доступа.
История 3: Вечное хранение
Компания работает 10 лет, в CRM — данные клиентов, которые не покупали по 7-8 лет. При проверке спросили: «Зачем храните? Какое основание?». Ответа не было.
Как избежать: Определите сроки хранения данных. Обычно это 3-5 лет после последнего контакта. Настройте автоматическое архивирование или удаление неактивных контактов.
История 4: Облачная CRM без договора
Компания использует облачную CRM, данные хранятся на серверах провайдера. Но договора на обработку персональных данных с провайдером нет — только стандартный договор на SaaS.
Как избежать: Запросите у провайдера CRM договор-поручение на обработку персональных данных. Большинство серьёзных сервисов его предоставляют по запросу.
История 5: Пароль на стикере
Классика жанра: общий пароль «company2020» на всех, или пароли записаны на стикерах, приклеенных к мониторам. При проверке это видят сразу.
Как избежать: Установите политику паролей: минимум 8 символов, буквы и цифры, смена раз в 3 месяца. Включите двухфакторную аутентификацию. У каждого сотрудника — свой аккаунт.
История 6: Кто смотрел — неизвестно
Произошла утечка данных. Нужно понять, кто имел доступ к утёкшей информации. Но логов нет — невозможно отследить, кто и когда смотрел данные.
Как избежать: Включите аудит действий в CRM. Должно логироваться: кто вошёл, что смотрел, что менял, что экспортировал. Логи храните минимум год.
Что делать, если произошла утечка данных
От утечки не застрахован никто. Взломали аккаунт, сотрудник кинул файл не туда, всплыла уязвимость. Главное — действовать быстро. Паника и попытки замести следы делают только хуже.
Важно своевременно уведомить уполномоченные органы об утечке. Это обязательное требование, и за его нарушение — отдельный штраф.
| Срок | Что нужно сделать |
|---|---|
| Первый час | Локализуйте утечку. Заблокируйте скомпрометированный доступ. Отключите взломанные аккаунты. Сохраните все логи и улики — они понадобятся для расследования. |
| 1-24 часа | Оцените масштаб: сколько записей затронуто, какие именно данные утекли, как это произошло. Задокументируйте всё письменно. |
| 24 часа | Подайте уведомление в уполномоченный орган по защите персональных данных. Это обязательное требование. |
| 72 часа | Если утечка создаёт риск для прав людей — уведомите пострадавших. Расскажите, что случилось и что вы делаете для защиты их интересов. |
| 1-2 недели | Проведите полноценное расследование. Найдите и закройте уязвимость. Подготовьте отчёт о принятых мерах. |
Критически важно — чего делать нельзя:
Есть действия, которые превращают проблему в катастрофу:
- Скрывать утечку — если уполномоченный орган узнает не от вас, штраф будет значительно больше. Плюс это подрывает доверие.
- Удалять логи — это квалифицируется как уничтожение доказательств. Даже если логи показывают вашу ошибку — сохраните их.
- Игнорировать запросы регулятора — каждый день просрочки ответа на запрос может означать дополнительные санкции.
Честность окупается. Кто сам сообщает об инциденте и показывает, что работает над проблемой — получает меньшие штрафы. Кого «поймали» — платит по полной.
Как CrmAI помогает соответствовать требованиям законодательства
Когда мы проектировали нашу CRM-систему, требования закона о персональных данных были заложены в архитектуру с самого начала. Не как «галочка для проверки», а как реально работающие механизмы защиты.
- Гибкая ролевая модель доступа — вы сами определяете, кто что видит. Менеджер работает только со своими клиентами, руководитель видит всё, бухгалтер — только нужные для работы данные.
- Полный аудит действий — система записывает, кто, когда, что смотрел и менял. При инциденте вы сможете восстановить картину событий.
- Шифрование на всех уровнях — данные защищены и при передаче, и при хранении.
- Автоматическое удаление по срокам — настройте политику хранения, и система сама будет архивировать или удалять устаревшие данные.
- Готовые документы — договор-поручение на обработку ПД предоставляем по первому запросу.
И главное: наши серверы находятся в Казахстане. Данные ваших клиентов не покидают территорию РК — это полное соответствие требованиям локализации.
Локализация данных: почему это важно и что проверять
Закон о персональных данных РК содержит требования к хранению и обработке данных граждан Казахстана. При работе с персональными данными важно понимать, где физически находятся серверы и как это влияет на соответствие требованиям закона.
На практике это означает, что при выборе CRM нужно проверять, где физически находятся серверы. Не все провайдеры об этом говорят открыто.
Безопасные варианты:
Эти решения соответствуют требованиям законодательства.
- CRM с серверами в Казахстане
- On-premise решения на вашем собственном сервере
- Облачные сервисы с подтверждённым размещением ЦОД в РК
Требуют проверки:
С этими решениями нужно разбираться детально.
- Западные CRM (Salesforce, HubSpot, Pipedrive) — уточняйте, где серверы
- Бесплатные CRM — часто хранят данные за рубежом
- Google Sheets, Notion, Airtable — могут не соответствовать требованиям закона
Я знаю компании, которые годами вели базу клиентов в Google Sheets, не задумываясь о соответствии требованиям закона. Формально это хранение персональных данных на зарубежных серверах. При проверке такое выявляется сразу.
Частые вопросы о законе о персональных данных и CRM
Вопросы, которые слышу чаще всего.
Да, проверяют всех. Плановые и внеплановые проверки проводятся регулярно. Чаще срабатывают внеплановые проверки — по жалобе клиента. Достаточно одного недовольного человека, который напишет жалобу, и к вам придут с проверкой.
Более того, маленькие компании часто получают штрафы именно потому, что не готовились. Крупные компании держат юристов и compliance-специалистов. А небольшой бизнес часто узнаёт о требованиях закона уже после получения штрафа.
Частично можно обойтись без отдельного согласия — если данные нужны исключительно для исполнения договора с этим клиентом. Например, для доставки заказа нужен адрес — это логично и законно.
Но для рассылок, маркетинговой аналитики, передачи данных партнёрам или подрядчикам — нужно отдельное явное согласие. Даже если клиент сам пришёл и сам оставил контакты. Моя рекомендация: всегда получайте явное согласие, это снимает любые вопросы.
По закону вы обязаны удалить данные в течение 30 дней (для некоторых категорий — 7 дней). Но есть важные исключения.
Если данные нужны для бухгалтерского учёта, налоговой отчётности или судебного разбирательства — вы имеете право их хранить столько, сколько требует соответствующее законодательство. Например, первичные документы по сделкам хранятся 5 лет.
Главное — документируйте все запросы на удаление и ваши ответы. Если удалили — фиксируйте когда и что. Если отказали — объясните причину со ссылкой на закон.
Для большинства коммерческих компаний — нет. Специальная сертификация требуется для работы с государственной тайной, при исполнении госконтрактов и для субъектов критической информационной инфраструктуры (банки, энергетика, телеком и т.д.).
Обычному бизнесу — торговле, услугам, производству — достаточно соблюдать требования закона о персональных данных без дополнительной сертификации. Но если вы планируете работать с госзаказчиками — это уже другая история, и там нужна отдельная консультация.
Как подготовиться к проверке
Пришло уведомление о проверке — плановой или, что неприятнее, внеплановой по жалобе. Паниковать бессмысленно. Готовиться — обязательно.
Проверяющие обычно запрашивают стандартный пакет документов. Вот что должно быть готово:
- ✓ Политика конфиденциальности — актуальная версия с сайта и внутренний документ
- ✓ Положение об обработке персональных данных — внутренний регламент компании
- ✓ Документы о соответствии требованиям — подтверждение выполнения законодательства РК
- ✓ Приказ о назначении ответственного — кто в компании отвечает за обработку ПД
- ✓ Журнал обращений субъектов ПД — записи о запросах клиентов на доступ, удаление, изменение данных
- ✓ Примеры согласий — как выглядит форма, где хранятся согласия
- ✓ Договоры с контрагентами — если передаёте данные подрядчикам, провайдерам CRM
- ✓ Описание мер защиты — желательно в письменном виде, что конкретно делаете для безопасности
Если чего-то из списка нет — у вас есть время до проверки, чтобы подготовить. Большинство документов можно составить за несколько дней. Шаблоны есть в открытом доступе, но лучше адаптировать их под специфику вашего бизнеса.
И ещё один совет: проведите «репетицию» проверки внутри компании. Попросите кого-то из коллег задать вам вопросы, которые может задать проверяющий. Где храните данные? Кто имеет доступ? Как получаете согласия? Как долго храните? Что будете делать при утечке? Если на какой-то вопрос нет чёткого ответа — это сигнал, что нужно доработать.
Нужна помощь с соответствием законодательству о персональных данных?
Покажем, как наша CRM решает задачи защиты персональных данных. Расскажем про настройку ролей и доступов, покажем аудит действий, объясним, как работает автоудаление по срокам. А ещё дадим чек-лист для самопроверки — бесплатно.
Получить консультациюПолезные материалы по теме
Хотите копнуть глубже? Несколько статей по теме:
- Compliance и GDPR в CRM — как хранить данные клиентов законно и безопасно, включая международные требования
- RBAC и аудит в CRM — детальный разбор ролевой модели доступа и системы логирования
- Юридически безопасные боты — как правильно оформлять согласия и хранить записи взаимодействий