В организации используется внутренняя CRM. Клиентам выдаются пластиковые карты, которые штрих-кодами связаны с записями в этой CRM. Данные (ФИО, дата рождения, контактный телефон) заполняются со слов клиента оператором под диктовку, верность данных не проверяется (без удостоверения личности). Также оператор делает фото клиента - не знаю зачем, прихоть руководства.
Перед регистрацией клиент также расписывается в журнале ТБ и отдельно в бланке о добровольной передаче персональных данных.
Теперь, собственно, вопрос: CRM представляет собой обычного десктопного клиента к REST-api на обычном арендованном VDS. Взаимодействие происходит по HTTPS с авторизацией по клиентскому сертификату + пара логин-пароль.
Взаимодействие с сервером происходит не по VPN-каналу. Сам сервер, хоть и находится в РФ, но, как я понимаю, никак не отвечает требованиям о хранении ПД.
Вопросов, собственно, несколько:
- Нарушается ли закон о ПД?
- Несут ли разработчики какую-либо ответственность за несоблюдение закона о ФЗ? (В договоре это явно нигде не указано, если не считать пункт "...должен разработать продукт надлежащего качества в соответствии с ТЗ...")
- Какие минимальные действия нужно выполнить для обеспечения закона о ПД в описанной ситуации?
- Какие последствия бездействия обрисовать заказчику? В какие сроки?
Заранее благодарю за ответы
Средний
Простой
