Чтобы привести CRM в соответствие, важно оценить, где физически находятся её серверы. Если система установлена на российском хостинге или локальном сервере компании — локализация выполнена. Если используется зарубежный облачный сервис (например, Salesforce, Zoho), нужно перенести данные в российский дата-центр или выбрать CRM, предлагающую хранение в РФ.
Обоснование по законодательству
- ФЗ-152, ст. 18.1 — устанавливает обязанность операторов хранить персональные данные граждан РФ на территории России.
- ФЗ-242 — закрепляет правило локализации баз данных.
- Постановление Правительства № 1119 — обязывает применять меры защиты в ИСПДн, включая CRM-системы.
Практика и позиция Роскомнадзора
Роскомнадзор в своих разъяснениях отмечает, что CRM, работающая через облачный сервис, при размещении за рубежом нарушает закон о локализации. В 2023–2024 гг. проверки показали, что компании, использующие зарубежные CRM без российских серверов, получали предписания и штрафы. Вместе с тем, РКН признаёт, что CRM можно адаптировать: разместить базу в российском дата-центре, использовать гибридные решения (облачная панель + локальное хранение базы), либо перейти на сервисы, прошедшие сертификацию в России.
Что важно учитывать компаниям
- Проверить, где физически хранятся базы CRM.
- Настроить локальные серверы или выбрать российского провайдера.
- Обеспечить защиту данных: шифрование, разграничение доступа, аудит действий пользователей.
- Утвердить внутренние регламенты работы с CRM как с ИСПДн.
Рекомендации и выводы
Да, локализация CRM обязательна, если в ней обрабатываются ПДн граждан РФ. Чтобы соответствовать ФЗ-152, компания должна:
- Разместить базу CRM на российских серверах.
- Обеспечить защиту данных согласно постановлению № 1119.
- Включить CRM в перечень информационных систем ПДн и закрепить порядок её использования во внутренних документах.
Компания ICTech поможет вашей организации провести аудит вашей CRM и разработать пакет документов по ФЗ-152. Это позволит избежать штрафов и претензий Роскомнадзора.
