Алексей Ветров
Эксперт по защите данных IC-TECH
Интеграция сайта с CRM-системой автоматически делает CRM частью процесса обработки персональных данных. Это значит, что к ней применяются все требования 152-ФЗ и подзаконных актов. Чтобы исключить претензии Роскомнадзора, важно правильно документировать и технически защитить этот процесс.
Что нужно учесть при интеграции
- Прозрачность обработки: в политике обработки ПДн нужно прямо указать, что данные, собранные на сайте (через формы обратной связи, регистрацию, заявки), поступают в CRM.
- Согласие пользователей: формы на сайте должны содержать чекбокс или иную форму согласия на передачу данных в CRM.
- Локализация: CRM должна быть размещена на серверах в России, если речь идёт о данных граждан РФ. При использовании зарубежных систем требуется либо локализованная версия, либо российский дата-центр.
- Безопасность каналов: передача данных с сайта в CRM должна происходить по защищённым протоколам (HTTPS, VPN, TLS).
- Разграничение доступа: в CRM должны быть установлены права доступа сотрудников, чтобы исключить несанкционированное использование ПДн.
- Резервное копирование и уничтожение: нужно прописать порядок хранения, архивирования и удаления данных в CRM, включая резервные копии.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан публиковать политику с описанием способов и целей обработки.
- Ст. 19 ФЗ-152 — оператор обязан принимать меры по обеспечению безопасности ПДн (технические и организационные).
- Постановление Правительства РФ № 1119 — устанавливает требования к защите ПДн в ИСПДн, включая разграничение доступа, антивирусную защиту, криптосредства.
- ФЗ-152, ст. 12 — если CRM обслуживает сторонняя организация, необходим договор поручения с закреплением обязанностей по защите ПДн.
Практика проверок Роскомнадзора
Роскомнадзор регулярно выявляет нарушения, когда компании интегрируют сайт с зарубежными CRM (например, Bitrix24 Global или HubSpot) без локализации в РФ. Это трактуется как хранение данных за границей и может повлечь блокировку сайта. В других случаях нарушения касались отсутствия чекбоксов согласия при передаче данных с сайта в CRM — такие компании привлекались к административной ответственности.
Вывод
Интеграция сайта с CRM безопасна с точки зрения ФЗ-152, если:
- процесс описан в политике;
- у пользователя запрошено отдельное согласие;
- CRM размещена в России или в дата-центре, соответствующем закону;
- обеспечены шифрование каналов и разграничение доступа.
Компания ICTech поможет вашей организации провести аудит CRM, проверить её локализацию, подготовить договоры с подрядчиками и внести изменения в политику ПДн для защиты бизнеса.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
