Compliance и GDPR в CRM: как хранить данные клиентов законно и безопасно

Представьте: в CRM лежат телефоны и email 50 000 клиентов. Всё работает, продажи идут. А потом приходит письмо: «Требуем удалить мои данные. У меня есть право». Или звонок от уполномоченного органа по защите персональных данных. Или штраф на 500 000 тенге. Или, если работаете с Европой, — на 11 000 ₸ миллионов.

Дело в том, что клиентские данные — это не просто строчки в базе. Это персональные данные, у которых есть хозяева. И у этих хозяев — права. Право знать, кто и зачем их хранит. Право забрать их. Право потребовать удаления.

Причём не важно, сколько у вас клиентов — 100 или 100 000. Закон одинаков для всех. Рассказываю, как не попасть на штраф и работать чисто.

Закон РК о персональных данных — что это и когда он касается вас

Если вы собираете данные граждан Казахстана (имя, телефон, email, адрес), вы попадаете под Закон РК «О персональных данных и их защите». Без вариантов. Даже если у вас ИП и три клиента в неделю.

Вот что нужно сделать обязательно:

• Получить согласие на обработку. Клиент должен сам поставить галочку. Не за него, не автоматически. Чекбокс должен быть пустым. Рядом — ссылка на политику конфиденциальности.
• Уведомить уполномоченный орган. Если обрабатываете данные, необходимо соблюдать требования регулятора. Это не сложно, но обязательно.
• Обеспечить защиту. Шифрование, пароли, ограничение доступа — всё как в банке. Ну, почти.
• Дать клиенту право на отзыв. Написал «удалите меня» — вы обязаны удалить. В разумный срок, но обязаны.

Штрафы могут достигать значительных сумм для юрлиц. Но главное — репутация.

Материалы по безопасности

Если вы только выстраиваете compliance, начните с базового чек-листа — он быстро подсветит слабые места. Это снижает риск штрафов и конфликтов с клиентами. Чем раньше вы это сделаете, тем дешевле исправления.

• Согласия на обработку и запись разговоров.
• Политика хранения: сроки, места, доступы.
• Логи и аудит действий операторов.

• Юридически безопасные боты: согласия и хранение записей
• GDPR и 152-ФЗ для AI-решений

Эти материалы удобно приложить к внутреннему регламенту и использовать при проверке подрядчиков и интеграций. Раз в полгода полезно делать такой аудит даже если всё «работает». Так проще пройти проверку по запросу клиента или регулятора. Такой порядок снижает риски утечек и споров, и это окупается быстро. Это снижает стресс команды.

GDPR — если у вас есть клиенты из Европы

GDPR — это европейский регламент. Но он касается не только европейских компаний. Если вы продаёте что-то жителю Германии или Франции, вы попадаете под GDPR. Даже если ваш офис в Алматы.

GDPR даёт клиентам очень широкие права. Вот основные:

• Право на доступ. Клиент может написать: «Хочу посмотреть все мои данные». И вы обязаны показать. Весь профиль, всю историю — всё.
• Право на удаление (Right to be Forgotten). «Удалите меня из базы». Вы обязаны удалить, если нет законных оснований хранить (например, незакрытый долг).
• Право на портируемость. «Дайте мне мои данные в CSV/JSON». Клиент может забрать данные и уйти к конкуренту. Да, это неудобно, но это закон.
• Право на ограничение обработки. «Не обрабатывайте больше мои данные». Вы не удаляете, но и не используете.

И вот что делает GDPR страшным: штрафы до 11 000 ₸ млн или 4% годового оборота компании (берётся то, что больше). Это не шутка. Google и Meta уже платили миллионы.

Поэтому если у вас есть хоть один клиент из ЕС — всё должно быть по правилам.

Техническая защита: что должно быть в CRM

Мало получить согласие. Нужно ещё и защитить данные. Если базу взломают — вы ответите. Причём ответите по полной.

Вот минимальный набор мер защиты:

• Шифрование базы данных (AES-256). Если кто-то скопирует файл базы, он не сможет его прочитать. Только зашифрованная «каша».
• HTTPS/TLS для всех соединений. Данные передаются по сети только в зашифрованном виде. Никаких HTTP.
• Ролевая модель доступа (RBAC). Менеджер видит только своих клиентов, а не всю базу. Админ — больше, но тоже не всё подряд.
• Двухфакторная аутентификация (2FA). Особенно для админов. Пароль + код из приложения.
• Логирование всех действий с данными. Кто, когда, что открывал. Если что-то утечёт, можно будет найти виновного.
• Маскирование чувствительных данных. Номер карты показывается как **** **** **** 1234. Пароли нигде не видны.

Всё это — не «для галочки». Это реальная защита, которая проверяется при аудите.