Алексей Ветров
Эксперт по защите данных IC-TECH
Если персональные данные обрабатываются в облачной CRM, в уведомлении в Роскомнадзор в разделе «место хранения и обработки ПДн» нужно указывать:
1. Фактический адрес дата-центра или провайдера, на серверах которого хранится база (если он известен).
2. Если точный адрес недоступен — юридический адрес облачного провайдера (например, российского хостинг-провайдера или разработчика CRM).
Главное — показать, что хранение происходит в России (выполнение требования о локализации по ст. 18 152-ФЗ). Если облачная CRM хранит данные за пределами РФ, это нужно указывать отдельно, и в этом случае организация обязана соблюдать дополнительные требования к трансграничной передаче ПДн.
1. Фактический адрес дата-центра или провайдера, на серверах которого хранится база (если он известен).
2. Если точный адрес недоступен — юридический адрес облачного провайдера (например, российского хостинг-провайдера или разработчика CRM).
Главное — показать, что хранение происходит в России (выполнение требования о локализации по ст. 18 152-ФЗ). Если облачная CRM хранит данные за пределами РФ, это нужно указывать отдельно, и в этом случае организация обязана соблюдать дополнительные требования к трансграничной передаче ПДн.
Обоснование по законодательству
- Ст. 22 152-ФЗ: уведомление должно содержать сведения о месте хранения и обработки.
- Ст. 18 152-ФЗ (локализация данных): первичный сбор и хранение ПДн граждан РФ должно происходить на территории РФ.
- Ст. 12 152-ФЗ: при трансграничной передаче оператор обязан уведомлять Роскомнадзор и проверять уровень защиты данных в иностранном государстве.
Как правильно заполнить
- Если CRM размещена на российских серверах:
«Место хранения и обработки персональных данных: Российская Федерация, дата-центр ООО «Хостинг», г. Москва, ул. Примерная, д. 15. Используется облачный сервис CRM». - Если CRM обслуживает провайдер с несколькими площадками:
«Место хранения и обработки: Российская Федерация, серверы провайдера CRM (ООО «Название»), адрес: г. Москва, ул. ХХХ, д. Х. Первичное хранение ПДн осуществляется в России». - Если сервис хранит данные за пределами РФ (например, зарубежная CRM):
«Место хранения и обработки: дата-центр провайдера CRM за пределами РФ. Осуществляется трансграничная передача персональных данных».
Рекомендации и выводы
При использовании облачной CRM в уведомлении лучше максимально конкретизировать: какой сервис используется, где физически хранятся данные, и подтверждена ли локализация в России. Если сервис зарубежный — важно указать факт трансграничной передачи и дополнительно оформить согласия субъектов ПДн на такую обработку.
Нет времени разбираться в нюансах?
Услуга под ключ: подготовим, заполним и подадим уведомление в Роскомнадзор без ошибок, с учётом требований 2025 года.
