Представьте: в CRM лежат телефоны и email 50 000 клиентов. Всё работает, продажи идут. А потом приходит письмо: «Требуем удалить мои данные. У меня есть право». Или звонок от уполномоченного органа по защите персональных данных. Или штраф на 500 000 тенге. Или, если работаете с Европой, — на 11 000 ₸ миллионов.
Дело в том, что клиентские данные — это не просто строчки в базе. Это персональные данные, у которых есть хозяева. И у этих хозяев — права. Право знать, кто и зачем их хранит. Право забрать их. Право потребовать удаления.
Причём не важно, сколько у вас клиентов — 100 или 100 000. Закон одинаков для всех. Рассказываю, как не попасть на штраф и работать чисто.
Закон РК о персональных данных — что это и когда он касается вас
Если вы собираете данные граждан Казахстана (имя, телефон, email, адрес), вы попадаете под Закон РК «О персональных данных и их защите». Без вариантов. Даже если у вас ИП и три клиента в неделю.
Вот что нужно сделать обязательно:
- Получить согласие на обработку. Клиент должен сам поставить галочку. Не за него, не автоматически. Чекбокс должен быть пустым. Рядом — ссылка на политику конфиденциальности.
- Уведомить уполномоченный орган. Если обрабатываете данные, необходимо соблюдать требования регулятора. Это не сложно, но обязательно.
- Обеспечить защиту. Шифрование, пароли, ограничение доступа — всё как в банке. Ну, почти.
- Дать клиенту право на отзыв. Написал «удалите меня» — вы обязаны удалить. В разумный срок, но обязаны.
Штрафы могут достигать значительных сумм для юрлиц. Но главное — репутация.
Не уверены, что ваша CRM соответствует закону?
Проверим за вас. Проведём аудит, покажем, где проблемы, и поможем их исправить. Первая консультация — бесплатно.
Заказать проверкуGDPR — если у вас есть клиенты из Европы
GDPR — это европейский регламент. Но он касается не только европейских компаний. Если вы продаёте что-то жителю Германии или Франции, вы попадаете под GDPR. Даже если ваш офис в Алматы.
GDPR даёт клиентам очень широкие права. Вот основные:
- Право на доступ. Клиент может написать: «Хочу посмотреть все мои данные». И вы обязаны показать. Весь профиль, всю историю — всё.
- Право на удаление (Right to be Forgotten). «Удалите меня из базы». Вы обязаны удалить, если нет законных оснований хранить (например, незакрытый долг).
- Право на портируемость. «Дайте мне мои данные в CSV/JSON». Клиент может забрать данные и уйти к конкуренту. Да, это неудобно, но это закон.
- Право на ограничение обработки. «Не обрабатывайте больше мои данные». Вы не удаляете, но и не используете.
И вот что делает GDPR страшным: штрафы до 11 000 ₸ млн или 4% годового оборота компании (берётся то, что больше). Это не шутка. Google и Meta уже платили миллионы.
Поэтому если у вас есть хоть один клиент из ЕС — всё должно быть по правилам.
Техническая защита: что должно быть в CRM
Мало получить согласие. Нужно ещё и защитить данные. Если базу взломают — вы ответите. Причём ответите по полной.
Вот минимальный набор мер защиты:
- Шифрование базы данных (AES-256). Если кто-то скопирует файл базы, он не сможет его прочитать. Только зашифрованная «каша».
- HTTPS/TLS для всех соединений. Данные передаются по сети только в зашифрованном виде. Никаких HTTP.
- Ролевая модель доступа (RBAC). Менеджер видит только своих клиентов, а не всю базу. Админ — больше, но тоже не всё подряд.
- Двухфакторная аутентификация (2FA). Особенно для админов. Пароль + код из приложения.
- Логирование всех действий с данными. Кто, когда, что открывал. Если что-то утечёт, можно будет найти виновного.
- Маскирование чувствительных данных. Номер карты показывается как **** **** **** 1234. Пароли нигде не видны.
Всё это — не «для галочки». Это реальная защита, которая проверяется при аудите.
Хотите спать спокойно?
Проведём полный аудит вашей CRM на compliance с Законом РК о персональных данных и GDPR. Исправим критичные проблемы и подготовим к любой проверке.
Заказать аудит