Внедряйте уровни доступа сотрудников к данным. Они определяются рабочими задачами – если сотруднику для выполнения работы не нужны персональные данные клиента, у него не должно быть доступа к ним.

Ограничивайте свободный вход сотрудников без специального допуска в помещения, где установлено оборудование для обработки данной информации.

Не храните базы данных в открытом виде на google docs и аналогичных сервисах.

Оптимальным будет использование CRM-системы на собственных серверах. Базы данных, содержащие персональные данные, должны находиться на территории РФ.