Защита ПДн в CRM: настройки и политики доступа 2026
Я — Олег Петухов, руковожу юридической компанией «ЛЕГАС». За 25 лет практики я не раз сталкивался с утечками ПДн из за неправильной настройки CRM. Компании собирают контакты клиентов, но забывают о защите — и получают штрафы до 6 млн руб. по 152 ФЗ. В этой статье — только практика: какие политики доступа нужны, какие настройки включить и как соответствовать закону в 2026 году.
Какие риски возникают при хранении ПДн в CRM?
Основные угрозы:
• несанкционированный доступ сотрудников (например, менеджер видит данные всех клиентов);
• утечки из за слабых паролей или фишинга;
• отсутствие логирования действий — невозможно отследить, кто изменил данные;
• передача данных третьим лицам без согласия субъекта.
Важно: по 152 ФЗ вы обязаны обеспечить защиту ПДн «от неправомерного или случайного доступа» (ст. 19).
Какие настройки CRM обязательны для защиты ПДн?
1. Разграничение прав доступа:
роли пользователей (администратор, менеджер, гость);
доступ только к необходимым данным (например, оператор колл центра не видит финансовые данные).
2. Аутентификация:
двухфакторная аутентификация (2FA) для входа в CRM;
сложные пароли (минимум 12 символов, буквы + цифры + спецзнаки).
3. Логирование действий:
фиксация всех операций с ПДн (просмотр, изменение, удаление);
хранение логов не менее 6 месяцев.
4. Шифрование:
данные в покое (на сервере) и в передаче (TLS 1.3+).
5. Резервное копирование:
регулярное копирование БД с шифрованием копий.
Как составить политику доступа к ПДн в CRM?
Политика должна включать:
• перечень ролей и их прав (кто может читать, редактировать, удалять);
• порядок выдачи и отзыва доступа (например, при увольнении);
• правила обработки инцидентов (утечка, взлом);
• ответственность сотрудников за нарушение политики.
Совет: утвердите политику приказом и ознакомьте с ней всех пользователей CRM под подпись.
Соответствие 152 ФЗ и GDPR
• 152 ФЗ:
согласие субъекта на обработку (ст. 9);
уведомление Роскомнадзора (если вы оператор ПДн);
локальное хранение данных россиян (ст. 18).
• GDPR:
право на забвение (удаление данных по запросу);
оценка рисков (DPIA) для чувствительных данных.
Пошаговая инструкция: как настроить защиту ПДн в CRM
1. Проведите аудит текущих настроек доступа.
2. Определите роли пользователей и их права.
3. Включите 2FA и требования к паролям.
4. Настройте логирование всех операций с ПДн.
5. Убедитесь, что данные шифруются при хранении и передаче.
6. Разработайте и утвердите политику доступа.
7. Обучите сотрудников правилам работы с ПДн.
8. Регулярно проверяйте журналы событий и обновляйте настройки.
Заключение
Защита ПДн в CRM — не опция, а обязанность. Чтобы избежать штрафов и репутационных потерь:
1. Настройте разграничение прав доступа.
2. Включите двухфакторную аутентификацию и шифрование.
3. Разработайте политику доступа и обучите сотрудников.
4. Регулярно проводите аудит безопасности.
Если вам нужна помощь в аудите CRM или составлении политик — команда «ЛЕГАС» готова помочь.
• Скачайте чек лист «10 шагов к защите ПДн в CRM» — он поможет быстро проверить настройки вашей системы.
• Поделитесь статьёй с IT отделом или юристом компании — это поможет избежать штрафов за нарушение 152 ФЗ.
• Подпишитесь на legascom.ru — разбираем сложное просто: аудит ИБ, соответствие GDPR, защита данных в цифровых системах.
