@maxvape

CRM. Как соблюсти закон о персональных данных?

В организации используется внутренняя CRM. Клиентам выдаются пластиковые карты, которые штрих-кодами связаны с записями в этой CRM. Данные (ФИО, дата рождения, контактный телефон) заполняются со слов клиента оператором под диктовку, верность данных не проверяется (без удостоверения личности). Также оператор делает фото клиента - не знаю зачем, прихоть руководства.
Перед регистрацией клиент также расписывается в журнале ТБ и отдельно в бланке о добровольной передаче персональных данных.
Теперь, собственно, вопрос: CRM представляет собой обычного десктопного клиента к REST-api на обычном арендованном VDS. Взаимодействие происходит по HTTPS с авторизацией по клиентскому сертификату + пара логин-пароль.
Взаимодействие с сервером происходит не по VPN-каналу. Сам сервер, хоть и находится в РФ, но, как я понимаю, никак не отвечает требованиям о хранении ПД.
Вопросов, собственно, несколько:
  1. Нарушается ли закон о ПД?
  2. Несут ли разработчики какую-либо ответственность за несоблюдение закона о ФЗ? (В договоре это явно нигде не указано, если не считать пункт "...должен разработать продукт надлежащего качества в соответствии с ТЗ...")
  3. Какие минимальные действия нужно выполнить для обеспечения закона о ПД в описанной ситуации?
  4. Какие последствия бездействия обрисовать заказчику? В какие сроки?

Заранее благодарю за ответы
  • Вопрос задан
  • 95 просмотров
Пригласить эксперта
Ответы на вопрос 1
dimonchik2013
@dimonchik2013
это не маска, я всегда так выгляжу
примерно так

и да, побольше бумаг с осознанными датами и действиями
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы