Алексей Ветров
Эксперт по защите данных IC-TECH
Если организация или ИП обрабатывают персональные данные через внешнюю CRM, это нужно обязательно отразить в уведомлении Роскомнадзора. При этом важно:
Указать место хранения данных — регион, где находятся серверы CRM (Москва, Санкт-Петербург и др.).
Уточнить источник ПДн — клиенты предоставляют их через сайт, звонки или формы.
Прописать виды обработки — сбор, запись, хранение, использование, передача и т. д.
Закрепить договор с CRM-провайдером (лицензионный договор, пользовательское соглашение) — чтобы подтвердить законность передачи данных в сервис.
Указать место хранения данных — регион, где находятся серверы CRM (Москва, Санкт-Петербург и др.).
Уточнить источник ПДн — клиенты предоставляют их через сайт, звонки или формы.
Прописать виды обработки — сбор, запись, хранение, использование, передача и т. д.
Закрепить договор с CRM-провайдером (лицензионный договор, пользовательское соглашение) — чтобы подтвердить законность передачи данных в сервис.
Обоснование по законодательству
- ФЗ-152, ст. 22: уведомление должно содержать сведения об информационных системах и месте хранения ПДн.
- ФЗ-152, ст. 12: данные граждан РФ должны храниться только на территории России. Поэтому важно, чтобы CRM-сервис имел дата-центры в РФ.
- ФЗ-152, ст. 6: обработка допускается только с согласия субъекта или при наличии законного основания. Передача данных в CRM = форма обработки.
Как действовать компании или ИП
- Уточнить у CRM-провайдера, где находятся серверы.
– AmoCRM, Битрикс24, Мегаплан используют дата-центры в России.
– Если сервис зарубежный (например, HubSpot), его использовать нельзя для хранения данных граждан РФ — это нарушает ст. 12. - Внести изменения в уведомление:
– указать, что данные обрабатываются в информационной системе «CRM (название)»;
– прописать регион хранения (например, «г. Москва, дата-центр провайдера CRM»). - Закрепить меры защиты:
– ограничение доступа сотрудников;
– использование паролей и двухфакторной аутентификации;
– резервное копирование.
Пример формулировки для уведомления
«Обработка персональных данных осуществляется с использованием облачной CRM-системы “Битрикс24”, размещённой в дата-центре на территории Российской Федерации (г. Москва). Цели обработки — учёт заявок клиентов, исполнение договоров, ведение истории взаимодействия. Доступ ограничен уполномоченными сотрудниками, применяются парольная защита, резервное копирование и двухфакторная аутентификация.»
Пример из практики
Маркетинговое агентство использовало AmoCRM для заявок с сайта. В уведомлении указали: «Облачная CRM AmoCRM, дата-центр — г. Санкт-Петербург». При проверке Роскомнадзор подтвердил корректность сведений, вопросов не возникло.
Рекомендации и выводы
- Если используете CRM — обязательно укажите её в уведомлении.
- Убедитесь, что сервис хранит данные в России.
- Пропишите договорные отношения с CRM-провайдером (обычно это публичная оферта).
- Обеспечьте организационные меры: назначьте ответственного, ограничьте доступ сотрудников, внедрите регламент работы в CRM.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
