Для большинства компаний персональные данные клиентов, это главный массив ПДн, с которым они сталкиваются каждый день. Именно клиентский контур чаще всего проходит через сайт, формы, CRM, телефонию, менеджеров, договоры и платежные процессы.
Поэтому если бизнес хочет реально привести себя в порядок по 152-ФЗ, почти всегда нужно начинать именно с клиентских данных.
Что относится к персональным данным клиентов
Обычно это:
- ФИО
- телефон
- адрес
- данные из заявок
- данные из CRM
- история заказов и обращений
- сведения, необходимые для договора или оказания услуг
Где клиентские данные появляются чаще всего
- формы на сайте
- заявки из рекламы
- CRM
- email и мессенджеры
- договоры и счета
- коллтрекинг
- личный кабинет
То есть клиентские данные редко живут в одном месте. Они проходят через несколько систем одновременно.
Что бизнесу важно проверить
- Какие клиентские данные собираются.
- Для каких целей они используются.
- На каком основании идёт обработка.
- Какие документы это покрывают.
- Куда данные передаются внутри и вне компании.
- Как устроен доступ к этим данным.
Где компании ошибаются
Ошибка 1. Считать, что клиентские данные на сайте и в CRM, это разные миры
На практике это один процесс обработки, просто разбитый на этапы.
Ошибка 2. Не описывать цели обработки достаточно точно
Если клиентские данные используются для продаж, сервиса, договоров, маркетинга и поддержки, это нужно понимать и отражать в модели обработки.
Ошибка 3. Не учитывать подрядчиков
Телефония, CRM, email-сервисы, подрядчики по рекламе и разработке часто оказываются частью цепочки обработки данных.
Короткий вывод
Персональные данные клиентов, это центральный контур для большинства бизнесов. Если он не описан и не приведён в порядок, никакая формальная политика на сайте не создаст реального соответствия 152-ФЗ.
FAQ
Клиентская база, это персональные данные?
Да, если по этим сведениям можно определить конкретных лиц.
CRM нужно учитывать в модели обработки данных?
Да, обязательно.
Данные клиентов на сайте и у менеджеров нужно рассматривать вместе?
Да, это части одного процесса обработки.
Что почитать дальше
- Требования 152-ФЗ к сайту
- Оператор персональных данных
- Политика обработки персональных данных
- Персональные данные в CRM
CTA
Если у вас большая клиентская база и несколько точек входа данных, лучше не собирать документы по кускам, а сначала описать весь клиентский контур. Обычно именно после этого становится видно, где настоящие риски: в сайте, CRM, подрядчиках или внутренних процессах.